NICi-Wiki IT-Forensik: Die modernen Erben von Sherlock Holmes

NICi-Wiki– Jedes Verbrechen hinterlässt physische Spuren: Finger- und Schuhabdrücke, Kleiderfasern, Haare oder winzige Hautschuppen, Zeugen. Heutzutage kommen hier noch weitere Fährten hinzu, denen ausgewiesene Spezialisten auf den Grund gehen: Die digitalen Spuren, die auf Computern, Smartphones, Servern und auf jedem anderen internetfähigen Elektrogerät zu finden sind. Identifiziert und ausgewertet von IT-Forensikern, liefern diese „e-Indizien“ Ermittlungsbehörden gerichtsverwertbare Hinweise, um Täter zu überführen. Doch nicht nur bei der Aufklärung von Straftaten kommen IT-Forensiker zum Einsatz. Beispielsweise sind sie auch in Unternehmen zu finden. Dort ermitteln sie Störungen und Fehlfunktionen in den IT-Systemen.
Von Kerstin Albrecht-Aigner

Arbeitsweise und Abgrenzung der IT-Forensik
Um verdächtige Vorgänge auf IT-Systemen zu erforschen, zu dokumentieren und die Verantwortlichen zu ermitteln, nutzen IT-Forensiker verschiedene Analyse- und Beweissicherungstechniken. Dabei gehen sie methodisch vor, so dass die von ihnen erstellten Gutachten bei einer Anhörung vor Gericht verwertbar sind. Als neutrale Sachverständige unterstützen sie nicht nur Behörden bei ihrer Ermittlungsarbeit in Sachen Erpressung, Diebstahl oder Mord, sondern durchleuchten auch innerbetriebliche IT-Vorfälle. Damit unterscheiden sie sich von den IT-Kriminalisten, welche Tatbestände aus der IT-Welt wie etwa Hackerangriffe, illegale Aktivitäten im Darknet oder Betrug durch Phishing-Mails ins Visier nehmen. Tätig sind IT-Forensiker bei der Polizei, aber auch in IT-Betrieben und in Beratungsunternehmen.

Strukturierte Suche nach dem entscheidenden Puzzleteil
Der Ablauf einer IT-forensischen Analyse ist immer gleich. Er umfasst die Schritte Identifizierung, Datensicherung, Analyse und Dokumentation: Zunächst erfolgt eine Bestandsaufnahme des Vorfalls, die Darstellung der Ausgangslage und die Beschreibung der zu klärenden Frage. Damit die forensische Spurensuche Datenträger und gespeicherte Informationen nicht verändert, wird anschließend erst ein Schreibblocker installiert, dann eine exakte Kopie der Informationen erstellt. Im Rahmen der Analyse nehmen IT-Forensiker die IT-Systeme hinsichtlich des Vorfalls genauestens unter die Lupe. Der letzte Schritt befasst sich mit der Aufbereitung und der Präsentation der Analyseergebnisse. So enthält das im letzten Schritt erstellte Gutachten Fakten wie die Identität des Täters, Umfang und Zeitraum der Tat, Ursache und Motivation sowie den genauen Tathergang. Mittlerweile stehen den IT-Forensikern wirkungsvolle Software-Tools zur Verfügung, welche ihnen auf ihrer Suche nach dem digitalen „Missing Link“ weiterhelfen.