Allgemein ist Forensik ein Sammelbegriff für wissenschaftliche und technische Arbeitsgebiete, in denen kriminelle Handlungen systematisch durch Strafverfolgungsbehörden und Unternehmen untersucht werden. Digitale Forensik ist als Teilgebiet der Forensik bei der zunehmenden Digitalisierung und stetiger Entwicklung neuer IT-Geräte und -System sowie die Nutzung von Cloud-Diensten ein äußerst wichtiger Bereich der Informatik sowie der Ermittlung und Aufklärung von Computerkriminalität.
Dabei ist die digitale Forensik eine streng methodisch vorgenommene Datenanalyse auf Datenträgern und von IT-Systemen und Kommunikationsnetzwerken zur Aufklärung von Vorfällen durch forensische Sicherung von digitalen Beweisen sowie der Analyse der digitalen Beweismittel. Hinzu kommt die Aufbereitung sowie die Interpretation der Daten oder des Resultats auf einem juristischen Standard für eventuell nachfolgende rechtliche oder unternehmerische Maßnahmen. Die digitale Forensik kann in Post-Mortem Analyse und Live-Analyse bezüglich des Zustands des zu untersuchenden Systems eingeteilt werden. Die Post-Mortem Analysemeint die Auswertung von Datenträgern ausgeschalteter IT-Systeme. Dies sind Daten auf Festplatten oder USB-Sticks, die auch ohne Stromzufuhr noch vorhanden sind. Bei der Live-Analyse werden flüchtige Daten live oder mithilfe von Forensik- Protokolldatei gespeichert. Zum einen sind dies Daten, die dauerhaft bei Stromzufuhr gespeichert werden können (RAM) und andererseits temporär zu speichernden Daten bei Stromzufuhr, wie beispielsweise Netzwerkdaten. Beide Arten von Spuren sind zudem fragil. Daher muss bei der Sicherung und der Auswertung stets darauf geachtet werden, dass die Spureninformationen nicht verändert, manipuliert oder zerstört werden können.
Methoden und Prozesse der digitalen Forensik
Es gibt unterschiedliche Modelle, die die forensische Arbeit beschreiben und darstellen. Ein Modell ist das S-A-P Modell, das die IT-forensische Arbeit in drei Phasen einteilt, und in der Regel praktische Anwendung findet. Laut diesem Modell gibt es die Secure-Phase, die Analyse-Phase und die Present-Phase.
Secure-Phase Die Secure-Phase ist dazu da, um alle relevanten Daten und Informationen sicherzustellen. Es gilt hierbei, möglichst alle Daten auf einem juristischen Standard sicherzustellen, da die weitere Arbeit auf diesen Daten aufsetzt. Das bedeutet, es sollte darauf geachtet werden, dass digitale Beweise nicht verändert oder beschädigt werden.
Analyse-Phase In der zweiten Phase, der Analyse-Phase, werden die gesammelten Daten analysiert, um den Vorfall aufklären zu können.
Present-Phase Zum Schluss wird das Ergebnis, das aus der Analyse resultiert, fachlich und verständlich präsentiert. Dabei kann es sich um eine Präsentation vor Gericht oder privat bei einem Unternehmen handeln. In beiden Fällen ist eine verständliche und lückenlose Argumentation notwendig.
Weitere Informationen zum Begriff “Digitale Forensik”:
Digitale Forensik ist als Teilgebiet der Forensik eine streng methodische Analyse von IT-Systemen und -Diensten sowie Kommunikationsnetzwerken zur Aufklärung und Beweissicherung von IT-Vorfällen. Digitale Forensik dient Ermittlung und Aufklärung von Computerkriminalität
Author
Prof. Norbert Pohlmann
Publisher Name
Institut für Internet-Sicherheit – if(is)
Publisher Logo
Digitale Forensik Prof. Dr. Norbert Pohlmann - Cyber-Sicherheitsexperten