02.01.2014 18:36:02

Computer-Forensik zur Datenanalyse von Computer- oder Mobilgeräten

Der Begriff der Forensik kommt von dem lateinischen Wort "Forum", welches in erster Linie zwar so viel wie "Marktplatz" bedeutet. Der Marktplatz war bis zum Mittelalter allerdings auch der Ort, an dem Gerichtsverfahren durchgeführt und Urteile verkündet wurden. Somit kann man "Forum" auch mit "Gerichtsort" übersetzen. Aus diesem Grund werden viele Vorgänge mit gerichtlichem Zusammenhang als "forensisch" bezeichnet. Auch wenn sich bis zum 21. Jahrhundert die Methoden der Forensik stark geändert haben, die Begrifflichkeit ist geblieben.

Was ist Computer-Forensik?

Computer-Forensik beschäftigt sich also mit der Analyse und Auswertung von digitalen Spuren, die meist im Zusammenhang mit Sicherheitsvorfällen stehen. Daher ist es oft das Ziel, Spuren aufzudecken, welche vor Gericht verwertbar sind. Speziell zu diesem Zweck gibt es mittlerweile eine ganze Reihe an forensischen Soft- und Hardware-Tools.

Forensischer Prozess

Untersuchungen in der Computer-Forensik, folgen für gewöhnlich Standardprozessen der digitalen Forensik (Beschaffung, Analyse und Berichterstattung). Untersuchungen werden anhand von statischem Material (z.B. Disk-Images) durchgeführt und nicht wie früher auf sogenannten Live-Systemen.

Beschaffung

Nachdem das fragliche Objekt (z.B. eine Festplatte) beschlagnahmt wurde, wird ein exaktes Duplikat ("sector level duplicate") des Mediums angefertigt. Dies wird normalerweise mit einem speziellen Write Blocker erreicht. Das Original wird anschließend wieder sicher verwahrt um es vor eventuellen Veränderungen zu schützen.

Analyse

Während der Analyse werden spezielle Tools eingesetzt, mit denen Spezialisten beispielsweise gelöschte Daten wiederherstellen können. Die Art der Daten die wiederhergestellt werden sollen, hängt von der Relevanz für die Untersuchung ab. So kann es sich dabei um E-Mails, Bilder, Browserverlauf oder Chat Logs handeln. Mit den gewonnen Daten können weitere Experten anschließend Versuchen, eine Hypothese im Hinblick auf den Sicherheitsvorfall zu bestätigen oder zu widerlegen.

Berichterstattung

Nachdem die Untersuchung abgeschlossen ist, werden die gewonnenen Informationen oft in einer Form berichtet, die für nicht-technikversierte Menschen verständlich ist.

Es werden heutzutage natürlich nicht mehr nur PC-Systeme untersucht. Mittlerweile fallen auch Smartphones, PDAs und ähnliche Geräte in diesen Bereich.

Computer-Forensiker bedienen sich einer Reihe von Soft- und Hardware-Tools, die ihre Arbeit erleichtern bzw. oft überhaupt erst ermöglichen. So gibt es beispielsweise die sogenannten "Mouse Jiggler". Das sind kleine Geräte, meist in Form eines USB-Sticks, die an jeden herkömmlichen PC angeschlossen werden können. Sie simulieren eine kontinuierliche Bewegung der Maus, was zur Folge hat, dass sich der Computer nicht in den Standby-Modus versetzen oder den Bildschirmschoner aktivieren kann. Dies ist beispielsweise von Bedeutung, wenn das Aufwecken aus dem Standby oder das Deaktivieren des Bildschirmschoners eine Passwortabfrage nach sich zieht, die die Forensiker noch nicht umgehen können.

Die IT-Forensik ist also ein spannendes Feld, in welchem eine Vielzahl unterschiedlichster Werkzeuge zum Einsatz kommen. Eine große Auswahl an Artikeln zum Thema Computer-Forensik finden Sie übrigens auch ab sofort in unserem Online-Shop.