Zur Durchführung einer Analyse mittels IT-Forensik ist ein fester Prozess notwendig. Dieser besteht im normalen Sinne aus folgenden vier Schritten:

  • Identifizierung
  • Sicherstellung
  • Analyse
  • Präsentation / Aufbereitung

Innerhalb der Einzelschritte des Gesamtprozesses geht es im Wesentlichen um die Klärung folgender Fragestellungen im Hinblick auf die Geschehnisse, die zur Untersuchung geführt haben:

  • 'Wer' - Wer bewegte bzw. veränderte Daten? Wer war anwesend und beteiligt?
  • 'Wann' - Datum und Uhrzeit.
  • 'Warum' - Warum wurde eine Änderung, Bewegung und / oder Abweichung vorgenommen?
  • 'Wo' - Genaue Ortsangabe.
  • 'Was' - Was wurde genau getan?
  • 'Wie' - Wie wurde vorgegangen bzw. welche Tools und / oder welche physikalischen Mittel wurden eingesetzt

Source : wikipedia