Was ist Computer-Forensik?

Das ist die offizielle neue Website zur neuen Auflage von:
„Computer Forensik – Computerstraftaten erkennen, ermitteln, aufklären“ dpunkt.verlag 6., aktualisierte und erweiterte Auflage, März 2014, 388 Seiten, 42,90€, ISBN 3864901332

Der Begriff Computer-Forensik, IT-Forensik oder auch Digitale Forensik (engl. Computer Forensics, Digital Forensics, IT-Forensics) hat sich in den letzten Jahren für den Nachweis und die Ermittlung von Straftaten aus dem Bereich der Computerkriminalität durchgesetzt. In Anlehnung an die allgemeine Erklärung des lateinischen Wortes Forensik, ist die Computer Forensik ein Teilgebiet, das sich mit dem Nachweis und der Aufklärung von strafbaren Handlungen z.B. durch Analyse von digitalen Spuren beschäftigt. Themen wie Aufklärung nach Attacken durch Hacker oder Cracker sind ebenso relevant wie das Aufspüren von kinderpornografischem oder anderweitig illegalem Datenmaterial.

Die Ziele einer forensischen Analyse nach einem Hackerangriff oder Fällen von Computersabotage, Datendiebstahl, Wirtschaftsspionage oder einem anderen möglicherweise ernsthaften Sicherheitsvorfall sind in der Regel:

• die Identifikation des Angreifers oder Täters,
• das Erkennen der Methode oder der Schwachstelle, die zum Systemeinbruch oder Straftat geführt haben könnte,
• die Ermittlung des entstandenen Schadens nach einem Systemeinbruch bzw. anderen strafbaren Handlung und
• die Sicherung der Beweise für weitere juristische Aktionen.

Ein zusätzlicher Aspekt ist auch die Abgrenzung der Computer Forensik zu Arbeit eines CERT (Computer Emergency Response Team). Welche Aufgaben hat ein CERT in der Frühphase der Behandlung eines Security Incidents? Wo sind die möglichen Schnittstellen zur Computer Forensik? Wie löst man den Konflikt zwischen dem Bestreben, die Systeme und Geschäftsprozesse wieder in Betrieb zu nehmen und dem Verlangen den Täter zu identifizieren, Beweismittel zu finden und den möglichen Täter einer Strafverfolgung zuzuführen?

Die wesentliche praktische Frage bei der Computer Forensik lautet hierbei:
Wie stellt man sicher, dass soviel gerichtsverwertbare Informationen (sog. Beweismittel) wie möglich von einem kompromittierten System gesammelt werden können, wobei der aktuelle Zustand bzw. Status dieses Systems so wenig wie möglich verändert wird?

Zur Beantwortung dieser scheinbar einfachen, aber in der Umsetzung recht komplexen Frage muss bei der Computer Forensik bereits im Vorfeld geklärt werden:

• Wie wird der Angriff bzw. die Straftat verifiziert?
• Wie sollte der kompromittierte Rechner und die zugehörige Umgebung gesichert werden?
• Welche Methoden können für die Sammlung von Beweisspuren verwendet werden?
• Wo sucht man nach Anhaltspunkten und wie können Sie gefunden werden?
• Wie kann das Unbekannte analysiert werden?

Dies bedeutet allerdings auch, dass sich das Security Management des Unternehmens im Vorfeld auf einen möglichen Security Incident vorbereiten muss. Hier zählt die Erstellung von Security Incident Response – bzw. Notfallplänen und ein angemessenes Training der Sicherheitsspezialisten im Umgang mit Security Tools und den Methoden zur Behandlung von Sicherheitsvorfällen.

Die Computer Forensik ist eine relative neue Wissenschaft, die sich die Kenntnis verschiedener Themengebiete der IT zu nutzen macht.