IT-Forensik: Häufig gestellte Fragen
1. Was bedeutet IT Forensik?
2. Sind firmeneigene IT Forensik Ermittlungen sinnvoll?
3. Sind polizeiliche Untersuchungen eigenen Ermittlungen vorzuziehen?
4. Welche rechtlichen Rahmenbedingungen sind bei IT Forensik Untersuchungen zu beachten?
5. Was muss bei der Beweissicherung beachtet werden?
6. Gibt es IT technische Grundregeln für IT Forensik Ermittlungen?
7. Grundregeln für IT Forensik Beweissicherung?
8. Wie geht man bei einem Sicherheitsvorfall vor?
9. Wann müssen flüchtige Daten gesichert werden?
10. Was heißt Dead Imaging?
11. Was heißt Live Imaging?
2. Sind firmeneigene IT Forensik Ermittlungen sinnvoll?
3. Sind polizeiliche Untersuchungen eigenen Ermittlungen vorzuziehen?
4. Welche rechtlichen Rahmenbedingungen sind bei IT Forensik Untersuchungen zu beachten?
5. Was muss bei der Beweissicherung beachtet werden?
6. Gibt es IT technische Grundregeln für IT Forensik Ermittlungen?
7. Grundregeln für IT Forensik Beweissicherung?
8. Wie geht man bei einem Sicherheitsvorfall vor?
9. Wann müssen flüchtige Daten gesichert werden?
10. Was heißt Dead Imaging?
11. Was heißt Live Imaging?
1. Was bedeutet IT Forensik?
IT-Forensik ist die Untersuchung von verdächtigen Vorfällen im Zusammenhang mit IT-Systemen und der Feststellung ob ein Incident (technisch oder rechtlich erheblicher Vorfall) vorliegt. Besteht der Verdacht einer Straftat oder einer Pflichtverletzung eines Mitarbeiters besteht die Aufgabe der IT Forensik darin, den Tatablauf durch Erfassung, Analyse und Auswertung digitaler Spuren in Computersystemen zu belegen und den Täter zu identifizieren.
RVR berät und schult Firmen über die organisatorischen und rechtlichen Rahmenbedingungen bei der Durchführung von In House Ermittlungen in Zusammenarbeit mit externen oder internen IT Security Spezialisten.
2. Sind firmeneigene IT Forensik Ermittlungen sinnvoll?
Ja! Die Mehrzahl der IT Forensik Ermittlungen bezieht sich inzwischen auf verdächtige Vorgänge bei denen Firmenmitarbeiter als (Mit)Täter in Frage kommen (In House Täter). Ohne zeitnahe, firmeneigene Beweismittel-beschaffung ist die Klärung von Verdachtsfällen kaum möglich. Ohne gerichtsfeste Beweise sind personelle Konsequenzen arbeitsrechtlich oft nicht durchsetzbar.
3. Sind polizeiliche Untersuchungen eigenen Ermittlungen vorzuziehen?
Das kommt darauf an! Untersuchungen der kriminalpolizeilichen ITB Teams werden meist an Datenbeständen durchgeführt, die im Zuge von Ermittlungen bei Strafanzeigen durch Firmen durch die Kripo beschlagnahmt wurden (sog. Dead Analysen).
Untersuchungen an laufenden Systemen (Live Analysen) einer Firma sind praktisch durch die Kripo kaum zu leisten. Hier kommt es auf eigene Ermittlungen der Firmen, durchgeführt von IT Forensikern (Interne und auch externe), entscheidend an.
4. Welche rechtlichen Rahmenbedingungen sind bei IT Forensik Untersuchungen zu beachten?
Bei firmeninternen IT Ermittlungen gegen Mitarbeiter wegen verdächtigen Vorgängen ist der Datenschutz, die Persönlichkeitsrechte des Mitarbeiters und das (Betrieb)Verfassungsrecht zu beachten. Bei der Beweismittelbeschaffung sind Beweiserhebungsverbote und Beweisverwertungsverbote zu beachten.
Wenn Strafanzeigen erstattet werden sollen: Die Anzeigen müssen einen hinreichenden Tatverdacht zur Aufnahme von Strafermittlungs- und Strafverfolgungsmaßnahmen belegen.
Wenn eine fristlose Kündigung wegen eines schwerwiegenden Verdachts gegen einen Mitarbeiter ausgesprochen werden soll, müssen firmenintern objektive Anhaltspunkte für eine Verdachtskündigung ermittelt worden sein.
Wenn Schadensersatz verlangt werden soll, müssen die Ermittler der Firma Art und Umfang der Verletzungshandlungen dokumentieren.
Je nach Zielrichtung sind also unterschiedliche Beweisanforderungen zu erfüllen. Beweise müssen gerichtsfest sein.
5. Was muss bei der Beweissicherung beachtet werden?
Die technischen Abläufe bei IT Forensik Ermittlungen müssen den Anforderungen an die Beweisführung vor Gericht genügen. Es geht nicht um die naturwissenschaftliche Beweisführung durch gedanklich lückenlose Kausalkette.
Es geht um eine Beweisführung nach den jeweiligen Anforderungen des Strafrechts, des Zivilrechts oder des Arbeitsrechts. Hinzu kommt in allen Fällen die Beachtung von Datenschutz und Persönlichkeitsrechten des Verdächtigten, sowie um die Wahrung von Grundrechten eines Beschuldigten (Faires Verfahren, Verhältnismäßigkeitsgrundsatz).
6. Gibt es IT technische Grundregeln für IT Forensik Ermittlungen?
Ja. Es gibt von IT Spezialisten beim BKA und den LKA’s der Länder ausgearbeitete Richtlinien für die Beschlagnahme von Datenträgern aller Art und deren Spurenanalytik mit IT forensischen Auswertungstools. Bei den Polizeidirektionen der Länder existieren IT Beweissicherungsteams (ITB), die nach diesen Richtlinien arbeiten und als Untersuchungswerkzeug, z.B. das international gängige IT Forensik Tool EnCase einsetzen. Allerdings sind diese Richtlinien nicht allgemein zugänglich.
7. Grundregeln für die IT Forensik Beweissicherung?
Digitale Spuren sind unsichtbar, aber vollgültige Beweismittel. Der IT Ermittler ist der sachverständige Zeuge.
8. Wie geht man in der Regel bei einem Sicherheitsvorfall vor?
IT-Forensik ist die Untersuchung von verdächtigen Vorfällen im Zusammenhang mit IT-Systemen und der Feststellung ob ein Incident (technisch oder rechtlich erheblicher Vorfall) vorliegt. Besteht der Verdacht einer Straftat oder einer Pflichtverletzung eines Mitarbeiters besteht die Aufgabe der IT Forensik darin, den Tatablauf durch Erfassung, Analyse und Auswertung digitaler Spuren in Computersystemen zu belegen und den Täter zu identifizieren.
RVR berät und schult Firmen über die organisatorischen und rechtlichen Rahmenbedingungen bei der Durchführung von In House Ermittlungen in Zusammenarbeit mit externen oder internen IT Security Spezialisten.
2. Sind firmeneigene IT Forensik Ermittlungen sinnvoll?
Ja! Die Mehrzahl der IT Forensik Ermittlungen bezieht sich inzwischen auf verdächtige Vorgänge bei denen Firmenmitarbeiter als (Mit)Täter in Frage kommen (In House Täter). Ohne zeitnahe, firmeneigene Beweismittel-beschaffung ist die Klärung von Verdachtsfällen kaum möglich. Ohne gerichtsfeste Beweise sind personelle Konsequenzen arbeitsrechtlich oft nicht durchsetzbar.
3. Sind polizeiliche Untersuchungen eigenen Ermittlungen vorzuziehen?
Das kommt darauf an! Untersuchungen der kriminalpolizeilichen ITB Teams werden meist an Datenbeständen durchgeführt, die im Zuge von Ermittlungen bei Strafanzeigen durch Firmen durch die Kripo beschlagnahmt wurden (sog. Dead Analysen).
Untersuchungen an laufenden Systemen (Live Analysen) einer Firma sind praktisch durch die Kripo kaum zu leisten. Hier kommt es auf eigene Ermittlungen der Firmen, durchgeführt von IT Forensikern (Interne und auch externe), entscheidend an.
4. Welche rechtlichen Rahmenbedingungen sind bei IT Forensik Untersuchungen zu beachten?
Bei firmeninternen IT Ermittlungen gegen Mitarbeiter wegen verdächtigen Vorgängen ist der Datenschutz, die Persönlichkeitsrechte des Mitarbeiters und das (Betrieb)Verfassungsrecht zu beachten. Bei der Beweismittelbeschaffung sind Beweiserhebungsverbote und Beweisverwertungsverbote zu beachten.
Wenn Strafanzeigen erstattet werden sollen: Die Anzeigen müssen einen hinreichenden Tatverdacht zur Aufnahme von Strafermittlungs- und Strafverfolgungsmaßnahmen belegen.
Wenn eine fristlose Kündigung wegen eines schwerwiegenden Verdachts gegen einen Mitarbeiter ausgesprochen werden soll, müssen firmenintern objektive Anhaltspunkte für eine Verdachtskündigung ermittelt worden sein.
Wenn Schadensersatz verlangt werden soll, müssen die Ermittler der Firma Art und Umfang der Verletzungshandlungen dokumentieren.
Je nach Zielrichtung sind also unterschiedliche Beweisanforderungen zu erfüllen. Beweise müssen gerichtsfest sein.
5. Was muss bei der Beweissicherung beachtet werden?
Die technischen Abläufe bei IT Forensik Ermittlungen müssen den Anforderungen an die Beweisführung vor Gericht genügen. Es geht nicht um die naturwissenschaftliche Beweisführung durch gedanklich lückenlose Kausalkette.
Es geht um eine Beweisführung nach den jeweiligen Anforderungen des Strafrechts, des Zivilrechts oder des Arbeitsrechts. Hinzu kommt in allen Fällen die Beachtung von Datenschutz und Persönlichkeitsrechten des Verdächtigten, sowie um die Wahrung von Grundrechten eines Beschuldigten (Faires Verfahren, Verhältnismäßigkeitsgrundsatz).
6. Gibt es IT technische Grundregeln für IT Forensik Ermittlungen?
Ja. Es gibt von IT Spezialisten beim BKA und den LKA’s der Länder ausgearbeitete Richtlinien für die Beschlagnahme von Datenträgern aller Art und deren Spurenanalytik mit IT forensischen Auswertungstools. Bei den Polizeidirektionen der Länder existieren IT Beweissicherungsteams (ITB), die nach diesen Richtlinien arbeiten und als Untersuchungswerkzeug, z.B. das international gängige IT Forensik Tool EnCase einsetzen. Allerdings sind diese Richtlinien nicht allgemein zugänglich.
7. Grundregeln für die IT Forensik Beweissicherung?
Digitale Spuren sind unsichtbar, aber vollgültige Beweismittel. Der IT Ermittler ist der sachverständige Zeuge.
- Ermittlungen nie ohne Zeugen (Vier-Augen-Prinzip)
- Tatort (inhouse) absperren
- Nur Ermittler am Tatort
- Laufende Geräte ermitteln. Nicht abschalten!
- Bildschirminhalte dokumentieren (Digitalfoto, kein Screenshot!)
- Sicherung flüchtiger Daten zuerst. Hauptspeicher sichern, wenn zu groß: Prozessspeicher
- Stromkabel am Zielgerät abziehen (USV!)
- Sicherung Festplattendaten, USB, externe Platten…
- Tatorthardware dokumentieren (Digitalfotos mit rückwärtiger Verkabelung und Frontaufnahme)
- Verwechslungssichere Kennzeichnung
- Ermittlungsprotokoll, Namen aller beteiligten Ermittler, Zeugen, angetroffene Personen
- Sichere Etikettierung/Nummerierung
- Übergabeprotokoll
8. Wie geht man in der Regel bei einem Sicherheitsvorfall vor?
Verdachtsfall
Imaging Grundregeln
9. Wann müssen flüchtige Daten gesichert werden?
Je nach den vorgegebenen IT Strukturen kann es sein, dass wichtige Server einer Firma nicht zur Prüfung eines Verdachtsfalls heruntergefahren werden können. Oft sind Server-Festplatten zu groß um sie Block für Block zu analysieren. Bei modernen Angriffsmethoden auf die Firmenserver kann man den Angriff auf den Datenträgern gar nicht mehr nachweisen. Daher gibt es Fälle, bei denen die entscheidenden Spuren beim Herunterfahren eines Systems vernichten würden. Analysiert werden muss der Hauptspeicher eines Servers, laufende Prozesse und bestehende Netzverbindungen.
Je nach den vorgegebenen IT Strukturen kann es sein, dass wichtige Server einer Firma nicht zur Prüfung eines Verdachtsfalls heruntergefahren werden können. Oft sind Server-Festplatten zu groß um sie Block für Block zu analysieren. Bei modernen Angriffsmethoden auf die Firmenserver kann man den Angriff auf den Datenträgern gar nicht mehr nachweisen. Daher gibt es Fälle, bei denen die entscheidenden Spuren beim Herunterfahren eines Systems vernichten würden. Analysiert werden muss der Hauptspeicher eines Servers, laufende Prozesse und bestehende Netzverbindungen.
10. Was heißt Dead Imaging?
Dead Imaging ist die Standardmethode zur Sammlung und Sicherung von Daten auf Festplatten, USB oder anderen Medien und Datenspeichern (Kopierer, Digitalkamera, Handy-Kamera) in ausgeschaltetem Zustand.
Dead Imaging ist die Standardmethode zur Sammlung und Sicherung von Daten auf Festplatten, USB oder anderen Medien und Datenspeichern (Kopierer, Digitalkamera, Handy-Kamera) in ausgeschaltetem Zustand.
11. Was heißt Live Imaging?
In manchen Fällen ist es erforderlich Datenträgern vor dem Ausschalten eines Systems im laufenden Betrieb zu Beweiszwecken zu sichern. So z.B. bei Anzeichen für den Einsatz von Verschlüsselungstechnologien oder bei laufenden virtuellen Dateisystemen. Hierfür müssen von den IT Forensik Ermittlern Werkzeuge vorgehalten werden, z.B. Forensik-CD‘s.
In manchen Fällen ist es erforderlich Datenträgern vor dem Ausschalten eines Systems im laufenden Betrieb zu Beweiszwecken zu sichern. So z.B. bei Anzeichen für den Einsatz von Verschlüsselungstechnologien oder bei laufenden virtuellen Dateisystemen. Hierfür müssen von den IT Forensik Ermittlern Werkzeuge vorgehalten werden, z.B. Forensik-CD‘s.
