IT-Forensik

 

Um Beweise zu sichern werden beispielsweise Datenträger sowie Protokolle des Netzverkehrs gesichert und analysiert. Bei der Analyse von Datenträgern wird in der Regel im Vorfeld ein forensisches Duplikat erstellt.

Die Kenntnis um die Vergänglichkeit der einzelnen Spuren sollte die Reihenfolge der Sicherung der digitalen Spuren wiederherstellen können.

Zur Durchführung einer Analyse mittels IT-Forensik ist folgender fester Prozess notwendig:

  • Identifizierung
  • Sicherstellung
  • Analyse
  • Präsentation/Aufbereitung
  • Wiederherstellung des ursprünglichen Zustands

 

Da in diesem Teilprozess die Ausgangslage dargestellt werden soll, liegen die Tätigkeitsschwerpunkte in der möglichst genauen Dokumentation der vorgefundenen Situation. Neben der Bestandsaufnahme des eigentlichen Sicherheitsvorfalls und erster Vermutungen müssen unbedingt weitere Fragen für die nähere Untersuchung geklärt werden.

Im Folgenden erfolgt eine Strukturierung dahingehend, welche Formen von Beweisen den Beteiligten zugänglich sind. Sind die Beweise z.B. in Form von speziellen Log-Dateien vorhanden? Geht es um Beweise in Form von nicht-flüchtigen Datenbeständen auf vorliegenden Datenträgern? Es wird ferner festgehalten, wo diese Beweise vorrätig sind. Die Umgebungen, in denen die Beweismittel vorliegen (z. B. Betriebssysteme) werden dokumentiert und aufgenommen.

Am Ende kann durch Sichtung dieser grundlegenden Fakten eine Entscheidung darüber gefällt werden, welche Mittel zur Beweiserhebung zur Verfügung gestellt werden müssen (Relevanz). Die besondere Beachtung der Frage einer Sicherungsmethode (Backup) ist zu klären. Im folgenden Prozessschritt wird man nicht-flüchtige (z. B. Daten auf Festplatten) und flüchtige Daten im RAM darstellen. Es müssen daher die richtigen Mittel zur Sicherung dieser Beweise gewählt werden.

Advertisements