Das Gebiet der IT-Forensik umfasst die Untersuchung verdächtiger Vorfälle, die im Zusammenhang mit IT-Systemen stehen. Die Untersuchung von Computern ist inzwischen auch bei Straftaten, die nicht im IT-Bereich angesiedelt sind, üblich. Selbst im Bereich der Steuerfahndung hat sich dies mittlerweile etabliert.

Beweissicherung in der IT-Forensik

Trotzdem natürlich bekannt ist, dass die einzelnen hinterlassenen Spuren, welche ausgewertet werden sollen, teilweise vergänglich sind, wird häufig bei computerforensischen Untersuchungen zuerst der Netzstecker gezogen. Im Anschluss sehen viele Verfahrensvorgaben den Ausbau der Festplatten mit anschließender Erzeugung eines forensischen Duplikates vor.

Unter einem forensischen Duplikat ist eine bitweise 1:1-Kopie eines digitalen Datenträgers zu verstehen. An diesem werden in der Regel alle Ermittlungsarbeiten vorgenommen, um versehentliche Änderungen an dem originalen Beweisstück zu verhindern. Die oft angewendeten Verfahren zur Beweissicherung in der digitalen Forensik verhindern zum Beispiel die Untersuchung der Inhalte des Arbeitsspeichers, denn diese werden beim Abschalten des Systems gelöscht.

Ergänzend zur klassischen Analyse von Datenträgern beschäftigt sich die Computerforensik immer stärker mit der Auswertung von digitalen Spuren, die Smartphones und PDAs hinterlassen.

Wie in allen Gebieten der Forensik sind auch im Bereich der digitalen Forensik einige Dinge bei der Beweismittelsicherung zu beachten:

• Die Originaldaten dürfen nicht verfälscht werden. Änderungen an den zu sichernden Datenträgern oder Protokollen sind auf jeden Fall zu vermeiden.
• Eine lückenlose Dokumentation der Beweismittelkette ist unerlässlich.
• Die Einbeziehung von Fachleuten verschiedener Spezialgebiete sollte unbedingt in

Erwägung gezogen werden. Damit zum Beispiel bei der Datenrettung nichts schief geht.

Durchführung einer Analyse

Das Durchführen einer computerforensischen Analyse erfordert einen festen Prozess. Dieser unterteilt sich im Normalfall in vier Schritte. Begonnen wird mit der Identifizierung, gefolgt von der Sicherstellung der Datenträger. Anschließend können die gesicherten Materialien analysiert und hinterher zur Präsentation, vor Gericht zum Beispiel, aufbereitet werden. Im Teilprozess der Identifizierung geht es vor allem darum, die Ausgangslage detailliert darzustellen. Die Schwerpunkte der Tätigkeit liegen also in einer möglichst präzisen Dokumentation der Situation und der vorliegenden Beweismittel.

Der Schritt der Sicherstellung umfasst die eigentliche Beweiserhebung. Das Aufrechterhalten der Beweiskette und die Integrität der digitalen Beweise sind die vordergründigen Aufgaben. Das beinhaltet die Sicherung der Beweise auf Datenträgern, wenn möglich sollten auch kryptografische Verfahren zur digitalen Signatur der Daten zum Einsatz kommen. Dies gewährleistet die Unversehrtheit der Daten. Außerdem muss geklärt werden, ob das sicherzustellende System abgeschaltet werden muss oder ob eine Sicherung der flüchtigen Datenbestände, wie dem Inhalt des Arbeitsspeichers, offene Dateien und Netzwerkverbindungen, möglich ist.

Erst nach der Identifizierung und der Sicherstellung der Daten ist eine erste Analyse möglich. Da eine erfolgreiche Analyse von der richtigen Interpretation der vorliegenden Daten und Zusammenhänge abhängt, ist dies der Zeitpunkt, an dem gegebenenfalls Fachleute hinzugezogen werden sollten. Das nötige Fachwissen geht weit über administrative Kenntnisse im Bereich von Netzwerken und Betriebssystemen hinaus. Die Analyse findet normalerweise auf den forensischen Sicherungen statt und nicht an den originalen Datenträgern.

Bei der Aufbereitung werden die Ergebnisse der Analyse in einem Bericht zusammengefasst. In diesem sollten Auskünfte zur Identität des Täters, dem Zeitraum und dem Umfang der Tat, der Motivation und auch der Durchführung enthalten sein. Der Detailgrad der Ausführungen ist selbstverständlich vom Beweismaterial abhängig.