Computer Forensik Prozess | Kroll Ontrack
Computer Forensik
Computer forensische Untersuchungen
Prozess
Beweissicherstellung
Prävention
für Kripo, Strafverfolgungsbehörden
für Unternehmen
für Richter, Staatsanwälte, Anwälte
Electronic Discovery
Literatur
Über uns
Kontakt

Computer Forensik-Hotline
+49 (0)7031/644-277

Computer Forensik

Diese Seite drucken

Prozess

Kroll Ontrack bietet eine Vielzahl an Dienstleistungen zur Untersuchung und Aufklärung von Wirtschaftskriminalität. Unsere Experten finden wichtige Datenspuren und relevante elektronische Beweismittel - selbst wenn versucht wurde die, Daten absichtlich zu löschen, mutwillig zu zerstören oder zu manipulieren. Unsere Experten unterstützen Sie vom ersten relevanten Indiz bis zur möglichen Strafverfolgung.

Die Durchführung einer forensischen Untersuchung erfolgt in genau festgelegten Schritten, um eine vollständige Kontrolle und umfassende Beweissicherung zu gewährleisten:
Beratung Technische Beratung – Zu Beginn eines Computer Forensik Projekts erarbeiten die Kroll Ontrack Projektmanager gemeinsam mit Ihnen eine effiziente Strategie für die Abfrage, Analyse und Aufbereitung der Daten. Nicht alle Dateien, die z. B. unberechtigterweise eingesehen, kopiert, ausgedruckt oder per E-Mail verschickt wurden, liegen originär auch auf der PC Festplatte. Da die meisten PCs in einem Netzwerk verknüpft sind sollten auch Server besonders in Betracht gezogen werden. LogFiles des Netzwerkverkehrs enthalten oftmals sehr wichtige Informationen.

Gerichtstaugliche Datenerfassung Gerichtstaugliche Datenerfassung – Um eine gerichtsverwertbare Ausgangssituation zu ermöglichen, muss der aktuelle Status der Festplatte, auf der man relevante Aktivitäten vermutet, "eingefroren" werden. Es wird ein bitgenaues 1:1 Image erstellt, bei dem nicht nur erkennbare Dateien, sondern jedes einzelne Bit bzw. jeder Sektor mit erfasst wird - inkl. Dateifragmente und Reste von früheren oder auch von gelöschten Dateien. Für dieses Abbild wird eine eindeutige Prüfsumme (MD5 Hash-Wert) errechnet, die eine eventuelle Manipulation der Daten auf einen Blick feststellbar macht. Das Image wird sicher in einem Safe verwahrt.
Sollte das Original-Medium (Festplatte) nicht mehr zur Verfügung stehen, so muss eine 2. Arbeitskopie des Originals erstellt werden, an der die Forensik Experten arbeiten können!

Datenwiederherstellung Wiederherstellung gelöschter Dateien – Mit speziellen Software-Tools und entsprechendem Fachwissen lassen sich aus dem Image sowohl gelöschte Dateien, als auch Dateireste wieder rekonstruieren. Der Inhalt dieser Dateireste kann auf andere oder neue Indizien hinweisen - wie Papierschnipsel aus Papierkorb.

Sowohl bei der rechtserheblichen Erfassung, als auch bei der forensischen Analyse kommen zusätzlich zu den marktüblichen forensischen Tools - wie EnCase, Hex Editor, FTK, dd oder Paraben - auch von Kroll Ontrack eigens entwickelte Werkzeuge hinzu. Mit über 20-jähriger Erfahrung bieten die Spezialisten von Kroll Ontrack für jeden individuellen Fall exakt die richtige Lösung. Sie ermitteln, ob Computerbeweismittel gefälscht, verändert oder gelöscht wurden und sind in der Lage, versteckte Informationen in wiederhergestellten Dateien zu untersuchen. Dabei können auch gelöschte Daten, freier Speicherplatz (unallocated Space) und Daten in inaktiven oder unbenutzten Festplattenbereichen (Slack Space) ausgelesen werden.

Computer Forensik Analyse Analyse und Datenschutz – Da das Gesamtvolumen aller erfassten Daten meist sehr hoch ist und bei weitem nicht alles für den konkreten Fall von Relevanz ist, wird man i. d. R. versuchen die Datenmenge nach bestimmten Kriterien einzugrenzen.

Dies geschieht durch zeitliche Begrenzung, Begrenzung auf die relevanten Personen (um den Datenschutz* für die nicht betroffenen Personen zu gewährleisten) und das Eliminieren von Redundanzen (Duplikate).

Diese vorselektierte Menge an Daten kann nun nach bestimmten Schlagwörtern (Keywords) untersucht werden. Das Ergebnis - eine Liste aller Dokumente - wird, unabhängig vom Dateiformat, in einer Art Datei-Explorer angezeigt, und kann nach z. B. relevanten Dokumenten zur Vorbereitung selektiert werden. Solche Teil-Ergebnisse können dann nochmals nach bestimmten Suchkriterien analysiert werden.

* Informationen zum Datenschutz erteilt das BSI (Bundesamt für Sicherheit in der Informationstechnik): www.bsi.de

Sachverständigengutachten und Berichterstattung Dokumentation, Berichterstattung und Expertenzeuge - Während des ganzen Prozesses muss eine lückenlose Dokumentation des Arbeitsablaufes angefertigt werden da im Hinblick auf die spätere Gerichtsverwertbarkeit eine hohe Qualitätsanforderungen an die Beweismittel besteht. Zuallererst werden Photos der Ausgangssituation gemacht (Arbeitsplatz, Festplatte etc.), danach wird jeder einzelne Arbeitsschritt in speziellen Formularen festgehalten um später problemlos nachvollzogen werden zu können. Nach abgeschlossener Datenanalyse sind unsere Experten jederzeit dazu bereit bei Bedarf als Expertenzeuge vor Gericht auszusagen.

Rückgabemedien

Rückgabemedien – Die gefundenen relevanten Daten und Ergebnisse werden auf einem Medium (CD, DVD) Ihrer Wahl oder auch in Papierform zurückgegeben. Außerdem gibt Kroll Ontrack Ihnen eine leistungsstarke Software - den ElectronicDataInvestigator™ - an die Hand, mit welcher die Daten weiter untersucht und analysiert werden können.

 

Informieren Sie sich...

  


Beispielfälle aus der Praxis

aktuelle Studien

Broschüren

Video: "Wann braucht ein CIO Computer Forensik?"


 
Impressum | Sitemap