Zum Inhalt springen

Startseite > Datenrettung Lexikon > Anfangsbuchstabe C > Computer-Forensik

Computer-Forensik Definition & Begriffserklärung

Computer-Forensik – Digitale Spurensicherung und IT-Analyse bei IT-Service24Bei der so genannten Computer-Forensik, auch als IT-Forensik oder Digitale Forensik bezeichnet, handelt es sich um ein Teilgebiet der klassischen Forensik. Die Computer-Forensik befasst sich mit der Untersuchung verdächtiger Vorfälle im Zusammenhang mit IT-Systemen. Außerdem zählen die Feststellung des jeweiligen Tatbestandes, sowie die Ermittlung der Täter, die durch Sicherstellung, sowie Analyse und Deutung von digitalen Spuren in Computersystemen erfolgt, zu ihren Aufgaben. Die inhaltliche Auswertung computerbezogener Daten hat sich mittlerweile auch im Zusammenhang mit regulären, also nicht computerbezogenen, Straftaten etabliert.

Digitale Beweise entstehen in nahezu allen IT-Umgebungen: von Arbeitsplatzrechnern und Servern über mobile Endgeräte bis hin zu Cloud-Diensten. Computer-Forensik dient der gerichtsfesten Rekonstruktion von Ereignissen, der Aufklärung von Sicherheitsvorfällen (z. B. Ransomware, Datenabfluss, Sabotage) und der internen Aufarbeitung von Regelverstößen. Dabei stehen Nachvollziehbarkeit, Integrität und Reproduzierbarkeit der Ergebnisse im Mittelpunkt, unter Einhaltung einschlägiger Richtlinien und dokumentierter Verfahren.

Typische Anwendungsfälle sind unter anderem die Untersuchung von unbefugten Zugriffsversuchen, Manipulationen an Dateien, Missbrauch von Benutzerkonten, interne Wirtschaftskriminalität sowie die Analyse von Malware-Befall. Die Vorgehensweise bleibt stets fokussiert: ein Vorfall, ein Befund, ein belastbares Ergebnis.

Datenrettung zum Festpreis

Wir analysieren Defekte an allen gängigen Datenträgern aller Hersteller - kostenlos und unverbindlich.

Sie erhalten anschließend ein Festpreis-Angebot für die Wiederherstellung Ihrer Daten. Kosten fallen nur an, wenn Sie uns beauftragen und wir Ihre Daten retten können!

100% kostenlose Analyse anfordern!

Beweismittelsicherung

Zur Beweissicherung werden unter anderem Datenträger sowie Netzprotokolle sichergestellt und analysiert. Mittlerweile wird, neben der Datenträgeranalyse von Festplatten aus Computersystemen, die Untersuchung von mobilen Geräten wie PDAs und Smartphones für die Computer-Forensik relevant. Neben den von polizeilichen Behörden beschäftigten Fachkräften der Computer-Forensik, bieten auch immer mehr IT-Firmen forensische Ermittlungen als Dienstleistung an.

Bevor eine forensische Analyse durchgeführt werden kann, sind einige Dinge zu beachten. Zunächst darf das sichergestellte Originalmaterial möglichst nicht, oder zumindest wenig bewegt werden, weiterhin muss alles im Sinne der Beweismittelkette lückenlos dokumentiert werden, letztlich muss sachlich entschieden werden, ob das Hinzuziehen verschiedener Fachleute notwendig ist.

Grundprinzipien der Beweismittelsicherung

  • Integrität: Einsatz von Write-Blockern und bitgenauen Images (Sektor-für-Sektor), gesichert durch Hashwerte (z. B. SHA-256 und MD5) vor und nach der Sicherung.
  • Beweismittelkette (Chain of Custody): Lückenlose Dokumentation von Ort, Zeit, Person, Maßnahmen und eingesetzten Werkzeugen; eindeutige Kennzeichnung und versiegelte Aufbewahrung.
  • Volatile Daten: Vor einer Abschaltung nach Möglichkeit flüchtige Informationen sichern (RAM, laufende Prozesse, Netzwerkverbindungen, temporäre Dateien, offene Handles).
  • Zeitquellen: Systemzeit, Zeitzonen und NTP-Konfiguration festhalten; Abweichungen dokumentieren, um Timeline-Analysen korrekt zu ermöglichen.
  • Quellenvielfalt: Neben lokalen Datenträgern auch Logdaten von Firewalls, Proxys, E-Mail-Gateways, Identity-Systemen, Virtualisierung, Containern sowie Cloud- und SaaS-Protokollen berücksichtigen.

Was unbedingt zu vermeiden ist

  • Keine Änderungen am Originalsystem ohne Notwendigkeit: kein automatisches Bereinigen, keine unnötigen Neustarts, keine Updates.
  • Keine direkte Bearbeitung von Originaldatenträgern; immer Kopien/Images verwenden.
  • Keine ungesicherten Transfers; Transport stets verschlossen, manipulationssicher und dokumentiert.

Arbeitsprozess der Computer-Forensik

Die Computer-Forensik folgt in der Regel einem festen Prozessschema, welches im Wesentlichen aus Identifizierung, Sicherstellung, Analyse und Aufbereitung bzw. Präsentation der Daten besteht.

  1. Identifizierung: Sachverhalt, Umfang, betroffene Systeme, Konten und Zeiträume feststellen; Risiken bewerten; erforderliche Ressourcen definieren.
  2. Sicherstellung: Forensisch einwandfreie Erhebung und Abbildung der relevanten Datenquellen; Schutz der Integrität durch Hashing und Dokumentation.
  3. Analyse: Auswertung der Artefakte, Korrelation der Spuren, Bewertung von Ursachen, Auswirkungen und möglicher Tätermethoden.
  4. Aufbereitung/Präsentation: Erstellung eines strukturierten, nachvollziehbaren Berichts mit Belegen, Methodik, Grenzen und Schlussfolgerungen.

Hinweis: In vielen Fällen wird eine vorgelagerte Triage durchgeführt, um Dringlichkeit und Prioritäten festzulegen, ohne die forensische Qualität zu gefährden.

Identifizierung

Im Teilprozess der Identifizierung soll die Ausgangslage dargestellt werden, daher liegt der Schwerpunkt der Tätigkeiten in einer möglichst präzisen Dokumentation der am Sicherstellungsort vorgefundenen Situation. Nach der Bestandsaufnahme folgt eine Strukturierung und Zuordnung, in welcher Form die Beweise zugänglich sind, in diesem Zusammenhang wird auch der Ort, bzw. die Umgebung der Beweise dokumentiert. Nachdem die Strukturierung erfolgt ist, muss entschieden werden, welche Mittel zu weiteren Beweissicherung benötigt werden, es werden eventuell benötigte Sicherungsmethoden ermittelt und festgelegt. Außerdem wird an diesem Punkt entschieden, ob externe fachliche Hilfe benötigt wird.

  • Scope bestimmen: Welche Systeme, Benutzerkonten, Netzsegmente, Applikationen und Zeitfenster sind betroffen?
  • Artefakte planen: Welche Logquellen und Datei-/Systemartefakte werden benötigt (z. B. Event-Logs, Registry, Browser, E-Mail, Datenbanken, Virtualisierungs-Snapshots)?
  • Risiken und Prioritäten: Gefahr weiterer Datenverluste, laufende Verschlüsselung, aktive Angreifer; Maßnahmen zur Eindämmung definieren, ohne Beweise zu verändern.
  • Rechts- und Compliance-Rahmen: Zuständigkeiten und Aufbewahrungsfristen klären; Dokumentationsstandard festlegen.

Sicherstellung

Der Schritt der Sicherstellung umfasst die eigentliche Beweiserhebung. Hier werden die Beweise auf Datenträgern gesichert werden, im Regelfall werden einfach beschreibbare Medien verwendet, um eine Integrität der Daten zu gewährleisten. Es muss in Folge dieses Prozessschrittes entschieden werden, ob das untersuchte IT-System unter Beachtung der situationsbedingten Gefahr weiterhin betrieben werden kann, oder ob eine Abschaltung erforderlich ist. Im zweiten Fall müssen vorher die Daten aus den flüchtigen Speichern, sowie Netzwerkprotokolle und noch geöffnete Dateien des Systems gesichert werden.

Methoden der Sicherstellung

  • Bitstream-Imaging: Vollständige, sektorweise Abbilder inklusive unzugeordneter Bereiche und Slack Space, um gelöschte Spuren zu erhalten.
  • Hash-Verifikation: Berechnung und Protokollierung von Hashwerten (z. B. SHA-256/MD5) vor, während und nach der Sicherung; Abgleich zur Integritätsprüfung.
  • Live-Response: Bei laufenden Systemen gezielte Sicherung von RAM, Prozesslisten, Netzwerkstatus, temporären Dateien und Konfigurationszuständen.
  • Write-Blocker: Physische oder softwarebasierte Schreibschutzmechanismen, um Veränderungen zu vermeiden.
  • Mobile und Cloud: Forensische Extraktion von Smartphones/Tablets (logisch/physisch je nach Modell und OS) sowie Abruf relevanter Cloud- und SaaS-Artefakte (z. B. Audit-Logs, Versionshistorien).

Praktische Hinweise

  • Netzwerkisolation statt Abschalten, wenn laufende volatile Beweise priorisiert sind.
  • Dokumentation jedes Schrittes mit Zeitstempel, Verantwortlichen, Werkzeugversionen und Parametern.
  • Sichere Aufbewahrung der Originalmedien und getrennte Arbeit an den Kopien/Images.

Analyse

Die Aufgabe der Analyse liegt darin, die Beweise zu untersuchen und zu veranschaulichen sowie die Ursachen und die Auswirkungen des Vorfalls zu bemessen. Im Zuge der Analyse ist ein ausgeprägtes Wissen über die verschiedenen relevanten IT-Bereiche wie Netzwerke, Applikationen und Betriebssysteme notwendig. Oft werden an dieser Stelle Fachleute hinzugezogen, um eine richtige Auswertung zu ermöglichen. Nur eine richtige Interpretation der vorliegenden Erkenntnisse führt zu einer erfolgreichen Analyse. Die Analyse findet regulär nicht mehr am tatbezogenen System statt, daher wird sie noch genauer dokumentiert.

Zentrale Analysebereiche

  • Timeline-Rekonstruktion: Korrelation von Datei- und Log-Zeitstempeln (MACB), Ereignisprotokollen und Benutzeraktivitäten.
  • Dateisystem-Artefakte: NTFS (MFT, USN-Journal), FAT/exFAT, ext4 (Journal), APFS (Snapshots), inklusive Wiederherstellung gelöschter Einträge.
  • Systemartefakte: Windows-Registry, Prefetch, ShimCache/AmCache, Event-Logs; unter macOS LaunchAgents/Daemons, Unified Logs; unter Linux Syslogs, Journald.
  • Anwendungs- und Benutzerartefakte: Browser-Verläufe, Cookies, Downloads, E-Mail-Clients, Chat- und Collaboration-Tools, Office-Dokumente mit Metadaten.
  • Netzwerkforensik: PCAPs, NetFlow, Proxy- und Firewall-Logs; Identifikation von Command-and-Control, Datenabfluss und lateralem Movement.
  • Malware- und TTP-Analyse: Erkennung von Persistenzmechanismen, Script-Artefakten, geplanten Tasks, verdächtigen Autostarts und Anti-Forensik-Spuren.

Aktuelle Plattformen und Versionen

  • Windows: Analysen berücksichtigen Windows 11 und 10 ebenso wie ältere Systeme (z. B. 8.1, 7), da Altgeräte oft noch im Einsatz sind.
  • macOS: Moderne Artefakte unter macOS 14/15 (z. B. Sonoma/Sequoia) neben älteren Versionen; APFS-spezifische Besonderheiten beachten.
  • Mobile: iOS/iPadOS (inkl. iOS 18) und Android 14/15 mit fokussierten Extraktionsverfahren; ältere Versionen bleiben relevant für Altgeräte.
  • Server/Cloud: Windows Server bis 2022 und Linux-Distributionen in Bare-Metal-, VM- und Container-Umgebungen; Auswertung cloudnativer Audit-Trails.

Qualitätssicherung: Jede Aussage wird mit Belegen (Hashes, Screenshots, Artefaktpfade, Tool-Logs) untermauert. Ergebnisse müssen reproduzierbar sein; verwendete Tool-Versionen und Parameter werden explizit angegeben.

Aufbereitung und Präsentation

Der letzte Schritt der Aufbereitung und Präsentation umfasst die Erstellung eines Berichtes auf Grundlage der durch die Analyse gewonnenen Erkenntnisse. Dieser Bericht beinhaltet verschiedene Relevante Erkenntnisse, wie Täteridentitäten, Tatzeiträume, Tatumfang, Motivation der Tat und die Ursache und Durchführung der Tat.

Inhalte eines gerichtsfesten Abschlussberichts

  • Executive Summary: Kurzfassung der wichtigsten Ergebnisse, Zeitleiste und Auswirkungen.
  • Methodik: Vorgehen, Tools, Versionen, Validierung, Hashwerte und Chain-of-Custody-Übersicht.
  • Detailbefunde: Artefakte, Logauszüge, rekonstruierte Handlungen, Korrelationen und alternative Erklärungen.
  • Einschränkungen: Grenzen der Datenlage, unzugängliche Quellen, potenzielle Unsicherheiten.
  • Anlagen: Prüfsummenlisten, Image-Informationen, extrahierte Artefakte, exemplarische Screenshots.

Die Darstellung erfolgt sachlich und nachvollziehbar, getrennt zwischen Fakten, Interpretation und Schlussfolgerung. So bleibt der Bericht für technische Leser und juristische Bewertung gleichermaßen verständlich und belastbar.

Häufige Fragen und Antworten

Was versteht man unter Computer-Forensik?

Die Computer-Forensik, auch bekannt als IT-Forensik oder Digitale Forensik, ist ein Teilgebiet der Forensik, das sich mit der Untersuchung verdächtiger Vorfälle im Zusammenhang mit IT-Systemen beschäftigt. Sie umfasst Aufgaben wie die Feststellung des Tatbestandes, die Ermittlung der Täter und die Analyse von digitalen Spuren in Computersystemen. Die Computer-Forensik wird auch bei regulären Straftaten eingesetzt.

Im Fokus stehen die gerichtsfeste Sicherung und Auswertung digitaler Beweise. Dazu zählen neben lokalen Datenträgern auch Protokolle aus Netzwerken, virtuellen Umgebungen, mobilen Endgeräten und Cloud-Diensten. Ziel ist die rekonstruierte Ereigniskette, die eine belastbare Bewertung von Ursache, Vorgehensweise und Auswirkungen ermöglicht.

  • Einsatzfelder: Sicherheitsvorfälle (z. B. Ransomware), Datenabfluss, interne Regelverstöße, Sabotage, Betrugsdelikte.
  • Schlüsselprinzipien: Integrität, Nachvollziehbarkeit, Reproduzierbarkeit und lückenlose Dokumentation.
Welche Schritte umfasst der Arbeitsprozess der Computer-Forensik?

Der Arbeitsprozess der Computer-Forensik folgt einem festen Schema, das aus den Schritten Identifizierung, Sicherstellung, Analyse und Aufbereitung bzw. Präsentation der Daten besteht. Zunächst werden die Ausgangslage und die Beweise identifiziert. Anschließend erfolgt die Sicherstellung der Beweise, indem sie auf Datenträgern gesichert werden. Die Analyse beinhaltet die Untersuchung und Veranschaulichung der Beweise, während die Aufbereitung und Präsentation die Erstellung eines Berichts auf Basis der Analyseergebnisse umfasst.

  1. Identifizierung: Umfang, Systeme, Konten und Zeiträume bestimmen; Risiken und Prioritäten festlegen.
  2. Sicherstellung: Forensisch einwandfreie Erhebung mit Hash-Verifikation und dokumentierter Beweismittelkette.
  3. Analyse: Korrelation von Artefakten, Timeline-Aufbau, Bewertung von Ursachen und Auswirkungen.
  4. Aufbereitung: Strukturierter Bericht mit Faktenbasis, Methodik, Grenzen und Schlussfolgerungen.

Praktisch hat sich eine Triage vorab bewährt, um volatile Daten rechtzeitig zu sichern und die richtigen Quellen zuerst zu erfassen.

Was wird bei der Identifizierung in der Computer-Forensik gemacht?

Bei der Identifizierung in der Computer-Forensik wird die Ausgangslage präzise dokumentiert und die Beweise strukturiert und zugeordnet. Es wird festgelegt, in welcher Form die Beweise zugänglich sind, und der Ort der Beweise wird dokumentiert. Zudem wird entschieden, welche weiteren Beweisssicherungsmittel benötigt werden und ob externe Fachleute hinzugezogen werden müssen.

  • Quelle-zu-Befund-Mapping: Welche Systeme liefern welche Artefakte (z. B. Windows-Event-Logs, Registry, APFS-Snapshots, E-Mail-Archive)?
  • Zeitfenster: Relevante Start- und Endpunkte definieren; Zeitabweichungen festhalten.
  • Risikoabschätzung: Besteht akute Gefahr (z. B. aktive Verschlüsselung)? Maßnahmen ohne Beweisverlust planen.
  • Ressourcen: Werkzeuge, Speicherplatz für Images, qualifizierte Expertise und Rollen festlegen.
Welche Aufgabe hat die Analyse in der Computer-Forensik?

In der Computer-Forensik liegt die Aufgabe der Analyse darin, die Beweise zu untersuchen und zu veranschaulichen. Es werden Ursachen und Auswirkungen des Vorfalls ermittelt. Hierfür ist ein fundiertes Wissen über IT-Bereiche wie Netzwerke, Applikationen und Betriebssysteme erforderlich. Oft werden Fachleute hinzugezogen, um eine korrekte Auswertung der Beweise zu gewährleisten.

Die Analyse konsolidiert Dateisystem-, System- und Netzwerkartefakte zu einer konsistenten Zeitleiste. Dabei werden auch Spuren möglicher Anti-Forensik (z. B. Manipulation von Zeitstempeln, Artefaktbereinigung) bewertet. Aussagen werden mit Hashwerten, Pfadangaben und Tool-Logs belegt, um Reproduzierbarkeit sicherzustellen.

  • Moderne Plattformen: Fokus auf Windows 11/10, aktuelle macOS-Versionen (z. B. Sonoma/Sequoia) sowie Android/iOS, unter Berücksichtigung älterer Systeme, die weiterhin im Einsatz sind.
  • Ergebnis: Belastbare Feststellungen zu Tatzeit, Vorgehen, Auswirkungen und möglichen Verantwortlichkeiten.
Quelle für Ihr Zitat: Obenstehende Definition darf in kommerziellen und nicht kommerziellen Publikationen (somit auch in Hausarbeiten, Foren, Social Media Seiten) ohne Rückfrage zitiert werden. Kopieren Sie einfach den nachfolgenden Link für Ihr Zitat:

https://www.it-service24.com/lexikon/c/computer-forensik/

Bildnachweis: iStock.com/South_agency

Sie können entspannt sein.
Wir retten Ihre Daten.

Sie können entspannt sein. Wir retten Ihre Daten.
100% kostenlose Analyse!

Senden Sie uns jetzt Ihre unverbindliche Anfrage: Sie erhalten eine kostenlose Analyse und ein unverbindliches Angebot zur Datenrettung mit Festpreisgarantie.

Ihre Daten werden gemäß Datenschutzerklärung verarbeitet, um Ihre Anfrage bearbeiten zu können.
Wir helfen Ihnen gerne!

Häufige Fragen
und Antworten

Für weitere Fragen stehen wir Ihnen gerne zur Verfügung:
» Kontakt

Folgende Artikel könnten Sie ebenfalls interessieren:

Related Posts