Wissenswertes – Die IT Forensik

Viele Kunden fragen uns, was IT Forensik ist und was es mit dem digitalen Nachlass zu tun hat.

Für viele mag der Begriff neu sein oder man hat Ihn in einem Krimi gelesen oder im Fernsehen gehört. Die Thematik ist weitreichend und teilweise sehr komplex. Dieser Artikel wurde erstellt, um eine große Zielgruppe von Lesern und unseren Kunden den Begriff und die Vorgehensweise möglichst einfach zu erläuterten.

Woher stammt das Wort Forensik

Der Begriff ist eine Ableitung aus dem lateinischen Wort „forum“. Was wiederrum mit Markplatz gleichzusetzen ist. Früher –antikes Rom- wurden auf einem Marktplatz die Gerichtsverhandlungen abgehalten. Dazu analysierten und identifizierten die Richter systematisch die Handlung des Beklagten. Nach der Beweisaufnahme rekonstruierten die Richter die mögliche Tat und sprachen ein Urteil.

Somit kann man sagen, dass die Forensik eine methodische Vorgehensweise zur Aufklärung von Vorfällen ist. Dabei untersucht man alle Möglichkeiten und Einflussfaktoren, um ein klares Bild des Vorgangs zu gewinnen.

Das Wort wird also landläufig eher mit einer Untersuchung zu einer kriminellen Handlung verbunden.

Woher kommt das Wort IT

Der Begriff ist schlichtweg die Abkürzung für Informationstechnologie. Ich denke, dass wir nicht näher eingehen müssen, da er bekannt und geläufig ist.

Kriminalität und digitaler Nachlass

Der aufmerksame Leser wird sicherlich die Schlussfolgerung ziehen, dass IT Forensik mit Computer- und Internetkriminalität zusammenhänge könnte und den kausalen Zusammenhang zum digitalen Nachlass nicht sieht. Das ist erstmals richtig. Mit dem Wort Forensik wird die Beweissicherung von Straftaten verbunden.

Aber im Bezug auf den digitalen Nachlass hat es eine andere Bedeutung.

IT Forensik im Bezug auf das digitale Erbe

Es geht um die streng methodische Vorgehensweise, um Datenanalysen auf IT-Geräten vorzunehmen. Dabei soll der digitale Nachlass ermittelt werden. Um hier eine möglichst hohe Fundquote zu erreichen, müssen immer die gleichen Untersuchungsschritte getätigt werden. Man weiß im Vorfeld nie, wie der Verstorbenen seine Geräte benutzt hat. Manche Untersuchungen laufen dabei ins Leere und sind für den Kunden nicht verständlich, aber genau die strenge methodische Prozesse sind notwendig, um aller zu finden, was wichtig ist.

Schritte der Geräteanalyse oder IT Forensik

Wir verwenden für das Wort IT Forensik das Wort Geräteanalyse, um nicht den Eindruck zu erwecken, dass hier kriminelle Handlungen vorliegen.

Um das digitale Erbe zu finden ist es wichtig, dass wir verschiedenen Analysen und Prozessschritte durchführen

  • Betriebssystemanalyse
  • Dateisystemanalyse
  • Nutzungsanalyse
  • Softwareanalyse
  • Sicherungsmöglichkeiten des digitalen Erbes
  • Datenaufbearbeitung und Auswertung/Speicherung für Kunden

Die Daten werden in verschiedene Kategorien ein gewertet

  • Hardwaredaten
  • Rohdaten
  • Details über Daten
  • Konfigurationsdaten
  • Kommunikationsdaten
  • Kommunikationsprotokolldaten
  • Prozessdaten
  • Sitzungsdaten
  • Anwenderdaten

Die Prozesse und Kategorien sind unabhängig von Betriebssystemen und Softwareprodukten. Wir fassen die Daten aller Geräte für den Kunden zusammen. Von großem Vorteil ist es, wenn der Kunde die Geräte nicht benutzte.

Denn sonst werden die Daten verwässert und teilweise vermischt, was die Analyse erheblich erschwert und das Gesamtergebnis und den Erfolg der Analyse beeinflusst!

Ein wichtiger Punkt der Geräteanalyse bzw. IT Forensik ist, dass wir nur lesend auf die Datenträger zugreifen dürfen, um das Original auf keinen Fall zu verändern.

Dazu wird unser Analysesystem so eingestellt, dass es nur Rechte zum lesen der Datenträger etc. bekommt. Dieser Schritt stellt sicher, dass die Datenmedien unverändert erhalten bleiben.

Die Wiederherstellung von Daten

Nach einer erfolgreichen Analyse wird protokolliert, dass ggf. auch gelöschte Daten noch vorliegen. Hier muss mit dem Erben erörtert werden, ob man die Daten rekonstruieren will, denn die Löschung war der Wille des Verstorbenen.

Das sichere Löschen von Datenträgern

Eine Aufgabe, welche wir auch übernehmen, ist das Löschen von Daten, damit zukünftige IT forensische Werkzeuge eine Datenwiederherstellung unwiderrufliche vorgenommen wird (thermische oder strukturelle Zerstörung)

Alles nach Wunsch des Kunden

Der Kunde erhält von uns ein Analyseprotokoll der Basisanalyse. Wie tief/weit eine Tiefenanalyse durchgeführt werden soll und welche Daten wir retten sollen, obliegt dem Erben.

Wir sehen uns auch z.B. die Bilder nicht an, sondern wissen am Ende nur, dass Bilder vorhanden sind. Die Grundanalyse wird beinahe automatisiert durchgeführt.

Somit muss der Kunde entscheiden, was mit den Funden geschehen soll. Wir können hier auch keinen Rat geben, da die Entscheidung subjektiv ist.

 

One Response to Wissenswertes – Die IT Forensik

  1. Bernd Huber

    Ich verstehe dass man es nicht für jeden Leser tiergehender schreiben kann, aber ich hätte gerne noch mehr Informationen hierzu