Das Gebiet der IT-Forensik umfasst die Untersuchung verdächtiger Vorfälle, die im Zusammenhang mit IT-Systemen stehen. Die Untersuchung von Computern ist inzwischen auch bei Straftaten, die nicht im IT-Bereich angesiedelt sind, üblich. Selbst im Bereich der Steuerfahndung hat sich dies mittlerweile etabliert.
Wir analysieren Defekte an allen gängigen Datenträgern aller Hersteller - kostenlos und unverbindlich.
Sie erhalten anschließend ein Festpreis-Angebot für die Wiederherstellung Ihrer Daten. Kosten fallen nur an, wenn Sie uns beauftragen und wir Ihre Daten retten können!
100% kostenlose Analyse anfordern!Beweissicherung in der IT-Forensik
Trotzdem natürlich bekannt ist, dass die einzelnen hinterlassenen Spuren, welche ausgewertet werden sollen, teilweise vergänglich sind, wird häufig bei computerforensischen Untersuchungen zuerst der Netzstecker gezogen. Im Anschluss sehen viele Verfahrensvorgaben den Ausbau der Festplatten mit anschließender Erzeugung eines forensischen Duplikates vor.
Unter einem forensischen Duplikat ist eine bitweise 1:1-Kopie eines digitalen Datenträgers zu verstehen. An diesem werden in der Regel alle Ermittlungsarbeiten vorgenommen, um versehentliche Änderungen an dem originalen Beweisstück zu verhindern. Die oft angewendeten Verfahren zur Beweissicherung in der digitalen Forensik verhindern zum Beispiel die Untersuchung der Inhalte des Arbeitsspeichers, denn diese werden beim Abschalten des Systems gelöscht.
Ergänzend zur klassischen Analyse von Datenträgern beschäftigt sich die Computerforensik immer stärker mit der Auswertung von digitalen Spuren, die Smartphones und PDAs hinterlassen.
Wie in allen Gebieten der Forensik sind auch im Bereich der digitalen Forensik einige Dinge bei der Beweismittelsicherung zu beachten:
- Die Originaldaten dürfen nicht verfälscht werden. Änderungen an den zu sichernden Datenträgern oder Protokollen sind auf jeden Fall zu vermeiden.
- Eine lückenlose Dokumentation der Beweismittelkette ist unerlässlich.
- Die Einbeziehung von Fachleuten verschiedener Spezialgebiete sollte unbedingt in
Erwägung gezogen werden. Damit zum Beispiel bei der Datenrettung nichts schief geht.
Durchführung einer Analyse
Das Durchführen einer computerforensischen Analyse erfordert einen festen Prozess. Dieser unterteilt sich im Normalfall in vier Schritte. Begonnen wird mit der Identifizierung, gefolgt von der Sicherstellung der Datenträger. Anschließend können die gesicherten Materialien analysiert und hinterher zur Präsentation, vor Gericht zum Beispiel, aufbereitet werden. Im Teilprozess der Identifizierung geht es vor allem darum, die Ausgangslage detailliert darzustellen. Die Schwerpunkte der Tätigkeit liegen also in einer möglichst präzisen Dokumentation der Situation und der vorliegenden Beweismittel.
Der Schritt der Sicherstellung umfasst die eigentliche Beweiserhebung. Das Aufrechterhalten der Beweiskette und die Integrität der digitalen Beweise sind die vordergründigen Aufgaben. Das beinhaltet die Sicherung der Beweise auf Datenträgern, wenn möglich sollten auch kryptografische Verfahren zur digitalen Signatur der Daten zum Einsatz kommen. Dies gewährleistet die Unversehrtheit der Daten. Außerdem muss geklärt werden, ob das sicherzustellende System abgeschaltet werden muss oder ob eine Sicherung der flüchtigen Datenbestände, wie dem Inhalt des Arbeitsspeichers, offene Dateien und Netzwerkverbindungen, möglich ist.
Erst nach der Identifizierung und der Sicherstellung der Daten ist eine erste Analyse möglich. Da eine erfolgreiche Analyse von der richtigen Interpretation der vorliegenden Daten und Zusammenhänge abhängt, ist dies der Zeitpunkt, an dem gegebenenfalls Fachleute hinzugezogen werden sollten. Das nötige Fachwissen geht weit über administrative Kenntnisse im Bereich von Netzwerken und Betriebssystemen hinaus. Die Analyse findet normalerweise auf den forensischen Sicherungen statt und nicht an den originalen Datenträgern.
Bei der Aufbereitung werden die Ergebnisse der Analyse in einem Bericht zusammengefasst. In diesem sollten Auskünfte zur Identität des Täters, dem Zeitraum und dem Umfang der Tat, der Motivation und auch der Durchführung enthalten sein. Der Detailgrad der Ausführungen ist selbstverständlich vom Beweismaterial abhängig.
Häufige Fragen und Antworten
Was ist IT-Forensik und welche Aufgaben umfasst sie?
Die IT-Forensik ist ein Gebiet, das sich mit der Untersuchung verdächtiger Vorfälle beschäftigt, die im Zusammenhang mit IT-Systemen stehen. Diese Untersuchungen umfassen nicht nur Straftaten im IT-Bereich, sondern können auch in anderen Kontexten, wie etwa der Steuerfahndung, eingesetzt werden. Zu den Aufgaben der IT-Forensik gehören die Sicherung und Analyse von digitalen Spuren, die Erstellung von forensischen Duplikaten, die Identifizierung von Tätern und die Aufbereitung von Ergebnissen in Berichten.
Wie wird die Beweissicherung in der IT-Forensik durchgeführt?
Die Beweissicherung in der IT-Forensik erfolgt durch einen festen Prozess, der normalerweise in vier Schritte unterteilt ist. Zunächst wird die Ausgangslage detailliert dokumentiert, gefolgt von der Sicherstellung der relevanten Datenträger. Anschließend werden forensische Duplikate erstellt, um das original Beweismaterial nicht zu verändern. Schließlich werden die gesicherten Materialien analysiert und die Ergebnisse in Berichten aufbereitet. Während des gesamten Prozesses ist es wichtig, die Originaldaten nicht zu verfälschen und eine lückenlose Dokumentation zu gewährleisten.
Welche Rolle spielt die Analyse in der IT-Forensik?
Die Analyse spielt eine wesentliche Rolle in der IT-Forensik, da sie dazu dient, die vorliegenden Daten und Zusammenhänge richtig zu interpretieren. Bei der Analyse werden in der Regel forensische Sicherungen verwendet, um Änderungen an den originalen Datenträgern zu vermeiden. Es kann erforderlich sein, Fachleute hinzuzuziehen, da das nötige Fachwissen über Netzwerke, Betriebssysteme und digitale Spuren umfassend sein muss. Die Ergebnisse der Analyse werden in Berichten aufbereitet, in denen Informationen zur Identität des Täters, dem Tatzeitraum, der Motivation und der Durchführung enthalten sein können.
