Why-Because-Analyse (WBA): Unterschied zwischen den Versionen
(Versuch einer Referenz) |
K (Aufzählungen korrekt eingetragen; Einzelbeleg-Angabe eingebunden) |
||
(Eine dazwischenliegende Version desselben Benutzers wird nicht angezeigt) | |||
Zeile 4: | Zeile 4: | ||
=== Die Frage der Kausalität === | === Die Frage der Kausalität === | ||
Die Frage der „Kausaltität“ wurde von David Lewis in seinem Artikel „Causation“ | Die Frage der „Kausaltität“ wurde von David Lewis in seinem Artikel „Causation“<sup>1)</sup> ausführlich beschrieben. Kurz zusammengefasst kann gesagt werden: | ||
Ein Ereignis B hängt kausal von einem Ereignis A ab, wenn ohne das Ereignis A das Ereignis B nicht stattfinden hätte können. | Ein Ereignis B hängt kausal von einem Ereignis A ab, wenn ohne das Ereignis A das Ereignis B nicht stattfinden hätte können. | ||
Zeile 14: | Zeile 14: | ||
In diesen Typ fallen alle Fakten, welche von Natur aus vorgegeben sind. Dabei soll der Begriff Natur hier als „das Wesen eines Gegenstandes“ verstanden werden und dieser Gegenstand kann durchaus etwas nicht Anfassbares sein. | In diesen Typ fallen alle Fakten, welche von Natur aus vorgegeben sind. Dabei soll der Begriff Natur hier als „das Wesen eines Gegenstandes“ verstanden werden und dieser Gegenstand kann durchaus etwas nicht Anfassbares sein. | ||
Beispiele für diese Faktentyp sind z.B.: | Beispiele für diese Faktentyp sind z.B.: | ||
Holz ist brennbar | * Holz ist brennbar | ||
Wasser fließt in Häusern in Wasserleitungen | * Wasser fließt in Häusern in Wasserleitungen | ||
Bei unverschlüsselten Computerverbindungen werden Daten im Klartext übertragen. | * Bei unverschlüsselten Computerverbindungen werden Daten im Klartext übertragen. | ||
==== Berichtete Fakten (fact given by report) ==== | ==== Berichtete Fakten (fact given by report) ==== | ||
Dieser Typ umfasst alle Informationen, die einer Dokumentation, Aufzeichnung, ... entnommen werden konnten und sind z.B.: | Dieser Typ umfasst alle Informationen, die einer Dokumentation, Aufzeichnung, ... entnommen werden konnten und sind z.B.: | ||
Berichte von Zeugen („Herr Müller war Hobby-Handwerker“) | * Berichte von Zeugen („Herr Müller war Hobby-Handwerker“) | ||
Aufzeichnungen in Anrufprotokollen („Nachbar beschwert sich beim Notruf der Polizei, dass Herr Müller sonntags schon wieder bohrt“) | * Aufzeichnungen in Anrufprotokollen („Nachbar beschwert sich beim Notruf der Polizei, dass Herr Müller sonntags schon wieder bohrt“) | ||
Meldungen aus dem Syslog-Strom | * Meldungen aus dem Syslog-Strom | ||
==== Fakten die auf anderen Fakten beruhen (based on another fact in the list) ==== | ==== Fakten die auf anderen Fakten beruhen (based on another fact in the list) ==== | ||
In diese Gruppe fallen die Informationen, welche auf Grund von anderen Fakten in der Faktenliste kausal abgeleitet werden können. Solche Fakten könnten z.B. sein: | In diese Gruppe fallen die Informationen, welche auf Grund von anderen Fakten in der Faktenliste kausal abgeleitet werden können. Solche Fakten könnten z.B. sein: | ||
Herr Müller hat zum Zeitpunkt des Wasserrohrbruchs gebohrt | * Herr Müller hat zum Zeitpunkt des Wasserrohrbruchs gebohrt | ||
Ein Rechner hat unverschlüsselte Datenverbindungen angeboten. | * Ein Rechner hat unverschlüsselte Datenverbindungen angeboten. | ||
==== Schlussfolgerungen (causal conclusions) ==== | ==== Schlussfolgerungen (causal conclusions) ==== | ||
Hierunter werden alle Informationen subsumiert, welche auf Grund von Schlussfolgerungen ermittelt werden. Dies könnten z.B. folgende Schlussfolgerungen sein: | Hierunter werden alle Informationen subsumiert, welche auf Grund von Schlussfolgerungen ermittelt werden. Dies könnten z.B. folgende Schlussfolgerungen sein: | ||
Es war möglich, dass Herr Müller beim Heimwerken die Wasserleitung angebohrt hat | * Es war möglich, dass Herr Müller beim Heimwerken die Wasserleitung angebohrt hat | ||
Es war möglich über die unverschlüsselte Datenverbindung des Computers personenbezogene Daten auszulesen. | * Es war möglich über die unverschlüsselte Datenverbindung des Computers personenbezogene Daten auszulesen. | ||
Während der Durchführung einer WBA wird eine Liste von o.g. Fakten und Schlussfolgerungen zusammengetragen. Die Analyse gilt als erfolgreich, wenn jeder Fakt aus bereits vorher vorhandenen Fakten logisch rekonstruiert werden kann. | Während der Durchführung einer WBA wird eine Liste von o.g. Fakten und Schlussfolgerungen zusammengetragen. Die Analyse gilt als erfolgreich, wenn jeder Fakt aus bereits vorher vorhandenen Fakten logisch rekonstruiert werden kann. | ||
Um eine bessere Übersicht über die Faktenliste zu erhalten, können die Informationen auch in Form einer Baumstruktur dargestellt werden. | Um eine bessere Übersicht über die Faktenliste zu erhalten, können die Informationen auch in Form einer Baumstruktur dargestellt werden. | ||
== Einzelbelege == | |||
<sup>1)</sup>[https://philarchive.org/archive/YABAFAv1 Causation, David Lewis, Journal of Philosophy, Inc.(1973)] |
Aktuelle Version vom 31. Juli 2019, 13:08 Uhr
Why-Because-Analyse (WBA)
Eine Möglichkeit in der IT-Forensik, um in der abschließenden Dokumentation einen Vorfall zu rekonstruieren, ist die Why-Because Analyse (WBA). Das Ziel der WBA ist es, eine korrekte und hinreichende, kausale Erklärung für das Eintreten von Ereignissen zu liefern.
Die Frage der Kausalität
Die Frage der „Kausaltität“ wurde von David Lewis in seinem Artikel „Causation“1) ausführlich beschrieben. Kurz zusammengefasst kann gesagt werden: Ein Ereignis B hängt kausal von einem Ereignis A ab, wenn ohne das Ereignis A das Ereignis B nicht stattfinden hätte können.
Schlussfolgerungen
Durch die Kausalität ist es möglich Schlussfolgerungen zu treffen. Diese Schlussfolgerungen werden dabei von unterschiedlichen Typen von Fakten abgeleitet:
Die vier Typen von Fakten
Naturgegebene Fakten (given facts)
In diesen Typ fallen alle Fakten, welche von Natur aus vorgegeben sind. Dabei soll der Begriff Natur hier als „das Wesen eines Gegenstandes“ verstanden werden und dieser Gegenstand kann durchaus etwas nicht Anfassbares sein. Beispiele für diese Faktentyp sind z.B.:
- Holz ist brennbar
- Wasser fließt in Häusern in Wasserleitungen
- Bei unverschlüsselten Computerverbindungen werden Daten im Klartext übertragen.
Berichtete Fakten (fact given by report)
Dieser Typ umfasst alle Informationen, die einer Dokumentation, Aufzeichnung, ... entnommen werden konnten und sind z.B.:
- Berichte von Zeugen („Herr Müller war Hobby-Handwerker“)
- Aufzeichnungen in Anrufprotokollen („Nachbar beschwert sich beim Notruf der Polizei, dass Herr Müller sonntags schon wieder bohrt“)
- Meldungen aus dem Syslog-Strom
Fakten die auf anderen Fakten beruhen (based on another fact in the list)
In diese Gruppe fallen die Informationen, welche auf Grund von anderen Fakten in der Faktenliste kausal abgeleitet werden können. Solche Fakten könnten z.B. sein:
- Herr Müller hat zum Zeitpunkt des Wasserrohrbruchs gebohrt
- Ein Rechner hat unverschlüsselte Datenverbindungen angeboten.
Schlussfolgerungen (causal conclusions)
Hierunter werden alle Informationen subsumiert, welche auf Grund von Schlussfolgerungen ermittelt werden. Dies könnten z.B. folgende Schlussfolgerungen sein:
- Es war möglich, dass Herr Müller beim Heimwerken die Wasserleitung angebohrt hat
- Es war möglich über die unverschlüsselte Datenverbindung des Computers personenbezogene Daten auszulesen.
Während der Durchführung einer WBA wird eine Liste von o.g. Fakten und Schlussfolgerungen zusammengetragen. Die Analyse gilt als erfolgreich, wenn jeder Fakt aus bereits vorher vorhandenen Fakten logisch rekonstruiert werden kann.
Um eine bessere Übersicht über die Faktenliste zu erhalten, können die Informationen auch in Form einer Baumstruktur dargestellt werden.