IT-Forensik

Die IT-Forensik ist vergleichbar der Rechtsmedizin: Sie untersucht die Folgen von Angriffen auf IT-Systeme, versucht Spuren zu identifizieren und gerichtsfest zu sichern, die geeignet sind, den Tathergang oder den Täter zu ermitteln.

Dabei lässt sich die IT-Forensik grob in zwei Dimensionen einteilen, zum einen nach der Art der Untersuchung:

• In-Situ:
  Die forensische Untersuchung findet im laufenden Betrieb statt. Dadurch sind in der Regel die Folgen der Untersuchung für den Geschädigten weniger störend, weil die forensische Untersuchung nach dem Schadensfall nicht "auch noch" die Rechner blockiert. Dafür sind unter Umständen nicht alle Spuren einwandfrei zu sichern, weil die laufenden Systeme möglicher Weise auch Spuren vernichten können.
  Zudem ist diese Art der Untersuchung auch möglich, wenn der Täter noch aktiv ist. Dadurch können häufig weitere Spuren gesichert werden, die eine Überführung erleichtern.
  
• Post-Mortem:
  Der Angriff ist abgeschlossen, das betreffende System vom Netz getrennt. Bei dieser Art der Untersuchung werden die Daten auf weiteren Datenträger gesichert und anschließend ohne Veränderungsmöglichkeit gründlich analysiert. Dadurch ist sichergestellt, daß keine Spur verwischt oder verändert wird.
  Dieses Verfahren ist - obwohl heutzutage bei komplexeren Fällen kaum mehr praktikabel - immer noch der Standard und weltweit anerkannt. Für betroffene Unternehmen kann das aber längere Ausfallzeiten der IT bedeuten, weshalb es wenig empfehlenswert ist. Zudem richten sich viele Counter-Forensics-Maßnahmen gegen diesen Standard, wodurch die Untersuchungen erschwert werden können. Außerdem ist dem Verfahren immanent, daß flüchtige Daten, wie Netzwerkverbindungsdaten und Arbeitsspeicherinhalte so verloren gehen und sich so der Bewertung des Gutachters entziehen.

Die zweite Unterteilung bezieht sich auf den Untersuchungsgegenstand:

• Datenträgerforensik
• Netzwerkforensik
• Software-Forensik (auch Reverse Engineering)

Häufig findet sich noch der Hinweis auf "Mobile Forensics", d.h. forensische Untersuchungen von Mobilcomputern, wie Smartphones, GPS-Systemen etc. Allerdings sind die Grunduntersuchungsansätze identisch, lediglich entsteht eine zusätzliche Komplexität durch die Besonderheiten der Geräte, wie erschwerten Zugang, besonderen Chipsätzen usw.

Als Professor für IT-Forensik habe ich unter anderem die Hamburger Polizei ausgebildet, um Computerstraftaten ermitteln zu können, bin regelmäßig auf internationalen Fachkonferenzen und immer wieder in Ermittlungsverfahren eingebunden. Das so gewonnene Know-How biete ich Ihnen gerne an.

Die Bandbreite möglicher Fälle im Unternehmen ist groß - sie reicht von Betrügereien über das Ausspähen von Daten vor dem Wechsel zu einem Wettbewerber bis hin zur gezielten Sabotage der IT-Systeme. Häufig geht es dabei im Unternehmsalltag nicht vorrangig um die strafrechtlichen Fragen, sondern auch darum, wie aus den Vorfällen gelernt werden kann und die IT-Sicherheit verbessert werden kann. Auch dabei kann ich Sie, über eventuelle Gerichtsgutachten hinaus, unterstützen

Zuletzt aktualisiert: 25.08.2014 12:51:58

© 2002 - 2019 by Prof. Dr. Eggendorfer IT-Beratung & Datenschutz