W-Fragen: Unterschied zwischen den Versionen

Aus IT-Forensik Wiki
(Die Seite wurde neu angelegt: „Die forensiche Untersuchung soll folgende Fragen nach einen Sicherheitsvorfall klären: - '''Was''' ist passiert, welcher Schaden ist dabei entstanden? - '''…“)
 
Keine Bearbeitungszusammenfassung
 
(Eine dazwischenliegende Version desselben Benutzers wird nicht angezeigt)
Zeile 1: Zeile 1:
Die forensiche Untersuchung soll folgende Fragen nach einen Sicherheitsvorfall klären:
Die IT-forensiche Untersuchung soll folgende Fragen nach einen Sicherheitsvorfall klären:


- '''Was''' ist passiert, welcher Schaden ist dabei entstanden?
* '''Was''' ist passiert, welcher Schaden ist dabei entstanden?
* '''Wo''' ist es passiert, wo sind die Sicherheitslücken?
* '''Wann''' ist es passiert, warum ausgerechnet zu diesem Zeitpunkt?
* '''Wie''' ist es passier, mit welchen Methoden?
* '''Wer''' hat es getan (identifizeriun des Angreifers)?
* '''Was''' kann gegen eine Widerholung getan werden?


- '''Wo''' ist es passiert, wo sind die Sicherheitslücken?
In (Geschonnek, S.70) werden diese W-Fragen noch ausführlicher betrachtet:


- '''Wann''' ist es passiert, warum ausgerechnet zu diesem Zeitpunkt?
* Wer hatte Zugang?
 
* Was hat der Angreifer auf dem System gemacht? 
- '''Wie''' ist es passier, mit welchen Methoden?
* Wann fand der Vorfall statt?
 
* Welche weiteren Systeme sind noch betroffen?
- '''Wer''' hat es getan (identifizeriun des Angreifers)?
* Warum ist gerade dieses Netz oder System angegriffen worden? 
 
* Wie konnte der Angreifer Zugriff erlangen?
- '''Was''' kann gegen eine Widerholung getan werden?
* Ist der Angriff vor Kurzem geschehen? Was macht der Angreifer jetzt? 
* Was konnte der Angreifer auf diesem System einsehen? 
* Was wurde vom Angreifer zurückgelassen?
* Welche Tools wurden verwendet? 
* Wie wurden diese Tools aufgerufen? 
* In welcher Programmiersprache wurden die Tools geschrieben? 
* Haben diese Dateien Ähnlichkeiten mit Dateien, die auf dem System eines Tatverdächtigen gefunden wurden?
* Welche Events wurden protokolliert? 
* Was wird durch die Protokolldaten enthüllt? (Protokolldaten der remote-Access-Systeme und der Zutrittskontrollsysteme)  
* Was findet sich auf den Datenträgern?  
* Welche Spuren sind durch die verwendeten Applikationen hinterlassen worden?
* Welche Dateien wurden gelöscht? 
* Existieren verschlüsselte Daten? 
* Existieren versteckte Partitionen?
* Existieren bekannte Hintertür- oder andere Fernzugriffstools?

Aktuelle Version vom 4. Dezember 2018, 13:49 Uhr

Die IT-forensiche Untersuchung soll folgende Fragen nach einen Sicherheitsvorfall klären:

  • Was ist passiert, welcher Schaden ist dabei entstanden?
  • Wo ist es passiert, wo sind die Sicherheitslücken?
  • Wann ist es passiert, warum ausgerechnet zu diesem Zeitpunkt?
  • Wie ist es passier, mit welchen Methoden?
  • Wer hat es getan (identifizeriun des Angreifers)?
  • Was kann gegen eine Widerholung getan werden?

In (Geschonnek, S.70) werden diese W-Fragen noch ausführlicher betrachtet:

  • Wer hatte Zugang?
  • Was hat der Angreifer auf dem System gemacht?
  • Wann fand der Vorfall statt?
  • Welche weiteren Systeme sind noch betroffen?
  • Warum ist gerade dieses Netz oder System angegriffen worden?
  • Wie konnte der Angreifer Zugriff erlangen?
  • Ist der Angriff vor Kurzem geschehen? Was macht der Angreifer jetzt?
  • Was konnte der Angreifer auf diesem System einsehen?
  • Was wurde vom Angreifer zurückgelassen?
  • Welche Tools wurden verwendet?
  • Wie wurden diese Tools aufgerufen?
  • In welcher Programmiersprache wurden die Tools geschrieben?
  • Haben diese Dateien Ähnlichkeiten mit Dateien, die auf dem System eines Tatverdächtigen gefunden wurden?
  • Welche Events wurden protokolliert?
  • Was wird durch die Protokolldaten enthüllt? (Protokolldaten der remote-Access-Systeme und der Zutrittskontrollsysteme)
  • Was findet sich auf den Datenträgern?
  • Welche Spuren sind durch die verwendeten Applikationen hinterlassen worden?
  • Welche Dateien wurden gelöscht?
  • Existieren verschlüsselte Daten?
  • Existieren versteckte Partitionen?
  • Existieren bekannte Hintertür- oder andere Fernzugriffstools?