W-Fragen

Die IT-forensiche Untersuchung soll folgende Fragen nach einen Sicherheitsvorfall klären:

  • Was ist passiert, welcher Schaden ist dabei entstanden?
  • Wo ist es passiert, wo sind die Sicherheitslücken?
  • Wann ist es passiert, warum ausgerechnet zu diesem Zeitpunkt?
  • Wie ist es passier, mit welchen Methoden?
  • Wer hat es getan (identifizeriun des Angreifers)?
  • Was kann gegen eine Widerholung getan werden?

In (Geschonnek, S.70) werden diese W-Fragen noch ausführlicher betrachtet:

  • Wer hatte Zugang?
  • Was hat der Angreifer auf dem System gemacht?
  • Wann fand der Vorfall statt?
  • Welche weiteren Systeme sind noch betroffen?
  • Warum ist gerade dieses Netz oder System angegriffen worden?
  • Wie konnte der Angreifer Zugriff erlangen?
  • Ist der Angriff vor Kurzem geschehen? Was macht der Angreifer jetzt?
  • Was konnte der Angreifer auf diesem System einsehen?
  • Was wurde vom Angreifer zurückgelassen?
  • Welche Tools wurden verwendet?
  • Wie wurden diese Tools aufgerufen?
  • In welcher Programmiersprache wurden die Tools geschrieben?
  • Haben diese Dateien Ähnlichkeiten mit Dateien, die auf dem System eines Tatverdächtigen gefunden wurden?
  • Welche Events wurden protokolliert?
  • Was wird durch die Protokolldaten enthüllt? (Protokolldaten der remote-Access-Systeme und der Zutrittskontrollsysteme)
  • Was findet sich auf den Datenträgern?
  • Welche Spuren sind durch die verwendeten Applikationen hinterlassen worden?
  • Welche Dateien wurden gelöscht?
  • Existieren verschlüsselte Daten?
  • Existieren versteckte Partitionen?
  • Existieren bekannte Hintertür- oder andere Fernzugriffstools?