Zum Inhalt springen

Stufen einer digitalforensischen Untersuchung

Inhaltsverzeichnis

Eine digitalforensische Untersuchung besteht für gewöhnlich aus fünf verschiedenen Stufen. Hierzu gehört neben der Beweiserhebung, die Überprüfung bzw. Validieren der gesicherten Daten, der Schutz des Original-Mediums, die eigentliche Analyse sowie die Validierung der analysierten Daten.

Im Nachfolgenden wollen wir einen näheren Blick auf die einzelnen Stufen des Prozesses werfen.

Beweiserhebung

Neben zunächst der Identifikation möglicher Speichermedien und Datenträger, die relevante Informationen enthalten könnten, erfolgt die Erstellung eines forensischen Abbildes. Hierbei handelt es sich um eine ganz zentrale Aufgabe, die für alle nachfolgenden Schritte der Untersuchung maßgeblich ist. Unterlaufen bei der Sicherung der Daten Fehler, so besteht die Möglichkeit, dass der gesamte Datenträger vor Gericht angezweifelt wird und somit im weiteren Verlauf des Verfahren nichts mehr berücksichtigt werden kann. 
Je nach zugrunde liegendem Datenträger erfolgt die Erstellung einer 1:1 bzw. Bit-für-Bit-Kopie. Aufgrund bestimmter Umstände, wie beispielsweise die Größe der zu sichernden Datenträger, Server, die nicht ausgeschaltet werden können, etc., ist es möglich, dass kein vollständiges forensisches Duplikat erstellt werden kann, sondern lediglich eine Sicherung der logisch vorhandenen Daten. Die Erstellung der Sicherung erfolgt unter strengen forensischen Grundsätzen und unter Einsatz spezieller Hardware (Schreibschutz bzw. Write-Blocker), die sicherstellt, dass keinerlei Veränderungen am zu sichernden Speichermedium erfolgt. 

Verifikation/Überprüfung

Sowohl für das forensische Abbild, als auch für den original Datenträger, wird der Hash-Wert berechnet. Bei Übereinstimmung der beiden Hash-Werte kann sichergestellt werden kann, dass es sich bei der Kopie um ein identisches Duplikat des Original-Datenträgers handelt. 

Erhaltung

Nachdem das forensische Abbild erstellt wurde und anhand der Hash-Werte sichergestellt wurde, dass dieses mit dem Original übereinstimmt, wird das Original an einem sicheren Ort aufbewahrt, an dem es zum einen vor dem Zugriff unbefugter Personen, aber auch vor äußeren Einflüssen wie Feuchtigkeit, hohen Temperaturen, Manipulationen und anderen Faktoren geschützt ist, die dieses verändern oder beschädigen könnten. 

Analyse

Durch die Analyse der auf dem forensischen Abbild extrahierten Daten sollen die entscheidenden Untersuchungsfragen: wer, wann, was wo, wie und warum beantwortet werden. 

Untersucht werden hierbei neben den benutzerbezogenen Dateien, wie beispielsweise Bilder, Dokumente, E-Mails, etc., die sich auf dem Datenträger befinden, auch Spuren, die durch die Interaktion mit dem Gerät bzw. Betriebssystem erzeugt werden.

Validierung

Nach der Analyse erfolgt die Validierung der festgestellten Spuren. Grundsätzlich soll eine Analyse wiederholbar und reproduzierbar sein, sodass auch andere Analysten zu dem selben Ergebnis kommen.

Facebook
Twitter
LinkedIn
Tumblr

Diese Seite verwendet Cookies, um die Nutzerfreundlichkeit zu verbessern. Mit der weiteren Verwendung stimmen Sie dem zu.