Why-Because-Analyse (WBA)
Why-Because-Analyse (WBA)
Eine Möglichkeit in der IT-Forensik, um in der abschließenden Dokumentation einen Vorfall zu rekonstruieren, ist die Why-Because Analyse (WBA). Das Ziel der WBA ist es, eine korrekte und hinreichende, kausale Erklärung für das Eintreten von Ereignissen zu liefern.
Die Frage der Kausalität
Die Frage der „Kausaltität“ wurde von David Lewis in seinem Artikel „Causation“1) ausführlich beschrieben. Kurz zusammengefasst kann gesagt werden: Ein Ereignis B hängt kausal von einem Ereignis A ab, wenn ohne das Ereignis A das Ereignis B nicht stattfinden hätte können.
Schlussfolgerungen
Durch die Kausalität ist es möglich Schlussfolgerungen zu treffen. Diese Schlussfolgerungen werden dabei von unterschiedlichen Typen von Fakten abgeleitet:
Die vier Typen von Fakten
Naturgegebene Fakten (given facts)
In diesen Typ fallen alle Fakten, welche von Natur aus vorgegeben sind. Dabei soll der Begriff Natur hier als „das Wesen eines Gegenstandes“ verstanden werden und dieser Gegenstand kann durchaus etwas nicht Anfassbares sein. Beispiele für diese Faktentyp sind z.B.:
- Holz ist brennbar
- Wasser fließt in Häusern in Wasserleitungen
- Bei unverschlüsselten Computerverbindungen werden Daten im Klartext übertragen.
Berichtete Fakten (fact given by report)
Dieser Typ umfasst alle Informationen, die einer Dokumentation, Aufzeichnung, ... entnommen werden konnten und sind z.B.:
- Berichte von Zeugen („Herr Müller war Hobby-Handwerker“)
- Aufzeichnungen in Anrufprotokollen („Nachbar beschwert sich beim Notruf der Polizei, dass Herr Müller sonntags schon wieder bohrt“)
- Meldungen aus dem Syslog-Strom
Fakten die auf anderen Fakten beruhen (based on another fact in the list)
In diese Gruppe fallen die Informationen, welche auf Grund von anderen Fakten in der Faktenliste kausal abgeleitet werden können. Solche Fakten könnten z.B. sein:
- Herr Müller hat zum Zeitpunkt des Wasserrohrbruchs gebohrt
- Ein Rechner hat unverschlüsselte Datenverbindungen angeboten.
Schlussfolgerungen (causal conclusions)
Hierunter werden alle Informationen subsumiert, welche auf Grund von Schlussfolgerungen ermittelt werden. Dies könnten z.B. folgende Schlussfolgerungen sein:
- Es war möglich, dass Herr Müller beim Heimwerken die Wasserleitung angebohrt hat
- Es war möglich über die unverschlüsselte Datenverbindung des Computers personenbezogene Daten auszulesen.
Während der Durchführung einer WBA wird eine Liste von o.g. Fakten und Schlussfolgerungen zusammengetragen. Die Analyse gilt als erfolgreich, wenn jeder Fakt aus bereits vorher vorhandenen Fakten logisch rekonstruiert werden kann.
Um eine bessere Übersicht über die Faktenliste zu erhalten, können die Informationen auch in Form einer Baumstruktur dargestellt werden.