Wenn Sie genug Krimisendungen im Fernsehen gesehen haben, haben Sie wahrscheinlich einen Schauspieler oder eine Schauspielerin gesehen, die einen forensischen Ermittler porträtiert. In Shows wie CSI: Miami scheinen die forensischen Ermittler in der Lage zu sein, ein paar Schlüssel in ein Terminal einzugeben und zu boomen — sie haben alle Informationen, die sie brauchen.
Im wirklichen Leben ist Computerforensik jedoch nicht so einfach. Tatsächlich können computerforensische Ermittler Tage brauchen, um alle für einen Fall erforderlichen Informationen zu analysieren.
In diesem Artikel besprechen wir Computerforensik und wie diese Arten von Untersuchungen durchgeführt werden.
Was ist Computerforensik?
Für diejenigen, die mit Computerforensik nicht vertraut sind, ist es die Kunst und Wissenschaft, Beweise aufzudecken, die in Computern und digitalen Speichern gespeichert sind.
Computer-Forensiker extrahieren Beweise auf rechtssichere Weise, um ihre Verwendbarkeit in straf- oder zivilgerichtlichen Verfahren sicherzustellen. Um sicherzustellen, dass die Beweise nicht manipuliert und vor Gericht zulässig sind, verwenden computerforensische Ermittler eine dokumentierte Chain of Custody und Tools wie Schreibblocker und Manipulationssiegel.
Wenn eine kriminelle Aktivität mit einem Computer auftritt, z. B. ein Denial-of-Service (DoS) oder ein Hacking-Angriff, enthält das verwendete System eine Vielzahl von Beweisen für das Verbrechen. Selbst in Strafsachen, die nicht explizit mit Cybersicherheit zusammenhängen, wie Drogenhandel, Betrug oder sogar Mord, enthalten die Geräte des Verdächtigen wahrscheinlich Beweise für das Verbrechen in E-Mails, Internetverlauf, Dokumenten und Bildern.
Beispiele aus dem wirklichen Leben für Computerforensik in Aktion
Im Jahr 2010 wurde ein Baptistenprediger namens Matt Baker wegen Mordes an seiner Frau zu 65 Jahren Gefängnis verurteilt. Der erste Bericht hatte angegeben, dass die Frau Selbstmord begangen hatte, indem sie Schlaftabletten überdosiert hatte. Bei weiteren Untersuchungen stellte ein forensischer Analyst fest, dass Baker vor dem Tod seiner Frau nach „Überdosierung von Schlaftabletten“ gesucht und mehrere pharmazeutische Websites besucht hatte. Ohne diese Informationen von Bakers Computer wäre er vielleicht nie vor Gericht gestellt worden.
Kommerzielle Unternehmen nutzen Computerforensik auch aus einer Vielzahl von verschiedenen Gründen. Diebstahl geistigen Eigentums, Betrug, Fälschungen und Arbeitsstreitigkeiten können zur Verwendung von Computerforensik führen, um Beweise für Zivilsachen zu liefern. Stellen Sie sich ein Szenario vor, in dem ein Mitarbeiter behauptet, sexuelle Belästigung oder Vorurteile von einem Arbeitgeber erfahren zu haben. Firmeneigene Geräte werden wahrscheinlich einer der nützlichsten Orte sein, um Beweise zu finden.
Wenn eine Person für eine Organisation arbeitet, gehört jede Arbeit, die auf den Unternehmensgeräten ausgeführt wird, normalerweise dieser Organisation, selbst wenn dieser Mitarbeiter an einem „persönlichen Projekt“ arbeitete, während er dieses Gerät verwendete. Unternehmen können Computerforensik verwenden, um zu beweisen, dass das Produkt ihnen gehört, da es auf einem Unternehmensgerät erstellt wurde. Computerforensik kann verwendet werden, um diese Beweise zu finden, auch wenn der Mitarbeiter glaubt, dass er alle relevanten Dateien auf diesem Computer gelöscht hat.
Schritte in einer computerforensischen Untersuchung
Für Personen, die in der Computerforensik arbeiten, gibt es fünf wesentliche Schritte für eine erfolgreiche Untersuchung.
Entwicklung von Richtlinien und Verfahren
Wie bei jeder Rolle ist die Aufrechterhaltung ordnungsgemäß definierter Richtlinien und Verfahren von entscheidender Bedeutung. In der Computerforensik können diese Verfahren beschreiben, wie Systeme für die Beweisaufnahme richtig vorbereitet werden und wie die Authentizität von Daten sichergestellt werden kann.
Evidenzbewertung
Computer können viele Informationen speichern, manchmal Terabyte an Daten, von denen nicht alle für einen bestimmten Fall gelten, für den ein Ermittler Beweise sammelt. Die Ermittler benötigen Kenntnisse über den vorliegenden Fall und ein Verständnis dafür, welche Beweise für den Fall gelten.
Beweiserfassung
Das bloße Auffinden der Beweise reicht nicht aus. Die Beweise müssen nach strengen Richtlinien gesammelt und erworben werden, um ihre Zulässigkeit vor Gericht sicherzustellen. Typische Anweisungen zur Beweissicherung umfassen die physische Entfernung von Speichergeräten, die Verwendung von Schreibblockern, um Manipulationen zu verhindern, und eine gründliche Dokumentation wie eine Chain of Custody.
Beweisprüfung
Nach der Bewertung und Beschaffung von Beweisen besteht der nächste Schritt darin, die potenziellen Beweise zu untersuchen. Die Ermittler verwenden verschiedene Methoden, Techniken, und Werkzeuge zur Überprüfung digitaler Daten. Absichtlich versteckte Dateien und alle Daten, die mit Datum und Zeitstempel versehen sind, sind für Ermittler besonders nützlich.
Dokumentieren und Berichten
Die Dokumentation aller Schritte während der Untersuchung ist ein kritischer Aspekt der Aufgaben eines computerforensischen Ermittlers. Da das Ziel der Erhebung dieser Daten in der Regel darin besteht, sie vor Gericht vorzulegen, kann jedes Versäumnis, die unternommenen Schritte genau zu dokumentieren und zu melden, dazu führen, dass die Beweise unzulässig sind.
Setzen Sie Ihre Computerforensik-Suche fort
Wenn Sie mehr über digitale Forensik erfahren möchten, besuchen Sie unsere Digital Forensics Services-Seite hier.