Kriminalistische IT-Forensik


Unsere IT-forensischen Untersuchungen beginnen mit einigen Vormaßnahmen und der Erstellung eines strategischen Maßnahmenplans.

 

IT-forensische Tätigkeit beginnt mit dem ersten Angriff, in dem das Problem detektiert, auf dem System eingegrenzt und isoliert wird, um etwaige (weitere) Schäden zu minimieren. Veränderungen im System werden beschrieben, flüchtige (bspw. RAM) und nicht-flüchtige Daten (Festplatte) gesichert und mögliche Zusammenhänge analysiert. Anschließend erstellen unsere IT-Spezialisten kriminalistische Tathergangs- bzw. Ursachentheorien, überprüfen diese Theorien und sichern die forensischen Spuren.

 

Die Informatiker des Kurtz IT-Service' stehen sowohl für Life-Analysen am laufenden Gerät zur Verfügung als auch für die Dead (oder auch post mortem)-Analyse am defekten System bzw. Gerät.

 

Eine der größten Herausforderungen an IT-Forensiker in der heutigen Zeit ist es, die immer größer werdende Flut elektronischer Datengeräte,  von Spyware, Betriebssystemen und der stetigen Erweiterung von Datenspeichern zu verarbeiten, Fehler und Missbräuche zu analysieren und Spuren zu sichern. Durch die technischen Möglichkeiten und stetigen Erweiterungen unserer IT-Abteilung sind unsere IT-Spezialisten diesen Anforderungen optimal gewachsen.



Auch in der IT-Forensik gelten die berühmten W-Fragen:

 

  • Was – Was ist geschehen?
  • Wo – Wo auf dem Datenspeicher ist es passiert?
  • Wann – Wann ist etwas passiert?
  • Wie – Wie wurde vorgegangen?

 

Übrigens: Einer der größten Vorreiter der kriminalistischen Forensik war der Schotte Joseph Bell, Vorbild für Sherlock Holmes: Auf den Spuren von Sherlock Holmes.

 

Beispiele für gefährdete Informationsträger sind

 

  • Digital gespeicherte Bild-, Video- und Sounddateien
  • Digital gespeicherte Kommunikation (E-Mail, SMS, Browserverlauf)
  • Digital gespeicherte Dokumente (z.B. docx, pdf usw.)
  • Rechnernutzungsspuren (Datenverbindungsprotokolle, Verlaufsdaten, Login- und Zugriffszeiten)
  • Serverlog-Dateien (Proxylogs, Webseiten-Zugriffs-Logdateien etc.)
  • Vermeintlich gelöschte Speicherbereiche
  • Metadaten von Dateien