Beweismittelsicherung in der IT-Forensik

Die beweissichere forensische Analyse ist unabdingbar, um IT-Vorfällen erfolgreich begegnen zu können. Eine Datensicherung auf Datenträgern und Computernetzen muss vorbereitet, geplant und dokumentiert werden. Zur Beweismittelsicherung in der IT-Forensik werden Speichermedien und Netzwerkprotokolle gesichtet, gesichert sowie analysiert. Bei einer Datenträgeranalyse wird zunächst ein forensisches Duplikat (Image) erstellt und gesichert, welches anschließend gesichtet und analysiert wird.

Digitale Spuren

IT-Forensiker identifizieren, lokalisieren und sichern hinterlassene digitale Spuren und Beweise, wie z.B.:

  • Erfolgte Datei-Downloads (zum Beispiel via E-Mail, Skype oder Internetbrowser)
  • Ausgeführte Programme (zum Beispiel wann zuletzt ausgeführt)
  • Erfolgte Dateizugriffe (zum Beispiel letzter Zugriff )
  • Gelöschte Dateien (zum Beispiel Uhrzeit, Dateipfad oder Dateiname)
  • Externe Gerätenutzung (wie Anschluss von USB-Sticks, Nutzer des Gerätes)
  • Detaillierte Systemnutzungen (wie [fehlgeschlagene] Log-Ons, letzter Passwortwechsel)
  • Browsernutzung (zum Beispiel Datum und Uhrzeit, Frequenz besuchter Seiten)

Um rechtssicher handeln zu können und zu den wesentlichen Spuren zu gelangen bedarf es einer genauen Analyse im Einzelfall.

Analyse und Bearbeitung von kriminalistischen Sachverhalten

Eine strukturierte und professionelle Vorgehensweise ist für jeden IT-Forensiker unabdingbar.

Die kriminalistische Fallanalyse ist sehr umfangreich. Einzelne Phasen sind miteinander verzahnt und gehen in einander über. Eine eindeutige Trennung einzelner Analyse- und Bearbeitungsphasen ist nicht möglich. Jeder Einzelfall ist als ein großes Ganzes zu sehen und Wechselwirkungen sind einzukalkulieren ...

Zum vollständigen Artikel


Cookies helfen bei der Bereitstellung unserer Dienste. Durch die Nutzung erklären Sie sich mit der Cookie-Setzung einverstanden. Mehr OK