IT-Forensik
Par alain stevens, dimanche 12 novembre 2006 à 19:48 :: Internetkriminalität :: #75 :: rss
Die IT-Forensik oder auch Computer-Forensik bzw. Digitale Forensik ist ein Teilgebiet der Forensik. Die IT-Forensik behandelt die Untersuchung von verdächtigen Vorfällen im Zusammenhang mit IT-Systemen und der Feststellung des Tatbestandes und der Täter durch Erfassung, Analyse und Auswertung digitaler Spuren in Computersystemen. Mittlerweile ist die Untersuchung von Computersystemen auch im Zusammenhang mit „herkömmlichen“ Verbrechen, aber auch für Zwecke der Steuerfahndung, kaum noch wegzudenken. Die Untersuchung von computerbezogenen Verbrechen (Netzeinbrüche, etc.) spielt meist eine untergeordnete Rolle.
IT-Forensik und Beweismittelsicherung
Um Beweise zu sichern, werden zum Beispiel Datenträger, sowie Protokolle des Netzverkehrs gesichert und analysiert. Bei der Analyse von Datenträgern wird in der Regel vorher ein forensisches Duplikat erstellt. Die Kenntnis um die Halbwertzeit der einzelnen Spuren sollte die Reihenfolge der Sicherung der digitalen Spuren bestimmen, in der Realität wird jedoch häufig nach Grundsätzen verfahren, die dieser Aussage widersprechen: Viele Verfahrensvorgaben für computerforensische Untersuchungen sehen als ersten Schritt das Ziehen des Netzsteckers und den Ausbau der Festplatten vor, woraufhin diese auf mitgebrachte Sicherungsplatten überspielt werden. Dieser Ansatz macht beispielsweise eine Untersuchung des Arbeitsspeicherinhaltes unmöglich. Darüberhinaus gefährdet er bei einigen Dateisystemen die Datensicherheit auf den Festplatten, da z.B. Linux in Verbindung mit Reiser viele relevante Daten im Speicher hält, die verloren gehen bzw. nur durch Selbstreparaturmaßnahmen des Dateisystems wieder korrigiert werden können. Diese Option steht nach der Erzeugung einer Kopie möglicherweise nicht mehr zur Verfügung. Einzelne Softwareprodukte zur IT-Forensik tragen diesem Umstand unterschiedlich gut Rechnung.
Neben der klassischen Datenträgeranalyse von Festplatten aus PC- und Serversystemen rückt die Auswertung digitaler Spuren von Smartphones und PDAs immer stärker in den Vordergrund.
Mittlerweile bieten viele IT- und Beratungsfirmen forensische Untersuchungen als Dienstleistung für betroffene Unternehmen an. Aber auch polizeiliche Behörden beschäftigen Fachkräfte in diesem Bereich.
Überlegungen zur Beweismittelsicherung
Um eine forensische Analyse durchführen zu können, sind im Vorfeld - bei der Sicherung des Systems - einige Dinge zu beachten:
1. Das originale Beweismaterial muss so wenig wie möglich "bewegt" werden. Jede "Bewegung" des Beweismaterials kann eine Verfälschung zur Folge haben 2. Die Beweismittelkette muss gewahrt werden. Dieses bedeutet und verlangt eine einwandfreie und lückenlose Dokumentation 3. Das persönliche Wissen darf nie überschätzt werden. Selbst der erfahrende "Ermittler" wird bei Sachthemenbetrachtungen an seine Grenzen stossen. Eine Einbeziehung verschiedener Fachleute zu Spezialthemen (zum Beispiel Datenrettung) ist in Erwägung zu ziehen.
Source : wikipedia
Commentaires
Aucun commentaire pour le moment.
Ajouter un commentaire
Les commentaires pour ce billet sont fermés.