IT - Forensik

Aufgabe der IT-Forensik oder digitalen Forensik ist es, systematisch kriminelle Handlungen in Zusammenhang mit IT-Systemen zu identifizierten bzw. auszuschließen sowie zu analysieren und ggf. zu rekonstruieren. Neben der klassischen Datenträgeranalyse von Festplatten aus PC- und Serversystemen kommt der Auswertung digitaler Spuren auf mobilen Endgeräten immer größere Bedeutung zu.

Grundvoraussetzung für das Erzielen nachvollziehbarer Ergebnisse ist der korrekte Umgang mit Beweismitteln. Die Durchführung einer forensischen Analyse von IT-Systemen erfolgt üblicherweise in vier Schritten:

• Identifizierung von Datenträgern, Daten, Dateien, Strukturen, Umgebungen
• Sichern von Beweisen
• Analyse der relevanten erhobenen Beweisdaten
• Aufbereitung und Dokumentation der gerichtsverwertbaren Daten in Form von Gutachten

Grundlage jedes Gutachtens und jeder forensischen Untersuchung ist die "Reproduzierbarkeit" des Ergebnisses.

Um die Reproduzierbarkeit zu gewährleisten ist u.a. folgendes zu beachten:

• Das originale Beweismaterial darf so wenig wie möglich "bewegt" werden. Jede "Bewegung" des Beweismaterials kann eine Verfälschung zur Folge haben. Jede "Bewegung" sollte dokumentiert werden.
• Die Beweismittelkette muss gewahrt werden. Dieses bedeutet und verlangt eine einwandfreie und lückenlose Dokumentation.
• Die Integrität der Daten muss zu jedem Zeitpunkt gesichert sein und die Methoden dies zu garantieren sind vielfältig.

Das persönliche Wissen darf nie überschätzt werden. Eine Einbeziehung verschiedener Fachleute zu Spezialthemen ist in Erwägung zu ziehen.

Zur Auswertung werden u.a. Werkzeuge wie X-Ways Forensics, Encase, Forensik Toolkit, FASTBlockIDE, Tableau Write Blocker (Festplattenschreibprotektor), Systemanalyse-Software sowie PERKEO-Bibliotheken in der jeweils neuesten Version herangezogen.