defense.at Onlinemagazin

Computer Forensik

Computer Forensik zur nachträglichen Sicherung von Beweisen

Computer Forensik ist das Finden, Bewerten, Prüfen und Sicherstellen von Beweisen nach einem Einbruch in ein IT-System, so das die Beweise vor Gericht verwendet werden können. Es ist nicht zu verwechseln mit Dattenrettung oder Datenwiederherstellung.

Während bei Datenrettung und Datenwiederherstellung das schnelle Instandsetzen des Systems im Vordergrund steht, geht es bei Computer Forensik einzig und allein um die Beweissicherung. Dies ist in der Realität schwieriger, als man Anfangs glauben mag, da auf den orignalen Speichern ja nichts verändert werden darf und man trotzdem analysieren muß. Es gilt also zunächst mit dafür geeigneten Tools Kopien der speichersystem anzufertigen, damit die Originale erhalten bleiben.

Danach kann der Forensiker daran gehen diese Kopien mit dafür spezialisierten  Forensik Tools auszuwerten und Beweise zu finden und diese zu sichern. die Beweisführung muß nachweisbar und schlüssig erklärt werden können und es muß sichergestellt sein, daß keine Manipulation vorliegt.

Es herrscht daher immer ein Wiederspruch. Der Admin möchte einerseits das System schnell wieder zum Laufen bringen, andererseits sollen aber die Beweise gesichert werden.

Weiter zum Thema Content Klau