Analyse-, Ermittlungs- und Beweissicherungstechniken auf IT-Systemen

Die digitale Forensik, oder auch IT-Forensik, ist ein spezielles Teilgebiet der Informatik und der Forensik. Sie soll insbesondere bei Gerichtsverfahren zusätzliche Beweise liefern, die in Zusammenhang mit der Nutzung neuer, digitaler Medien stehen. Hierbei muss es sich nicht zwangsläufig um Computer handeln. Der Schwerpunkt verlagert sich immer weiter in Richtung mobiler Geräte wie Smartphones. Hier findet inzwischen nicht nur die persönliche Kommunikation mit unseren Mitmenschen statt, sondern das Smartphone beinhaltet auch einen großen Teil unserer Privatsphäre, wie z. B. Fotos, Adressen, persönliche Verhaltensweisen oder sogar Gesundheitsdaten.

Zu einem weiteren nicht zu unterschätzenden Bereich entwickelt sich zunehmend das Automobil. Hier werden bereits seit Jahren Daten produziert, gespeichert und verarbeitet. Dabei sind nicht nur Pkw-Hersteller involviert, sondern auch deren Zulieferer sowie Dienstleister, welche die Daten speichern und verarbeiten. So entsteht teilweise ein wirres Netz. Da gewisse Daten für das Fahrzeug technisch erforderlich sind, können sie mit entsprechenden Mitteln ausgelesen werden und so Aufschluss über viele Verhaltensweisen des Fahrers geben.

Das S-A-P-Modell

Egal um welches Medium es sich handelt, das Vorgehen des IT-Forensikers muss immer demselben Schema folgen, dem S-A-P-Modell. S-A-P steht dabei für Secure, Analyze und Present.

icon - thunder shield

Jetzt Infomaterial downloaden:
 Flyer "Digitale ForensiK"

 

Secure

In der Secure-Phase werden die potenziell relevanten Daten gesichert. Hierbei ist es wichtig, die gesicherten Daten nicht zu verändern. Um das zu gewährleisten, sollte ein physikalischer Write-Blocker verwendet werden. Anhand von Hash-Werten lässt sich im Nachhinein noch die Gleichheit des Duplikats nachvollziehen. Zusätzlich kann auch das 4-Augen-Prinzip angewendet werden. Es kann vorkommen, dass bei flüchtigen Daten (z. B. Arbeitsspeicher) ein Kompromiss zwischen vollständigen und geänderten Daten erforderlich ist. In solch einem Fall müssen das Vorgehen und die getroffenen Entscheidungen genauestens dokumentiert werden.

Analyze

In der Analyze-Phase werden die gesicherten Daten aufbereitet und analysiert. Hierfür werden je nach Anwendungsfall ein oder mehrere forensische Softwareprodukte wie z. B. Nuix oder X-Ways verwendet. Diese Phase kann je nach gesicherter Datenmenge die meiste Zeit in Anspruch nehmen. Erfahrungsgemäß ist in Standardfällen mit mehreren Tagen zu rechnen.

Present

Anschließend findet die Present-Phase statt. Hier ist besonderer Wert darauf zu legen, die gefundenen Beweise anschaulich, nachvollziehbar und in logischen Zusammenhängen darzustellen, um sichere Schlussfolgerungen ziehen zu können. Für Gerichtsverfahren ist es besonders wichtig, Beweismittelketten nicht zu unterbrechen und das Vorgehen genau zu dokumentieren.

Weitere Themen der IT-Forensik

Bedingt durch den breit gefächerten Umfang in der Informationstechnik lässt sich die IT-Forensik in weitere Untergebiete unterteilen. Hierzu zählen z. B. die Betriebssystem-Forensik, die Netzwerk-Forensik, die Malware-Forensik und viele weitere Bereiche. Generell lassen sich forensische Untersuchungen in zwei Vorgehensweisen aufteilen. Zum einen spricht man von der Post-Mortem-Analyse, also von einer späteren Untersuchung der gesicherten Daten eines ausgeschalteten Systems. Bei der Live-Analyse wird hingegen ein laufendes System analysiert und gesichert. Hierbei ist ggf. mit einer geringfügigen Veränderung der Daten zu rechnen, was man jedoch bei verschlüsselten Systemen teilweise in Kauf nehmen muss. Solche Veränderungen sollten ebenfalls nachvollzierbar dargestellt werden.

SVA verfügt über ein Team hocherfahrener und zertifizierter IT-Forensiker, die Sie in allen der zuvor beschriebenen Phasen unterstützen.

Sie haben Fragen?

Falls Sie mehr zu diesem Thema erfahren möchten, freue ich mich über Ihre Kontaktaufnahme.

Zum Kontaktformular
Christian Haupt
Community Lead