Computer Forensik
Das Digitale Thing
In alten Zeiten wurden Verfehlungen während des Thing aufgedeckt, das meist unter den Gerichtslinden oder auf dem Marktplatz stattfand. Die Vergehen waren damals (wie heute) sehr menschlich, häufig handelte es sich um Diebstahl oder um vermeintlichen Diebstahl, was eben aufgeklärt werden musste.Die gestohlenen Gegenstände konnte man sehen und anfassen, somit war die Verfolgung des gestohlenen Gutes einfach: der vormalige Besitzer vermisste es, ein anderer hatte es – voila!Aber was machen, wenn der Diebstahl gar nicht bemerkt wird, weil die gestohlenen Dinge immer noch an ihrem Platz sind? Dies ist bei Wissen, Ideen oder digitalen Informationen der Fall. Für Wissen und Ideen gibt es als Schutz das Patent- und Markenrecht, aber was gibt es bei Datenklau oder bei mutwilliger Zerstörung von Daten? Wie kommt man den Tätern auf die Spur?Beweissicherung mit der Computer ForensikHier entwickelte sich im Laufe der Zeit die Computer Forensik. Die Computerforensik beschäftigt sich mit dem Untersuchen und Beweisen von Computerkriminalität. Computerkriminalität liegt unter anderem bei Fälschung, Diebstahl oder Manipulation von Daten vor. Auch bei Problemen wie Betriebsspionage, Konkurs, anonyme E-Mails und Vertragsbruch können Computerforensiker zum Einsatz kommen. Mit Hilfe von Datenrettungstechniken kann untersucht werden, welche Daten verändert oder gelöscht wurden. Bei einer forensischen Datenuntersuchung werden die Zugriffsinformationen der wiederherzustellenden Daten ermittelt: Erstellungsdatum, Sendedatum, Löschdatum, Kopierdatum, Datum der letzten Bearbeitung und der ursprüngliche Speicherort. Der forensische Bericht zeigt dann auf, wie und wann die Daten gestohlen oder verändert wurden. Diese Untersuchung kann als Beweis in Gerichtsverfahren herangezogen werden. Erstellung der VorgehensanalyseAls erstes wird eine Vorgehensanalyse erstellt. Dabei sind die ersten Schritte von entscheidender Bedeutung. Absicherung des Tatortes, sicher stellen, dass niemand mehr weder von außen noch von innen Datenverändern kann, jedoch kann ein zu schnelles Ausschalten des Systems wichtige flüchtige Daten bereits zerstören. Das eingesetzte Untersuchungsteam sollte deswegen ein unter sich gut eingespieltes Team sein mit einem Teamleiter, der dafür sorgt, dass bereits zu Beginn der Untersuchung ein Protokoll angefertigt wird und alle kommenden Schritte im Detail vermerkt werden.
Bedeutung der Untersuchungsergebnisse vor Gericht
Es kommt nämlich bei der Präsentation des Untersuchungsergebnisses vor Gericht auf jedes Detail an. Bleibt zum Beispiel der Computer oder das System während der Untersuchung nicht unter Kontrolle und kann jemand, wenn auch nur für Minuten das System in Anspruch nehmen, kann dies vom gegnerischen Anwalt oftmals, je nach Situation, zu Lasten des Klägers oder des Beklagten verwendet werden. Das bedeutet, dass jeder Schritt von einer zweiten ausgebildeten Person bezeugt werden kann.Außerdem muss klargestellt werden, warum sich der Untersuchende für diesen Schritt und für einen anderen entscheidet! Warum die Untersuchung an dieser Stelle mit diesem Werkzeug und nicht mit einem anderen durchgeführt wird! Das klingt sehr nach viel Papierkram und ist es auch.
Millionen Umsätze in der Computer Forensik Dienstleistung
Zur Unterstützung des Untersuchungsteams gibt es, nachdem die ComputerForensik – Dienstleistung in den USA die 300 Millionen $ – Umsatzgrenze vor Jahren erreicht hat, eine tüchtige Hardware- und Software Industrie.Außerdem haben sich verschiedene Unternehmen, meist aus der Datenrettungsbranche, die in mancher Hinsicht gleiche Vorgehensweisen ausweist, auf forensische Untersuchungen im digitalen Umfeld spezialisiert. Es würde hier zu weit führen, genaue technische Anleitungen zu geben. Diese können nachgelesen werden im Buch „Computer Forensik“ von Alexander Geschonneck, was allerdings nur technisch versierten Administratoren und Computernutzern empfohlen werden kann.
Autor:
Verfasst von Maurice Bokma für RSE Datenrettung
mbokma(at)rsedatenrettung.de