Computer Daten Forensik
Das digitale Thing
In alten Zeiten wurden Verfehlungen während des Thing aufgedeckt, das meist unter den Gerichtslinden oder auf dem Marktplatz stattfand. Die Vergehen waren damals (wie heute) sehr menschlich, häufig handelte es sich um Diebstahl oder um vermeintlichen Diebstahl, was eben aufgeklärt werden musste. Die gestohlenen Gegenstände konnte man sehen und anfassen, somit war die Verfolgung des gestohlenen Gutes einfach: der vormalige Besitzer vermisste es, ein anderer hatte es – voila!
Aber was machen, wenn der Diebstahl gar nicht bemerkt wird, weil die gestohlenen Dinge immer noch an ihrem Platz sind? Dies ist bei Wissen, Ideen oder digitalen Informationen der Fall. Für Wissen und Ideen gibt es als Schutz das Patent- und Markenrecht, aber was gibt es bei Datenklau oder bei mutwilliger Zerstörung von Daten? Wie kommt man den Tätern auf die Spur?
Beweissicherung mit der Computer Forensik
Hier entwickelte sich im Laufe der Zeit die Computer Forensik. Dies bedeutet nichts anderes, als Vorgänge im digitalen Geschehen einer beweissichernden und somit gerichtlichen Charakter zu geben. Was den Germanen das Thing war, war den Römern das Forum (Marktplatz), auf dem ebenfalls Gerichtsverfahren abgehalten wurden. Aus diesem Zusammenhang wird deswegen alles im Zusammenhang mit kriminalistischen Untersuchungen „forensisch“ genannt.
Was ist aber nun das Charakteristische an der Computer Forensik? Eigentlich nichts anderes, als in anderen forensischen Untersuchungen auch: Saubere, von einem Dritten nicht anfechtbare Beweissicherung! Die dazu verwendeten Mittel sind vielfältig und bedürfen gut geschulter Experten. Versagt nämlich die Beweisführung, geht unter Umständen ein Schadensersatzprozess verloren, was dem Kläger im Zweifel große Kosten verursachen kann.
Erstellung der Vorgehensanalyse
Als erstes wird eine Vorgehensanalyse erstellt. Dabei sind die ersten Schritte von entscheidender Bedeutung. Absicherung des Tatortes, sicher stellen, dass niemand mehr weder von außen noch von innen Datenverändern kann, jedoch kann ein zu schnelles Ausschalten des Systems wichtige flüchtige Daten bereits zerstören. Das eingesetzte Untersuchungsteam sollte deswegen ein unter sich gut eingespieltes Team sein mit einem Teamleiter, der dafür sorgt, dass bereits zu Beginn der Untersuchung ein Protokoll angefertigt wird und alle kommenden Schritte im Detail vermerkt werden.
Bedeutung der Untersuchungsergebnisse vor Gericht
Es kommt nämlich bei der Präsentation des Untersuchungsergebnisses vor Gericht auf jedes Detail an. Bleibt zum Beispiel der Computer oder das System während der Untersuchung nicht unter Kontrolle und kann jemand, wenn auch nur für Minuten das System in Anspruch nehmen, kann dies vom gegnerischen Anwalt oftmals, je nach Situation, zu Lasten des Klägers oder des Beklagten verwendet werden.
Das bedeutet, dass jeder Schritt von einer zweiten ausgebildeten Person bezeugt werden kann. Außerdem muss klargestellt werden, warum sich der Untersuchende für diesen Schritt und für einen anderen entscheidet! Warum die Untersuchung an dieser Stelle mit diesem Werkzeug und nicht mit einem anderen durchgeführt wird! Das klingt sehr nach viel Papierkram und ist es auch.
Millionen Umsätze in der Computer Forensik Dienstleistung
Zur Unterstützung des Untersuchungsteams gibt es, nachdem die Computer Forensik – Dienstleistung in den USA die 300 Millionen $ – Umsatzgrenze vor Jahren erreicht hat, eine tüchtige Hardware- und Software Industrie. Außerdem haben sich verschiedene Unternehmen, meist aus der Datenrettungsbranche, die in mancher Hinsicht gleiche Vorgehensweisen ausweist, auf forensische Untersuchungen im digitalen Umfeld spezialisiert.
Es würde hier zu weit führen, genaue technische Anleitungen zu geben. Diese können nachgelesen werden im Buch „Computer Forensik“ von Alexander Geschonneck, was allerdings nur technisch versierten Administratoren und Computernutzern empfohlen werden kann.
Text: Maurice Bokma - Artikel vom: 11.04.2007 - Bildquelle: pixelio.de/Harry Hautumm