forensics.cyber-kill-chain.ch:8099

Grundzüge der digitalen Forensik

Definition und Begriff

Die digitale Forensik ist eine junge Teildisziplin der klassischen Forensik, die sich seit den 1980er Jahren langsam etabliert.

Hier wird der Begriff digitale Forensik / digital-forensische Untersuchungen (englisch: Digital forensic investigations (DFI)) benutzt anstelle des Begriffs Computerforensik. Mit digitaler Forensik wird auch die blosse Untersuchung von Datenträgern eingeschlossen unabhängig von einem Computer.

Aus dem Begriff Forensik1Wer forensisch tätig ist, tritt in irgendeiner Form vor einem Forum auf. Statt vieler: Etymologie nach Duden “lateinisch forensis, eigentlich = zum Forum gehörend”; Bedeutung nach … Continue reading heraus ergibt sich eine Zielsetzung, die mit digital forensischen Untersuchungen erreicht werden soll: Am Ende der Untersuchung sollen gerichtlich verwertbare Beweise vorliegen.2Vgl. Geschonneck, S. 2; Heinson, S. 16 f. mit weiteren Ausführungen und Referenzen;

Synonym benutzte Begriffe: IT-Forensik, Computerforensik, Digital Forensic Investigations

Grundsätze

Gewisse Prinzipien der digital-forensischen Beweissicherung haben sich mittlerweile als Stand der Wissenschaft etabliert:

[…]

Overview: Grundzüge der digitalen Forensik

Vorgehensweise bei digital-forensischen Untersuchungen

Das S-A-P-Modell

Das S-A-P-Modell3Bangerter, S. 266; BSI, S. 24; Geschonneck, S. 68; Marschall, S. 98; Dolle, S. 183. Auch Heinson strukturiert den Teil “Technik und Verfahren” seiner bis heute einzigartige und umfassende … Continue reading4Der Ursprung des S-A-P-Modells ist unklar. Sämtliche eruierten Autoren nehmen das S-A-P als gegeben an und verwenden die englischsprachigen Begriffe für Sichern, Analysieren, Präsentieren. Es … Continue reading ist mit seinen drei Phasen eines der kompaktesten Modelle für digital-forensische Untersuchungen. Es gibt zahlreiche weitere Prozessmodelle (siehe unten weitere Modelle), die allesamt letzten Endes auf die konkrete Situation angepasst und individualisiert werden müssen.

An dieser Stelle liegt der Fokus auf dem S-A-P-Modell; die weiteren Modelle werden soweit sinnvoll angeführt und detailliert mit Quellenangaben für die weiterführende Erschliessung referenziert.

Das S-A-P-Modell reduziert die gesamte Komplexität einer digital-forensischen Untersuchung auf drei Phasen:

  1. Secure
  2. Analyze
  3. Present

Secure beinhaltet das Sicherstellen des Bweismaterials. Gedanklich notwendig ist dafür die Vorbereitung des Sicherhstellungsprozesses mit organisatorischen und technischen Vorkehren und unternehmensintern im Rahmen der Forensic Readiness-Bestrebungen (siehe unten).5Vgl. Geschonneck, S. 68;Heinson, S. 27 ff.; Marschall, S. 98; Dolle, S. 183 Die gesamte Untersuchung profitiert hier vom Einsatz erfahrener Forensiker mit möglichst umfassender Kenntnis des zu untersuchenden Systems, da nur jenes Datenmaterial den weg in den Gerichtsprozess oder zu den Entscheidträgern im Unternehmen findet, das auch sichergestellt wurde.

Die Analyze-Phase dreht sich um das Interpretieren der sichergestellten Spuren. Hier ist tiefes Wissen um technische Zusammenhängen unerlässlich. Die Forensiker haben keine rechtlichen Fragen zu stellen oder Schlüsse zu ziehen, sondern sich ausschliesslich auf die objektiv vorliegenden Findings zu beziehen und haben darzulegen, welche Geschehensabläufe sich aus diesen Findings ergeben.6Vgl. Geschonneck, S. 69; Heinson, S. 53 ff.; Marschall, S. 98; Dolle, S. 183

In der Present-Phase werden die Analyseergebnisse aufbereitet und in die notwendige Form gebracht, so dass z.B. die Entscheidträger oder die Gerichte auf der Basis der vorgelegten Ergebnisse ihre Schlüsse ziehen können. Das kann u.a. Rapporte, Gutachten oder das persönliche Erscheinen der Forensiker beinhalten.7Geschonneck, S. 69; Heinson, S. 65 ff.; Marschall, S. 98; Dolle, S. 183

Praktische Vorgehensweise

Folgende generelle Vorgehensweise kann als Ausgangspunkt für digital-forensische Untersuchungen genutzt werden:8Im Einzelfall muss die Vorgehensweise auf die angetroffene Situation abgestimmt werden. Gesetzliche Vorgaben (bei hoheitlichen Untersuchungen z.B. im Rahmen der StPO) sind zwingend einzuhalten. Bei … Continue reading

[…]

Rechtsprechung

[…]

Software zur Beweissicherung im Speziellen

[…]

Forensic Readiness

[…]

Referenzen
Referenzen
1 Wer forensisch tätig ist, tritt in irgendeiner Form vor einem Forum auf. Statt vieler: Etymologie nach Duden “lateinisch forensis, eigentlich = zum Forum gehörend”; Bedeutung nach Duden: “gerichtlichen oder kriminologischen Zwecken dienend, im Dienste der Rechtspflege stehend; gerichtlich” siehe Duden, Link zu “forensisch”.
2 Vgl. Geschonneck, S. 2; Heinson, S. 16 f. mit weiteren Ausführungen und Referenzen;
3 Bangerter, S. 266; BSI, S. 24; Geschonneck, S. 68; Marschall, S. 98; Dolle, S. 183. Auch Heinson strukturiert den Teil “Technik und Verfahren” seiner bis heute einzigartige und umfassende Dissertation zur IT-Forensik im rechtlichen Kontext nach dem SAP-Modell.
4 Der Ursprung des S-A-P-Modells ist unklar. Sämtliche eruierten Autoren nehmen das S-A-P als gegeben an und verwenden die englischsprachigen Begriffe für Sichern, Analysieren, Präsentieren. Es fällt auf, dass in der englischsprachigen Literatur das S-A-P-Modell nicht ein einziges Mal erwähnt wird. Daraus lässt sich eine deutschsprachige Herkunft ableiten. Alexander Geschonneck benutzte diese Bezeichnung im Jahr 2006 am CeBIT-Forum, weshalb er der Begründer dieses Modells sein dürfte.
5 Vgl. Geschonneck, S. 68;Heinson, S. 27 ff.; Marschall, S. 98; Dolle, S. 183
6 Vgl. Geschonneck, S. 69; Heinson, S. 53 ff.; Marschall, S. 98; Dolle, S. 183
7 Geschonneck, S. 69; Heinson, S. 65 ff.; Marschall, S. 98; Dolle, S. 183
8 Im Einzelfall muss die Vorgehensweise auf die angetroffene Situation abgestimmt werden. Gesetzliche Vorgaben (bei hoheitlichen Untersuchungen z.B. im Rahmen der StPO) sind zwingend einzuhalten. Bei unternehmensinternen Untersuchungen können Weisungen bestehen, wobei solche Weisungen im Konfliktfall mit vorgesetzten Stellen zu klären sind. Falls für die forensische Untersuchung ein Abweichen zwingend notwendig ist und Klärung (trotz allfälliger Eskalation) der Untersuchung weiterhin Grenzen auferlegt, müssen diese Grenzen detailliert dokumentiert sein.