Die Computer-Forensik, auch IT-Forensik genannt, ist ein Teil der Forensik, und beschäftigt sich mit der Feststellung eines Tatbestandes durch die Untersuchung und Auswertung digitaler Daten.
Ziel ist es festzustellen, welche Vorgänge auf dem IT-System durchgeführt wurden und wer der Verantwortliche ist. Vorteil der Computer-Forensik ist die Gerichtsfestigkeit der digitalen Beweismittel und es können Daten-Diebstähle aufgedeckt werden.
Der Prozess der IT-Forensik besteht aus fünf Schritten: Identifizierung, Datensicherung, Analyse, Dokumentation und Aufbereitung.
- Identifizierung
Der Prozess beginnt mit der Identifizierung der Ausgangslage und der Dokumentation der Situation. Es wird untersucht, welche Daten den Beteiligten zugängig waren und welche Daten gesichert werden müssen.
- Datensicherung (Forensische Sicherung)
Hier werden die identifizierten Daten gesichert.
Zuerst wird die Frage gestellt, ob das Gefährdungssystem abzuschalten ist oder weiter betrieben wird. Hierfür ist die Unterscheidung von flüchtigen Daten (RAM-Speicher, Netzverbindungen,…) und nicht-flüchtigen Daten (Daten auf der Festplatte) wichtig, denn mit dem Abschalten gehen den flüchtigen Daten verloren.
Zur Sicherung werden dann „Writeblockers“, die an die Datenträger geschlossen werden, verwendet. In der heutigen Zeit wird die Sicherung von digitalen Spuren von Smartphones immer wichtiger.
- Analyse
Nun folgt die Analyse der erhobenen Daten. Durch die Analyse sollen die Ursachen und die Wirkung des Vorfalls aufgedeckt werden.
- Dokumentation
In diesem Schritt werden alle ermittelten Erkenntnisse dokumentiert.
- Aufbereitung
Hier werden die Erkenntnisse aufbereitet. Es wird über die Erkenntnisse der Identität des Täters, des Zeitraums, des Umfangs, der Motivation und der Ursache berichtet.
https://www.searchsecurity.de/definition/Computer-Forensik-IT-Forensik
https://de.wikipedia.org/wiki/IT-Forensik#Artikel_und_Fachbeitr%C3%A4ge