It Forensik

mw-headline" id="Prozess">Prozess[Bearbeiten | | | Quellcode editieren]>

IT-Forensik oder -Digitalforensik ist ein Teilbereich der Forensik. IT-Forensik befasst sich mit der Aufklärung verdächtiger Vorfälle im Rahmen von IT-Systemen und der Ermittlung des Sachverhalts und der Verursacher durch Aufzeichnung, Bewertung und Bewertung des Vorfalls. Inzwischen hat sich die Erforschung von EDV-Systemen im Sinn der Bewertung des Inhalts der dort abgelegten Daten auch im Rahmen von "konventionellen" Straftatbeständen, aber auch zu Steuerfahndungszwecken durchgesetzt.

Ein wesentlicher Bestandteil der IT-Forensik ist die gerichtliche Integrität der elektronischen Beweisführung und aller nachfolgenden Tätigkeiten, d.h. die Angaben und Auswertungsschritte müssen den Beweiserfordernissen der Gerichte entsprechen. Das wird durch eine vollständige und umfangreiche Beweisdokumentation (inkl. Photos, Hashings, Doppelkontrolle, etc.) und alle weiteren Auswertungsschritte bis hin zum Resultat der kriminaltechnischen Datenauswertung erzielt.

IT-Forensik ist in zwei Gebiete unterteilt: Computer-Forensik oder Disk-Forensik, die sich mit der Auswertung von Computern oder mobilen Geräten und den darin befindlichen Informationen beschäftigt, und Forensik oder Daten-Forensik, die sich mit der Auswertung von (meist großen) Beständen an Informationen aus Anwendungen und den zugrundeliegenden Datenquellen beschäftigt.

Der Zweck der kriminaltechnischen Auswertung ist in der Regel die Auswertung von Aktionen. Viele IT- und Beratungsunternehmen führen inzwischen kriminaltechnische Nachforschungen durch. Für eine Auswertung mittels IT-Forensik ist ein festgelegter Ablauf erforderlich. In der Regel umfasst dieser Vorgang die fünf Schritte:: Who - Wer ist umgezogen oder hat geänderte Karten?

Zusätzlich zur Inventur des tatsächlichen Sicherheitsvorfalls und des Anfangsverdachts müssen weitere Fragestellungen für die weitere Ermittlung abgeklärt werden. Anschließend erfolgt eine Gliederung, welche Datenformen den Teilnehmern zur Verfügung stehen. Betriebssysteme ) sind diese Angaben verfügbar. Schließlich kann durch die Überprüfung dieser grundsätzlichen Sachverhalte entschieden werden, welche dieser Angaben im nächsten Arbeitsschritt gespeichert werden müssen.

Dies ist von entscheidender Wichtigkeit, da im nächsten Arbeitsschritt sowohl flüchtige als auch nichtflüchtige Informationen wie RAM, Netzverbindungen und offene Files sowie nicht-flüchtige Informationen wie z. B. Festplattendaten gesichert werden. Freiverfügbare Softwareprodukte, wie z.B. dm-crypt, sind in der Lage, eine komplette Platte so zu chiffrieren, dass während des Betriebs mit dem angemeldeten Anwender auf alle Informationen zurückgegriffen werden kann.

Sämtliche Angaben auf der Harddisk werden dann so chiffriert, dass die Entzifferung aufgrund des hohen Zeitaufwandes völlig ausbleiben kann. Während einer früheren Datensicherung des Hauptspeicherinhalts könnte eine Entnahme des dort verfügbaren Zugangsschlüssels die Auswertung der chiffrierten Platte vereinfachen oder erlauben. In diesem Verfahrensschritt werden die gesammelten Informationen regelmässig auf Datenträger gespeichert, die der IT-Forensiker mitbringt.

Die Verwendung kryptographischer Methoden zum elektronischen Unterschreiben von Dateien sollte überprüft und, wenn möglich, angewandt werden, um deren Integrität zu sichern. Nach der Erfassung und sicheren Speicherung der jeweiligen Informationen auf geeigneten Datenträgern erfolgt eine erste Auswertung. Der Erfolg der Auswertung hängt immer von der korrekten Interpretation der verfügbaren Ergebnisse ab.

Ziel der Auswertung ist es, die Informationen darzustellen und zu untersuchen, die Ursache des Ereignisses und die Art der Handlung des Ereignisses zu beurteilen. In der Regel erfolgt die Auswertung nie auf dem Originalsystem und erfordert eine noch genauere Dokumentierung als in den vorangegangenen Jahren. Die an der Auswertung beteiligte Person bereitet im abschließenden Verfahrensschritt ihre Ergebnisse in einem Bericht auf.

In diesem Zusammenhang ist der Report mit der grundlegenden Begründung einer Prüfung zu koordinieren. Dies kann in den nachfolgenden Abschnitten zusammengefasst werden: Ob alle Fragen vollständig geklärt werden können, ist sowohl vom verfügbaren Informationsmaterial als auch von der Güte der Auswertung abhängig.

Landmann, Wietse Venema: Forensische Entdeckung. Addison-Wesley, Boston u. a. a. 2006, ISBN 0-201-63497-X, (Addison-Wesley série informatique professionnelle). Outils Werkzeuge und Technologie. Akademische Presse Elsevier, Amsterdam et al. 2007, ISBN 978-0-12-163103-1. Alexander Geschonneck: Computerforensik. Ausgabe Nr. 4, aktualisiert und erweitert, Heidelberg 2011, ISBN 978-3-89864-774-8, Raoul Kirmes, Privat IT Forensik und Privatermittlung, zwei Medaillenseiten?

Verlagshaus Josef EUL, Lohmar, 2012, ISBN 978-3844102048 Andreas Dewald, Felix C. Freiling: Rechtsinformatik. Bücher auf Anfrage, Norderstedt 2011, ISBN 978-3-84237-947-3 Jörg Meyer: Forensic Data Analysis. Der Erich Schmidt Verlagshaus, Berlin 2012, ISBN 978-3-50313-847-0 Lorenz Kuhlee, Victor Völzow: Computer Forensics Hacks. O'Reilly-Verlag Köln 2012, ISBN 978-3-86899-121-5 Stefan Meier: Digital Forensics in Firmen.

Regensburger University of Regensburg, Regensburg 2016th Guideline IT-Forensik - Grundlagenwerk des Bundesamtes für Informatik-Forensik (March 2011). ? Höchstspringen nach: ab Leitfaden "IT-Forensik", Fassung Nr. 2.0.1 des Bundesamtes für Arbeitsschutz in der Informatik, Stand alone, Zugriff in der Fassung Nr. 2.0.1 des Bundesamtes für Arbeitsschutz in der Informatik stechnik, Stand alone, Stand alone, 1/12. March 2011, accessed on 18th December 2017. xxx Dominique Brezinski and Tom Killalea: Guidelines for Evidence Collection and Archiving.