IT-Forensische Auswertung
Ziel einer IT-forensischen Auswertung ist es, mithilfe von Ermittlungs- und Analysetechniken auf einem bestimmten IT-System, Beweise und Spuren - im Allgemeinen Daten - so zu erfassen und zu sichern, dass sie gerichtsverwertbar sind. Dazu werden strukturierte Untersuchen durchgeführt, damit sich genau feststellen lässt, welche Vorgänge auf einem IT-System stattgefunden haben und wer dafür verantwortlich war.
Unser erster Schritt bei einer IT-forensischen Auswertung besteht darin, das betreffende Gerät physisch zu isolieren um sicherzustellen, dass es nicht zufällig oder bewusst kontaminiert werden kann. Anschließend wird eine digitale Kopie der Daten erstellt (es wird ein sogenannter „Klon“ angefertigt). Dabei ist es zwingend notwendig darauf zu achten, dass auch die kopierten Daten auf keinen Fall verändert werden. Die Originaldateien müssen sicher und unzugänglich aufbewahren werden, um deren unverfälschten Zustand zu gewährleisten.
Auch die angefertigte Kopie fungiert nicht als Arbeitsumgebung sondern einzig, um Dateien hiervon zu kopieren und diese dann zu durchsuchen. Eine absolute Sicherheit der Ursprungsdaten wird so gewährt und keinerlei Verfälschung riskiert.
Wir nutzen mehrere Techniken, um die vom Klon des Ausgangsmediums kopierten und gesicherten Daten zu untersuchen, indem wir versteckte Ordner und nicht zugeordneten Platz auf Datenträgern nach Kopien von gelöschten, verschlüsselten oder beschädigten Dateien durchsuchen. Jeder in der digitalen Kopie gefundene Beweis wird von uns dementsprechend behandelt und dokumentiert, um bei einem eventuellen Gerichtsverfahren handfeste Beweise und Aussagen zu haben.
Oft spricht man auch vom SAP-Modell:
- Secure: die relevanten Daten werden identifiziert und gesichert.
- Analyse: die relevanten Daten werden analysiert und bewertet.
- Präsentieren: die Analyseergebnisse werden zielgruppengerecht dargestellt. Ebenfalls sind Schlussfolgerungen darzustellen, damit die Ergebnisse auch durch Dritte nachvollzogen und bewertet werden können.
Welche Hardware und welche Speichermedien können von uns ausgewertet werden?
Unsere Mitarbeiter sind qualifiziert alle Arten von digitaler Hardware und Speichermedien auszuwerten:
- Magnetbänder mit Datensicherung
- Optische Speichermedien (CD / DVD)
- Telefonanlagen
- Digitale Fotokameras, Videokameras und Überwachungssysteme
- Netzwerkkomponenten (Firewall, W-Lan, Router usw.)
- Speicherkarten und USB-Sticks
- Mobile und stationäre Rechner/Server
- Alle gängigen Hardwareplattformen (Windows, Mac, Linux…)
- Verbaute und externe Festplatten
Aber auch Softwaresysteme können wir IT-forensisch auswerten:
- Gelöschte Speicherbereiche
- Digital gespeicherte Dokumente (Excel, Word, PDF)
- Digital gespeicherte Kommunikationsdaten (E-Mail, Chat, Browserverlauf, SMS)
- Digital gespeicherte Bild-, Video- und Audiodateien
- Zuordnung vorhandener Dateien und Spuren zu einzelnen Nutzern
- Serverlog-Dateien
Hier kommt es jedoch auf den Einzelfall an: kontaktieren Sie uns gerne bei Fragen unter www.omekron-forensik.de