| Danksagung | 5 |
| Inhaltsverzeichnis | 7 |
| Über den Autor | 11 |
| 1: Einleitung | 14 |
| 1.1 Der CEO-Fraud | 16 |
| Quellen | 21 |
| 2: Grundlagen | 22 |
| 2.1 Erkennen von Sicherheitsvorfällen | 30 |
| 2.1.1 Methoden zur Erkennung von Sicherheitsvorfällen | 33 |
| 2.1.1.1 Pattern | 35 |
| 2.1.1.2 Heuristiken | 36 |
| 2.1.1.3 Data Leakage Prevention (DLP) | 40 |
| 2.1.2 Fazit: mehrere Werkzeuge einsetzen | 42 |
| 2.1.3 Reaktion auf Sicherheitsvorfälle | 43 |
| 2.1.4 Aus dem Schaden anderer lernen | 45 |
| Quellen | 46 |
| 3: Was als normaler Angriff beginnt und in professioneller Spionage endet | 47 |
| 3.1 Die Kontaktaufnahme | 47 |
| 3.2 Erste Aktionen | 49 |
| Gerichtsverwertbare Sicherung | 50 |
| Lösegeld zahlen oder nicht | 51 |
| Probleme beim Netzwerkverkehr | 52 |
| 3.3 Analysephase | 56 |
| 3.4 Auswerten der Maßnahmen und Einleiten weiterer Schritte | 57 |
| Wiederherstellen aus Backups | 58 |
| AV-Konzeptarbeit | 59 |
| 3.5 Nach dem Incident ist vor der Haftung | 61 |
| Forensisches Vorgehen | 62 |
| Schwachstellen, Exploits, Payloads und 0-Days | 64 |
| Klassifizierung von Angreifern | 70 |
| Kernfragen zur Bewertung des Sicherheitsvorfalls | 71 |
| Quellen | 73 |
| 4: Wenn digitale Forensik an Grenzen stößt | 74 |
| 4.1 Die Kontaktaufnahme | 74 |
| 4.2 Erste Aktionen | 76 |
| 4.3 Analysephase | 76 |
| 4.4 Auswerten der Maßnahmen und Einleiten nächster Schritte | 85 |
| 4.4.1 Analyse möglicher Fremdzugriffe | 85 |
| Kernfragen zur Bewertung des Sicherheitsvorfalls | 93 |
| 5: Massenangriff oder gezielter Angriff, die Grenzen verschwimmen | 95 |
| 5.1 Die Kontaktaufnahme | 95 |
| 5.2 Erste Aktionen | 97 |
| Komplexität von E-Mail-Adressen | 99 |
| 5.3 Analysephase | 101 |
| Bewertung von Fremdzugriffen | 102 |
| Ausgeklammerte Informationen | 104 |
| Kernfragen zur Bewertung des Sicherheitsvorfalls | 109 |
| Quellen | 110 |
| 6: Der eigene Administrator als Angreifer | 111 |
| 6.1 Die Kontaktaufnahme | 111 |
| Ermitteln gegen Mitarbeiter | 112 |
| 6.2 Erste Aktionen | 113 |
| 6.3 Analysephase | 115 |
| 6.4 Auswerten der Maßnahmen und Einleiten weiterer Schritte | 116 |
| Angriffe auf Passwörter | 116 |
| Kernfragen zur Bewertung des Sicherheitsvorfalls | 122 |
| Quellen | 123 |
| 7: Vorbereitung auf den Ernstfall | 124 |
| 7.1 Sicherheitsvorfälle, die schiefgelaufen sind | 125 |
| 7.1.1 Der Mitarbeiter, der Daten entwendete und dann selbst zum Opfer wurde | 125 |
| 7.1.2 Die Konkurrenz hört mit | 128 |
| 7.2 Grundlagen der organisatorischen Sicherheit | 131 |
| 7.2.1 Das Fundament der organisatorischen Sicherheit | 134 |
| 7.2.1.1 Das Vorgehen | 134 |
| 7.2.1.2 Inhalte einer Sicherheitsleitlinie | 139 |
| 7.2.2 Teamwork makes the dream work | 143 |
| 7.2.2.1 Die Benutzerordnung | 145 |
| 7.2.2.2 Die Administratorenordnung | 152 |
| 7.2.2.3 Die Dienstleisterordnung | 162 |
| 7.3 Sogar das billigste Hotel hat einen Feuerfluchtplan, aber die wenigstens Unternehmen einen IT-Incident-Guide | 163 |
| 7.4 Definition Sicherheitsvorfall | 164 |
| 7.5 Erkennen von Ernstfällen | 165 |
| 7.5.1 Die Erkennung von Angriffen im Detail | 166 |
| 7.5.1.1 Das Erkennen von Social Engineering | 166 |
| 7.5.1.2 Das Erkennen von Angriffen per E-Mail | 167 |
| 7.5.1.3 Das Erkennen von Angriffen mit USB-Sticks | 173 |
| 7.6 Verantwortlichkeiten | 178 |
| 7.7 Eskalationsstrategie | 180 |
| 7.7.1 Schritt 1: Festlegung der Eskalationswege | 183 |
| 7.7.2 Schritt 2: Entscheidungshilfe für Eskalation | 183 |
| 7.7.3 Schritt 3: Art und Weise der Eskalation | 184 |
| 7.8 Train hard, win easy | 185 |
| Quellen | 188 |
| 8: Schlusswort | 189 |
