Büro +49 (9181) 69809770
Fax +49 (9181) 69809771
Email mail@svb-hien.de

IT-Forensik

Die Forensik in der IT ist seit gut 2 Jahrzehnten zu einer angesehenen Wissenschaft entwickelt worden und wird weltweit durch führende Gesellschaften gepflegt.

Wesentliche Merkmale der Untersuchungen

IT-Forensik ist heute ein Fachgebiet, das weit über die Aufgaben der staatlichen Strafverfolgung hinausgeht. IT-Sachverständige

  • bieten eine Vielzahl an Dienstleistungen zur Untersuchungen und Aufklärung von Wirtschaftskriminalität,
  • finden wichtige Datenspuren und relevante elektronische Beweismittel, selbst wenn versucht wurde, die Daten absichtlich zu löschen, mutwillig zu zerstören oder zu manipulieren,
  • unterstützen den Kunden vom ersten relevanten Indiz bis zur möglichen Strafverfolgung

Technische Beratung des Kunden

Für ein Computer-Forensik-Projekt erarbeitet der Sachverständige mit dem Kunden eine Strategie für die Abfragen, Analyse und Aufbereitung der Daten Da nicht notwendigerweise alle Dateien, die z.B. unberechtigterweise eingesehen, kopiert, ausgedruckt oder per Email verschickt wurden, originär auch auf der PC-Festplatte liegen, sondern auch in einem Netzwerk verknüpft sind, sollten die Server und die Netzstrukturen bekannt sein.

Gerichtstaugliche Datenerfassung

Ein Prinzip, das sich schließlich herauskristallisierte und heute große Verbreitung bei staatlichen Ermittlungsbehörden vieler Länder findet, aber sich in der Bundesrepublik Deutschland noch nicht vollständig bzw. formatrechtlich durchgesetzt hat, ist:

Kein Eingriff eines Ermittlers, der Untersuchungen an einem Computer oder an angeschlossenen Speichermedien durchführt, darf zu einer Veränderung der darauf befindliche Daten führen, da diese möglicherweise bei Gericht als Beweismittel vorgelegt werden müssen.

Wem das nach gesundem Menschenverstand klingt, den mag es überraschen, wie vielen Menschen es nicht bewusst ist, welche Folgen auch nur das einfache "Hochfahren" eines PCs unter seinem eigenen Betriebssystem hat. Die Zeit-und Datumsangaben, die von grundlegender Bedeutung sein können, werden dadurch verändert, was alleine schon zum Einwand der Verfälschung des Beweismaterials führen kann.

Was im angelsächsischen Recht wegen der hohen Anforderungen an die Authentizität des Beweismittels zwingend ist, sollte in anderen Ländern aus ande­ren Erwägungen heraus auch eingehalten werden:

  • Gefahr des Untergangs
    Am Untersuchungsgegenstand kann es durch die Untersuchung zu Schäden, Verlusten oder Veränderungen kommen, die zu einer Inanspruchnahme führen kann. Beschädigungen können auch dazu führen, dass eine weitere Erkenntnisgewinnung unmöglich wird.
  • Logische Bomben,
    Eine Logische Bombe ist eine spezielle Art eines Computervirus. Sie vervielfältigt sich nicht, sondern wartet versteckt auf das Eintreten bestimmter Bedingungen auf einem bestimmten System. So nutzen Kriminelle logische Bomben, die beim Booten aktiviert werden und nur durch ein Passwort oder eine Tastenkombination zu einem bestimmten Zeitpunkt wieder deaktiviert werden können. Geschieht dies nicht, so zerstören sie ganze Verzeichnisse, Dateien, Einstellungen und machen so eine Beweisführung schwierig, bis hin unmöglich.
  • Vorbehalte bei staatlichen Eingriffen
    Beschlagnahmungen oder Eingriffe im laufenden Geschäftsbetrieb können zu Verlusten oder zum Ruin von Unternehmen führen. Jeder Eingriff der Staatsmacht soll daher nur so weit gehen, wie es erforderlich ist, das nötige Ziel zu erreichen.
  • Komplexe Systeme
    Eine Beschlagnahmung eines komplexen Systems, also aller Hardware und aller Kommunikationsleitungen, ist oft technisch nicht möglich oder stellt die Sachverständigen beim Zusammenbau vor kaum lösbare Probleme. Ein Image aller Datenbestände und eines Betriebes auf einer ähnlichen oder simulierten Anlage kann auch die gewünschten Ergebnisse bringen.

Daher erweist sich fast immer die Erstellung eines Image als nützlich. Alle folgenden Arbeitsschritte werden ausschließlich an den Klonen dieser Image durchgeführt, die ursprünglichen Daten bleiben dadurch unverändert.

Wenn nach angelsächsischem Recht eine gerichtsverwertbare Ausgangssituation zu schaffen ist, muss der aktuelle Status der Festplatte, auf der vermutete Aktivitäten sind "eingefroren" werden. Es wird ein bitgenaues 1:1 Image erstellt, bei dem nicht nur vom Betriebssystem erkennbare Dateien, sondern jedes einzelne Bit bzw. jeder Sektor mit erfasst wird. Für dieses Abbild wird eine eindeutige Prüfsumme errechnet, die eine eventuelle Manipulation der Daten auf einen Blick feststellbar macht.

Das Image wird sicher in einem Safe verwahrt. Die Anpassung des Abbildungsvorgangs an die Anforderungen der Untersuchung magnetischer Medien, zusammen mit der entsprechenden Software, eröffnet dem EDV-Ermittler den Zugang zu allen Daten, die sich auf der Platte befanden, ohne dass er befürchten muss, die Originaldaten könnten dadurch in Mitleidenschaft gezogen werden. Der nicht ausgebildete oder unerfahrene Benutzer wird leicht in Situationen geraten, in denen durch sein Handeln relevante Daten als Beweismittel untauglich gemacht worden sind.