IT-Forensik – was ist das? - wissenschaft.de
Anzeige
Anzeige

Technik+Digitales

IT-Forensik – was ist das?

IT-Forensiker befassen sich mit der Analyse von Daten oder Vorfällen auf IT-Systemen, um exakt beschreiben zu können, wer welche Aktionen auf einem IT-System ausgeführt hat oder verantwortlich ist für die Ausführung. (Bild: pixabay.com, GDJ)
Bei der IT-Forensik handelt es sich um ein Teilgebiet der Forensik. Es ist die methodische Analyse von Daten, Vorfällen auf IT-Systemen, um Beweise in gerichtsverwertbarer Form zu sichern. Dabei soll exakt festgestellt werden, zu welchen Aktionen es auf einem bestimmten IT-System kam und, wer sie verursacht hat oder verantwortlich dafür ist. Dazu stehen verschiedene Analyse-, Beweissicherungs- und Ermittlungstechniken zur Verfügung, mit deren Hilfe sich verdächtige Vorgänge auf informationstechnologischen Systemen untersuchen und dokumentieren lassen, um am Ende die Verantwortlichen zu ermitteln. Die Analysen in der Forensik sind strukturiert und methodisch, um Beweise gerichtssicher zu sichern. Die IT-Forensik ist heute eine eigene Wissenschaft geworden – nicht nur für Ermittlungsbehörden, sondern auch für die Betreiber von professionellen IT-Systemen.

Einsatzgebiete der IT-Forensik

Die IT-Forensik kommt in verschiedenen Zusammenhängen zum Einsatz:

Dabei geht es immer um die Sicherung von Beweismitteln, die verschiedenen Anforderungen genügen müssen, beispielsweise müssen sie vor Gericht verwertbar sein. Die IT-Forensik lässt sich weiter unterteilen in Computer-Forensik und Daten-Forensik. Die Computer-Forensik beinhaltet die Analyse von Geräten, während die Daten-Forensik Datenbestände und Datenbanken analysiert. IT-Forensik kommt nicht nur bei der Ermittlungsarbeit polizeilicher Behörden zum Einsatz. Auch IT-Unternehmen, Beratungsfirmen und private Ermittlungsunternehmen, wie die Detektei Lentz in Köln, betreiben IT-Forensik.

Der Grund dafür ist simpel: Jeder hinterlässt täglich viele Spuren im Netz, beispielsweise mit dem Computer, dem Tablet, dem Smartphone oder auch der Spielekonsole. Damit werden die Nutzer angreifbar. IT-Forensiker arbeiten bei Ermittlungsbehörden, in Ministerien oder den IT-Sicherheitsabteilungen von großen Unternehmen.

Struktur des Ablaufs einer IT-forensischen Untersuchung

Methodik und Struktur sind bei IT-forensischen Untersuchungen immer gleich. Die Schritte folgen jedes Mal diesem Muster: Identifizierung, Sicherung der Daten, Analyse der Daten, Dokumentation und Aufbereitung der Ergebnisse.

Anzeige

Bei der Identifizierung geht es darum, eine Bestandsaufnahme zu machen vom zu untersuchenden Vorfall, die Ausgangslage darzustellen und klärende Fragen zu beschreiben. Im nächsten Schritt geht es darum die identifizierten Daten – flüchtig oder nicht flüchtig – zu sichern. Dabei kommt auch immer die Frage auf, ob das IT-System angesichts des Vorfalls abzuschalten ist oder ob es weiterbetrieben werden darf. Im weiteren Verlauf kommt es zur genauen Analyse der Daten und Systeme im Hinblick auf den Vorfall. Abläufe, Ursachen und Verantwortliche sind zu ermitteln. Für den letzten Schritt sind die Analyseergebnisse aufzubereiten und zu präsentieren. Das Arbeitsergebnis ist ein ausführlicher Bericht, der wichtige Fakten enthält, wie Umfang sowie Zeitraum der Tat, Identität des Täters, Motivation der Tat und den genauen Ablauf.

Welche Spuren sind in der IT-Forensik zu finden?

Die IT-forensische Analyse identifiziert digitale Spuren, lokalisiert und sichert sie. Zu den digitalen Spuren zählen:

  • welche Anwendungen der User ausgeführt hat
  • ob eine Anmeldung an einem IT-System erfolgt ist
  • welche Befehle auf einem IT-System abgesetzt wurden
  • ob Datei-Downloads erfolgt sind
  • ob es gelöschte Dateien gibt
  • ob es zu Verbindungen von externen Geräten mit dem System kam
  • ob es zu Veränderungen der Login-Daten kam
  • welche Webseiten der User aufgerufen hat
  • ob der User den Web-Browser benutzt hat

Der BSI-Leitfaden

Das Bundesamt für Sicherheit und Informationstechnik (BSI) hat einen umfangreichen „Leitfaden IT-Forensik“ veröffentlicht. Er richtet sich in erster Linie an Sicherheitsverantwortliche, aber auch an Betreiber von IT-Systemen und Administratoren. Der Leitfaden beschreibt für diese Zielgruppe die methodische Vorgehensweise bei einer Datenanalyse von Datenträgern oder der Analyse von Computernetzwerken. Aufgabe des Leitfadens ist die Unterstützung bei der Aufklärung von IT-Vorfällen. Er ist ein Nachschlagewerk für die verschiedensten praxisbezogenen Problemstellungen und liefert viele Beispiele.

IT-Forensik im Strafprozessrecht

Forensik beschreibt in der Praxis der Strafprozesse die Wissenschaften, mit deren Hilfe Juristen versuchen, rechtlich zu beurteilende Sachverhalte zu verstehen. IT-, auch Computer-Forensik genannt, ist die jüngste der forensischen Wissenschaften. In den Gerichtssälen erfährt sie derzeit noch eine stiefmütterliche Behandlung. Dennoch weiß jeder Jurist, dass er technisch gesehen ein Laie ist und auch bleiben wird, auch wenn er über einen Computer verfügt und sich auch damit auskennt. Ob eine E-Mail tatsächlich versandt wurde und wann oder von wem, kann ein Jurist nur anhand eines Ausdrucks, der sich in der Akte befindet, nicht sicher beurteilen. Genauso wenig kann er beispielsweise die Schuldfähigkeit eines Angeklagten beurteilen. Dazu ist ein psychiatrischer Sachverständiger notwendig. Im Fall der E-Mail kommen bisher leider noch viel zu selten IT-Forensiker zu Wort.

IT-Forensik im Strafrecht

Das Strafrecht ist heute ohne die IT-Forensik kaum noch denkbar. Immer häufiger sind bei Delikten und Straftatbeständen technische Sachverhalte im Zusammenhang mit der Informationstechnologie zu beurteilen. Das gilt nicht mehr nur für das Computerstrafrecht. Die vielzähligen Stellenangebote, die BKA und BMI aktuell veröffentlichen, lassen den Schluss zu, dass es in diesem Bereich derzeit einen Fachkräftemangel gibt. Bei den Strafverfolgungsbehörden übernehmen häufig die Kriminalbeamten die Aufgaben eines IT-Forensikers. Sie haben sich das notwendige Wissen aus Interesse durch „Learning by Doing“ angeeignet. Eine systematische Ausbildung in diesem Bereich gibt es noch nicht sehr lange. Insgesamt gibt es in Deutschland nur sieben Hochschulen (Fachhochschulen und Universitäten) die für IT-Forensik spezialisierte Studiengänge anbieten.

IT-Forensiker immer wichtiger

Phishing, Hacking oder Scamming sind Wörter, die manchen Menschen echtes Unbehagen verursachen. Manche sind bereits Opfer von Phishing-Angriffen geworden und wissen, dass die Betrüger ganz raffiniert vorgehen und beispielsweise über gefakte Internetseiten Passwörter klauen. Andere sind Opfer von Scammern geworden, die im Netz versuchen, Geld zu ergaunern. Cyberkriminalität ist sehr facettenreich. Zur Aufklärung tragen die IT-Forensiker wesentlich bei.

25.09.2019

Anzeige

bild der wissenschaft | Aktuelles Heft

Anzeige

Aktueller Buchtipp

Sonderpublikation in Zusammenarbeit  mit der Baden-Württemberg Stiftung
Jetzt ist morgen
Wie Forscher aus dem Südwesten die digitale Zukunft gestalten

Wissenschaftslexikon

Schü|ler|zahl  〈f. 20〉 Anzahl der Schüler u. Schülerinnen (einer Klasse, einer Schule, eines Jahrgangs)

h–Moll  〈[ha–] n.; –; unz.; Mus.; Abk.: h〉 auf dem Grundton h beruhende Moll–Tonart

Sal|bei  〈a. [–′–] m. 1; unz. od. f. 7; unz.; Bot.〉 1 Angehöriger einer Gattung der Lippenblütler mit blauen od. rötlich violetten Blüten: Salvia 2 〈i. e. S.〉 ätherische Öle u. Gerbstoffe enthaltende Art, aus der Salbeitee hergestellt wird: S. officinalis ... mehr

» im Lexikon stöbern
Anzeige
Anzeige