W-Fragen: Unterschied zwischen den Versionen
Aus IT-Forensik Wiki
Etduen (Diskussion | Beiträge) Keine Bearbeitungszusammenfassung |
Etduen (Diskussion | Beiträge) Keine Bearbeitungszusammenfassung |
||
| Zeile 1: | Zeile 1: | ||
Die IT-forensiche Untersuchung soll folgende Fragen nach einen Sicherheitsvorfall klären: | Die IT-forensiche Untersuchung soll folgende Fragen nach einen Sicherheitsvorfall klären: | ||
* '''Was''' ist passiert, welcher Schaden ist dabei entstanden? | |||
* '''Wo''' ist es passiert, wo sind die Sicherheitslücken? | |||
* '''Wann''' ist es passiert, warum ausgerechnet zu diesem Zeitpunkt? | |||
* '''Wie''' ist es passier, mit welchen Methoden? | |||
* '''Wer''' hat es getan (identifizeriun des Angreifers)? | |||
* '''Was''' kann gegen eine Widerholung getan werden? | |||
- | In (Geschonnek, S.70) werden diese W-Fragen noch ausführlicher betrachtet: | ||
* Wer hatte Zugang? | |||
* Was hat der Angreifer auf dem System gemacht? | |||
* Wann fand der Vorfall statt? | |||
* Welche weiteren Systeme sind noch betroffen? | |||
- | * Warum ist gerade dieses Netz oder System angegriffen worden? | ||
* Wie konnte der Angreifer Zugriff erlangen? | |||
- | * Ist der Angriff vor Kurzem geschehen? Was macht der Angreifer jetzt? | ||
* Was konnte der Angreifer auf diesem System einsehen? | |||
* Was wurde vom Angreifer zurückgelassen? | |||
* Welche Tools wurden verwendet? | |||
* Wie wurden diese Tools aufgerufen? | |||
* In welcher Programmiersprache wurden die Tools geschrieben? | |||
* Haben diese Dateien Ähnlichkeiten mit Dateien, die auf dem System eines Tatverdächtigen gefunden wurden? | |||
* Welche Events wurden protokolliert? | |||
* Was wird durch die Protokolldaten enthüllt? (Protokolldaten der remote-Access-Systeme und der Zutrittskontrollsysteme) | |||
* Was findet sich auf den Datenträgern? | |||
* Welche Spuren sind durch die verwendeten Applikationen hinterlassen worden? | |||
* Welche Dateien wurden gelöscht? | |||
* Existieren verschlüsselte Daten? | |||
* Existieren versteckte Partitionen? | |||
* Existieren bekannte Hintertür- oder andere Fernzugriffstools? | |||
Aktuelle Version vom 4. Dezember 2018, 14:49 Uhr
Die IT-forensiche Untersuchung soll folgende Fragen nach einen Sicherheitsvorfall klären:
- Was ist passiert, welcher Schaden ist dabei entstanden?
- Wo ist es passiert, wo sind die Sicherheitslücken?
- Wann ist es passiert, warum ausgerechnet zu diesem Zeitpunkt?
- Wie ist es passier, mit welchen Methoden?
- Wer hat es getan (identifizeriun des Angreifers)?
- Was kann gegen eine Widerholung getan werden?
In (Geschonnek, S.70) werden diese W-Fragen noch ausführlicher betrachtet:
- Wer hatte Zugang?
- Was hat der Angreifer auf dem System gemacht?
- Wann fand der Vorfall statt?
- Welche weiteren Systeme sind noch betroffen?
- Warum ist gerade dieses Netz oder System angegriffen worden?
- Wie konnte der Angreifer Zugriff erlangen?
- Ist der Angriff vor Kurzem geschehen? Was macht der Angreifer jetzt?
- Was konnte der Angreifer auf diesem System einsehen?
- Was wurde vom Angreifer zurückgelassen?
- Welche Tools wurden verwendet?
- Wie wurden diese Tools aufgerufen?
- In welcher Programmiersprache wurden die Tools geschrieben?
- Haben diese Dateien Ähnlichkeiten mit Dateien, die auf dem System eines Tatverdächtigen gefunden wurden?
- Welche Events wurden protokolliert?
- Was wird durch die Protokolldaten enthüllt? (Protokolldaten der remote-Access-Systeme und der Zutrittskontrollsysteme)
- Was findet sich auf den Datenträgern?
- Welche Spuren sind durch die verwendeten Applikationen hinterlassen worden?
- Welche Dateien wurden gelöscht?
- Existieren verschlüsselte Daten?
- Existieren versteckte Partitionen?
- Existieren bekannte Hintertür- oder andere Fernzugriffstools?
