Im Rahmen einer IT-Forensischen Untersuchung werden verdächtige Vorgänge in Unternehmen, aus denen sich Indizien eines Tatbestandes ermitteln lassen, ergründet, analysiert und als Ergebnis aufbereitet. Dabei werden in der Regel sämtliche verfügbare Datenquellen hinzugezogen. Das können neben Serversystemen, Lokale Computer (PC/ Notebook), Tablet Computer, Smartphones, sowie externe Datenträger (USB-Festplatte/ USB-Stick) sein. Darüber hinaus sind Netzwerkdaten, sofern diese verfügbar sind hinzugezogen.
Worin unterscheidet sich eine Datenrettung von einer IT-Forensischen Analyse?
Das Ziel einer Forensischen Analyse ist grundsätzlich verschieden von dem einer klassischen Datenrettung. Bei der Datenrettung geht es primär um die Wiederherstellung von Daten ohne dabei genauere Informationen über den Verlust bzw. deren Historie herauszufinden.
Bei einer Forensischen Analyse mit dem Hintergrund der späteren Verwertbarkeit der Ergebnisse, werden gezielt Spuren ermittelt, die als Indizien auf eine bestimmte Handlung (z.B. Löschen/ Überschreiben/ Verändern von Daten) hindeuten. Dabei wird meist sehr tief auf Dateisystemebene angesetzt und in Form der manuellen/automatiserten Auswertung von Datenfragmenten der weitere Arbeitsablauf erarbeitet. Somit ist es in bestimmten Fällen auch möglich, Benutzerinformationen in den Zusammenhang mit bestimmten erfolgten Abläufen zu stellen.
Umgang mit Beweismaterial
Um mit den ermittelten Ergebnisen einer Forenischen Untersuchung strafrechtliche oder zivilrechtliche Relevanz zu erlangen, ist es absolut erforderlich, die betroffenen Beweismittel in unverändertem Zustand zu belassen. Aus diesem Grund werden von originalen Datenträgern immer 1:1 Kopien (bitweise) angefertigt, an denen die eigentlichen Auswertungen erfolgen.
IT-Forensische Analyse
Eine Analyse von Datenbeständen erfordert immer einen individuellen dem Auftrag angepassten Ablauf. Die Übertragung und Auswertung von Rohdaten erfolgt meist aufgrund der enormen Menge in separaten Datenbanksystemen. Der Prozess gliedert sich meist in folgende Schritte:
- Aufbereitung aller relevanten Daten
- Technische Datenverarbeitung durch einen Analysten
- Auswertung der Zwischenergebnisse und Abgleich mit den unternehmensspezifischen Zielen
- Bewertung der erfolgten Handlungen/ Ergebnisse durch Forensische Fachexperten
Innerhalb der Erstanalyse werden meist nur grobe Handlungsmuster ermittelt und verfolgt. Je nach Zieldefinition verdichten sich die relevanten Ergebnisse mit Zunahme des Analyseprozesses und der entsprechenden Fokusierung nach der Auswertung von Zwischenresultaten.
IT-Forensik Services
Im Rahmen unserer Expertise bieten wir folgende Leistungen:
- technische und fachliche Beratung zum Ablauf einer Forensischen Analyse
- Projektsteuerung und Koordination von Forensischen Analysen und Prozessen im Unternehmen
- Erhebung von relevanten Datenquellen und Übernahme der Datenträger
- Wiederherstellung von gelöschten/ überschriebenen Daten, auch bei defekten Datenträgern
- IT-Forensiche Analyse in Zusammenarbeit mit Ermittlungsbehörden/ Rechtsanwälten/ Unternehmensmanagement
- Aufbereitung und Präsentation von Analyseergebnissen