Zum Inhalt springen

Datenrettung in Deutschland zum Festpreis!

100% kostenlose Analyse

Festpreis-Garantie

Wiederherstellung aller marktüblichen Datenträger

Startseite > Datenrettung Lexikon > Anfangsbuchstabe C > Computer-Forensik

Computer-Forensik Definition & Begriffserklärung

Computer-ForensikBei der so genannten Computer-Forensik, auch als IT-Forensik oder Digitale Forensik bezeichnet, handelt es sich um ein Teilgebiet der klassischen Forensik. Die Computer-Forensik befasst sich mit der Untersuchung verdächtiger Vorfälle im Zusammenhang mit IT-Systemen. Außerdem zählen die Feststellung des jeweiligen Tatbestandes, sowie die Ermittlung der Täter, die durch Sicherstellung, sowie Analyse und Deutung von digitalen Spuren in Computersystemen erfolgt, zu ihren Aufgaben. Die inhaltliche Auswertung computerbezogener Daten hat sich mittlerweile auch im Zusammenhang mit regulären, also nicht computerbezogenen, Straftaten etabliert.

Datenrettung zum Festpreis

Wir analysieren Defekte an allen gängigen Datenträgern aller Hersteller - kostenlos und unverbindlich.

Sie erhalten anschließend ein Festpreis-Angebot für die Wiederherstellung Ihrer Daten. Kosten fallen nur an, wenn Sie uns beauftragen und wir Ihre Daten retten können!

100% kostenlose Analyse anfordern!

Beweismittelsicherung

Zur Beweissicherung werden unter anderem Datenträger sowie Netzprotokolle sichergestellt und analysiert. Mittlerweile wird, neben der Datenträgeranalyse von Festplatten aus Computersystemen, die Untersuchung von mobilen Geräten wie PDAs und Smartphones für die Computer-Forensik relevant. Neben den von polizeilichen Behörden beschäftigten Fachkräften der Computer-Forensik, bieten auch immer mehr IT-Firmen forensische Ermittlungen als Dienstleistung an.

Bevor eine forensische Analyse durchgeführt werden kann, sind einige Dinge zu beachten. Zunächst darf das sichergestellte Originalmaterial möglichst nicht, oder zumindest wenig bewegt werden, weiterhin muss alles im Sinne der Beweismittelkette lückenlos dokumentiert werden, letztlich muss sachlich entschieden werden, ob das Hinzuziehen verschiedener Fachleute notwendig ist.

Arbeitsprozess der Computer-Forensik

Die Computer-Forensik folgt in der Regel einem festen Prozessschema, welches im Wesentlichen aus Identifizierung, Sicherstellung, Analyse und Aufbereitung bzw. Präsentation der Daten besteht.

Identifizierung

Im Teilprozess der Identifizierung soll die Ausgangslage dargestellt werden, daher liegt der Schwerpunkt der Tätigkeiten in einer möglichst präzisen Dokumentation der am Sicherstellungsort vorgefundenen Situation. Nach der Bestandsaufnahme folgt eine Strukturierung und Zuordnung, in welcher Form die Beweise zugänglich sind, in diesem Zusammenhang wird auch der Ort, bzw. die Umgebung der Beweise dokumentiert. Nachdem die Strukturierung erfolgt ist, muss entschieden werden, welche Mittel zu weiteren Beweissicherung benötigt werden, es werden eventuell benötigte Sicherungsmethoden ermittelt und festgelegt. Außerdem wird an diesem Punkt entschieden, ob externe fachliche Hilfe benötigt wird.

Sicherstellung

Der Schritt der Sicherstellung umfasst die eigentliche Beweiserhebung. Hier werden die Beweise auf Datenträgern gesichert werden, im Regelfall werden einfach beschreibbare Medien verwendet, um eine Integrität der Daten zu gewährleisten. Es muss in Folge dieses Prozessschrittes entschieden werden, ob das untersuchte IT-System unter Beachtung der situationsbedingten Gefahr weiterhin betrieben werden kann, oder ob eine Abschaltung erforderlich ist. Im zweiten Fall müssen vorher die Daten aus den flüchtigen Speichern, sowie Netzwerkprotokolle und noch geöffnete Dateien des Systems gesichert werden.

Analyse

Die Aufgabe der Analyse liegt darin, die Beweise zu untersuchen und zu veranschaulichen sowie die Ursachen und die Auswirkungen des Vorfalls zu bemessen. Im Zuge der Analyse ist ein ausgeprägtes Wissen über die verschiedenen relevanten IT-Bereiche wie Netzwerke, Applikationen und Betriebssysteme notwendig. Oft werden an dieser Stelle Fachleute hinzugezogen, um eine richtige Auswertung zu ermöglichen. Nur eine richtige Interpretation der vorliegenden Erkenntnisse führt zu einer erfolgreichen Analyse. Die Analyse findet regulär nicht mehr am tatbezogenen System statt, daher wird sie noch genauer dokumentiert.

Aufbereitung und Präsentation

Der letzte Schritt der Aufbereitung und Präsentation umfasst die Erstellung eines Berichtes auf Grundlage der durch die Analyse gewonnenen Erkenntnisse. Dieser Bericht beinhaltet verschiedene Relevante Erkenntnisse, wie Täteridentitäten, Tatzeiträume, Tatumfang, Motivation der Tat und die Ursache und Durchführung der Tat.

Quelle für Ihr Zitat: Obenstehende Definition darf in kommerziellen und nicht kommerziellen Publikationen (somit auch in Hausarbeiten, Foren, Social Media Seiten) ohne Rückfrage zitiert werden. Kopieren Sie einfach den nachfolgenden Link für Ihr Zitat:

https://www.it-service24.com/lexikon/c/computer-forensik/

Bildnachweis: iStock.com/South_agency
Folgende Artikel könnten ebenfalls interessant für Sie sein: