W-Fragen

Die IT-forensiche Untersuchung soll folgende Fragen nach einen Sicherheitsvorfall klären:

• Was ist passiert, welcher Schaden ist dabei entstanden?
• Wo ist es passiert, wo sind die Sicherheitslücken?
• Wann ist es passiert, warum ausgerechnet zu diesem Zeitpunkt?
• Wie ist es passier, mit welchen Methoden?
• Wer hat es getan (identifizeriun des Angreifers)?
• Was kann gegen eine Widerholung getan werden?

In (Geschonnek, S.70) werden diese W-Fragen noch ausführlicher betrachtet:

• Wer hatte Zugang?
• Was hat der Angreifer auf dem System gemacht?
• Wann fand der Vorfall statt?
• Welche weiteren Systeme sind noch betroffen?
• Warum ist gerade dieses Netz oder System angegriffen worden?
• Wie konnte der Angreifer Zugriff erlangen?
• Ist der Angriff vor Kurzem geschehen? Was macht der Angreifer jetzt?
• Was konnte der Angreifer auf diesem System einsehen?
• Was wurde vom Angreifer zurückgelassen?
• Welche Tools wurden verwendet?
• Wie wurden diese Tools aufgerufen?
• In welcher Programmiersprache wurden die Tools geschrieben?
• Haben diese Dateien Ähnlichkeiten mit Dateien, die auf dem System eines Tatverdächtigen gefunden wurden?
• Welche Events wurden protokolliert?
• Was wird durch die Protokolldaten enthüllt? (Protokolldaten der remote-Access-Systeme und der Zutrittskontrollsysteme)
• Was findet sich auf den Datenträgern?
• Welche Spuren sind durch die verwendeten Applikationen hinterlassen worden?
• Welche Dateien wurden gelöscht?
• Existieren verschlüsselte Daten?
• Existieren versteckte Partitionen?
• Existieren bekannte Hintertür- oder andere Fernzugriffstools?