slider

Digitale Forensik - Prof. Dr. Norbert Pohlmann

Digitale Forensik

Digitale Forensik - Glossar Cyber-Sicherheit - Prof. Norbert Pohlmann

Allgemein ist Forensik ein Sammelbegriff für wissenschaftliche und technische Arbeitsgebiete, in denen kriminelle Handlungen systematisch durch Strafverfolgungsbehörden und Unternehmen untersucht werden.
Digitale Forensik ist als Teilgebiet der Forensik bei der zunehmenden Digitalisierung und stetiger Entwicklung neuer IT-Geräte und -System sowie die Nutzung von Cloud-Diensten ein äußerst wichtiger Bereich der Informatik sowie der Ermittlung und Aufklärung von Computerkriminalität.
Dabei ist die digitale Forensik eine streng methodisch vorgenommene Datenanalyse auf Datenträgern und von IT-Systemen und Kommunikationsnetzwerken zur Aufklärung von Vorfällen durch forensische Sicherung von digitalen Beweisen sowie der Analyse der digitalen Beweismittel.
Hinzu kommt die Aufbereitung sowie die Interpretation der Daten oder des Resultats auf einem juristischen Standard für eventuell nachfolgende rechtliche oder unternehmerische Maßnahmen.
Die digitale Forensik kann in Post-Mortem Analyse und Live-Analyse bezüglich des Zustands des zu untersuchenden Systems eingeteilt werden.
Die Post-Mortem Analyse meint die Auswertung von Datenträgern ausgeschalteter IT-Systeme. Dies sind Daten auf Festplatten oder USB-Sticks, die auch ohne Stromzufuhr noch vorhanden sind.
Bei der Live-Analyse werden flüchtige Daten live oder mithilfe von Forensik- Protokolldatei gespeichert. Zum einen sind dies Daten, die dauerhaft bei Stromzufuhr gespeichert werden können (RAM) und andererseits temporär zu speichernden Daten bei Stromzufuhr, wie beispielsweise Netzwerkdaten. Beide Arten von Spuren sind zudem fragil. Daher muss bei der Sicherung und der Auswertung stets darauf geachtet werden, dass die Spureninformationen nicht verändert, manipuliert oder zerstört werden können.

Methoden und Prozesse
Es gibt unterschiedliche Modelle, die die forensische Arbeit beschreiben und darstellen. Ein Modell ist das S-A-P Modell, das die IT-forensische Arbeit in drei Phasen einteilt, und in der Regel praktische Anwendung findet.
Laut diesem Modell gibt es die Secure-Phase, die Analyse-Phase und die Present-Phase.

Secure-Phase
Die Secure-Phase ist dazu da, um alle relevanten Daten und Informationen sicherzustellen. Es gilt hierbei, möglichst alle Daten auf einem juristischen Standard sicherzustellen, da die weitere Arbeit auf diesen Daten aufsetzt. Das bedeutet, es sollte darauf geachtet werden, dass digitale Beweise nicht verändert oder beschädigt werden.

Analyse-Phase
In der zweiten Phase, der Analyse-Phase, werden die gesammelten Daten analysiert, um den Vorfall aufklären zu können.

Present-Phase
Zum Schluss wird das Ergebnis, das aus der Analyse resultiert, fachlich und verständlich präsentiert. Dabei kann es sich um eine Präsentation vor Gericht oder privat bei einem Unternehmen handeln. In beiden Fällen ist eine verständliche und lückenlose Argumentation notwendig.


Weitere Informationen zum Begriff “Digitale Forensik”:

Informationen über das Lehrbuch: „Lehrbuch Cyber-Sicherheit“

Glossar Cyber-Sicherheit: Bundesamt für Sicherheit in der Informationstechnik (BSI)

Zurück zur Übersicht
Digitale Forensik - Glossar Cyber-Sicherheit - Prof. Norbert Pohlmann
Digitale Forensik Prof. Dr. Norbert Pohlmann - Cyber-Sicherheitsexperten