Zum Inhalt springen

Datenrettung in Deutschland zum Festpreis!

100% kostenlose Analyse

Festpreis-Garantie

Wiederherstellung aller marktüblichen Datenträger

Startseite > Datenrettung Lexikon > Anfangsbuchstabe C > Computer-Forensik

Computer-Forensik Definition & Begriffserklärung

Computer-ForensikBei der so genannten Computer-Forensik, auch als IT-Forensik oder Digitale Forensik bezeichnet, handelt es sich um ein Teilgebiet der klassischen Forensik. Die Computer-Forensik befasst sich mit der Untersuchung verdächtiger Vorfälle im Zusammenhang mit IT-Systemen. Außerdem zählen die Feststellung des jeweiligen Tatbestandes, sowie die Ermittlung der Täter, die durch Sicherstellung, sowie Analyse und Deutung von digitalen Spuren in Computersystemen erfolgt, zu ihren Aufgaben. Die inhaltliche Auswertung computerbezogener Daten hat sich mittlerweile auch im Zusammenhang mit regulären, also nicht computerbezogenen, Straftaten etabliert.

Datenrettung zum Festpreis

Wir analysieren Defekte an allen gängigen Datenträgern aller Hersteller - kostenlos und unverbindlich.

Sie erhalten anschließend ein Festpreis-Angebot für die Wiederherstellung Ihrer Daten. Kosten fallen nur an, wenn Sie uns beauftragen und wir Ihre Daten retten können!

100% kostenlose Analyse anfordern!

Beweismittelsicherung

Zur Beweissicherung werden unter anderem Datenträger sowie Netzprotokolle sichergestellt und analysiert. Mittlerweile wird, neben der Datenträgeranalyse von Festplatten aus Computersystemen, die Untersuchung von mobilen Geräten wie PDAs und Smartphones für die Computer-Forensik relevant. Neben den von polizeilichen Behörden beschäftigten Fachkräften der Computer-Forensik, bieten auch immer mehr IT-Firmen forensische Ermittlungen als Dienstleistung an.

Bevor eine forensische Analyse durchgeführt werden kann, sind einige Dinge zu beachten. Zunächst darf das sichergestellte Originalmaterial möglichst nicht, oder zumindest wenig bewegt werden, weiterhin muss alles im Sinne der Beweismittelkette lückenlos dokumentiert werden, letztlich muss sachlich entschieden werden, ob das Hinzuziehen verschiedener Fachleute notwendig ist.

Arbeitsprozess der Computer-Forensik

Die Computer-Forensik folgt in der Regel einem festen Prozessschema, welches im Wesentlichen aus Identifizierung, Sicherstellung, Analyse und Aufbereitung bzw. Präsentation der Daten besteht.

Identifizierung

Im Teilprozess der Identifizierung soll die Ausgangslage dargestellt werden, daher liegt der Schwerpunkt der Tätigkeiten in einer möglichst präzisen Dokumentation der am Sicherstellungsort vorgefundenen Situation. Nach der Bestandsaufnahme folgt eine Strukturierung und Zuordnung, in welcher Form die Beweise zugänglich sind, in diesem Zusammenhang wird auch der Ort, bzw. die Umgebung der Beweise dokumentiert. Nachdem die Strukturierung erfolgt ist, muss entschieden werden, welche Mittel zu weiteren Beweissicherung benötigt werden, es werden eventuell benötigte Sicherungsmethoden ermittelt und festgelegt. Außerdem wird an diesem Punkt entschieden, ob externe fachliche Hilfe benötigt wird.

Sicherstellung

Der Schritt der Sicherstellung umfasst die eigentliche Beweiserhebung. Hier werden die Beweise auf Datenträgern gesichert werden, im Regelfall werden einfach beschreibbare Medien verwendet, um eine Integrität der Daten zu gewährleisten. Es muss in Folge dieses Prozessschrittes entschieden werden, ob das untersuchte IT-System unter Beachtung der situationsbedingten Gefahr weiterhin betrieben werden kann, oder ob eine Abschaltung erforderlich ist. Im zweiten Fall müssen vorher die Daten aus den flüchtigen Speichern, sowie Netzwerkprotokolle und noch geöffnete Dateien des Systems gesichert werden.

Analyse

Die Aufgabe der Analyse liegt darin, die Beweise zu untersuchen und zu veranschaulichen sowie die Ursachen und die Auswirkungen des Vorfalls zu bemessen. Im Zuge der Analyse ist ein ausgeprägtes Wissen über die verschiedenen relevanten IT-Bereiche wie Netzwerke, Applikationen und Betriebssysteme notwendig. Oft werden an dieser Stelle Fachleute hinzugezogen, um eine richtige Auswertung zu ermöglichen. Nur eine richtige Interpretation der vorliegenden Erkenntnisse führt zu einer erfolgreichen Analyse. Die Analyse findet regulär nicht mehr am tatbezogenen System statt, daher wird sie noch genauer dokumentiert.

Aufbereitung und Präsentation

Der letzte Schritt der Aufbereitung und Präsentation umfasst die Erstellung eines Berichtes auf Grundlage der durch die Analyse gewonnenen Erkenntnisse. Dieser Bericht beinhaltet verschiedene Relevante Erkenntnisse, wie Täteridentitäten, Tatzeiträume, Tatumfang, Motivation der Tat und die Ursache und Durchführung der Tat.

Häufige Fragen und Antworten

Was versteht man unter Computer-Forensik?

Die Computer-Forensik, auch bekannt als IT-Forensik oder Digitale Forensik, ist ein Teilgebiet der Forensik, das sich mit der Untersuchung verdächtiger Vorfälle im Zusammenhang mit IT-Systemen beschäftigt. Sie umfasst Aufgaben wie die Feststellung des Tatbestandes, die Ermittlung der Täter und die Analyse von digitalen Spuren in Computersystemen. Die Computer-Forensik wird auch bei regulären Straftaten eingesetzt.

Welche Schritte umfasst der Arbeitsprozess der Computer-Forensik?

Der Arbeitsprozess der Computer-Forensik folgt einem festen Schema, das aus den Schritten Identifizierung, Sicherstellung, Analyse und Aufbereitung bzw. Präsentation der Daten besteht. Zunächst werden die Ausgangslage und die Beweise identifiziert. Anschließend erfolgt die Sicherstellung der Beweise, indem sie auf Datenträgern gesichert werden. Die Analyse beinhaltet die Untersuchung und Veranschaulichung der Beweise, während die Aufbereitung und Präsentation die Erstellung eines Berichts auf Basis der Analyseergebnisse umfasst.

Was wird bei der Identifizierung in der Computer-Forensik gemacht?

Bei der Identifizierung in der Computer-Forensik wird die Ausgangslage präzise dokumentiert und die Beweise strukturiert und zugeordnet. Es wird festgelegt, in welcher Form die Beweise zugänglich sind, und der Ort der Beweise wird dokumentiert. Zudem wird entschieden, welche weiteren Beweisssicherungsmittel benötigt werden und ob externe Fachleute hinzugezogen werden müssen.

Welche Aufgabe hat die Analyse in der Computer-Forensik?

In der Computer-Forensik liegt die Aufgabe der Analyse darin, die Beweise zu untersuchen und zu veranschaulichen. Es werden Ursachen und Auswirkungen des Vorfalls ermittelt. Hierfür ist ein fundiertes Wissen über IT-Bereiche wie Netzwerke, Applikationen und Betriebssysteme erforderlich. Oft werden Fachleute hinzugezogen, um eine korrekte Auswertung der Beweise zu gewährleisten.

Quelle für Ihr Zitat: Obenstehende Definition darf in kommerziellen und nicht kommerziellen Publikationen (somit auch in Hausarbeiten, Foren, Social Media Seiten) ohne Rückfrage zitiert werden. Kopieren Sie einfach den nachfolgenden Link für Ihr Zitat:

https://www.it-service24.com/lexikon/c/computer-forensik/

Bildnachweis: iStock.com/South_agency
Folgende Artikel könnten ebenfalls interessant für Sie sein: