Digitale Forensik

Was ist Digitale Forensik?

Digitale Forensik bezeichnet die strukturierte Untersuchung digitaler Geräte und Systeme zur Sammlung, Analyse und Sicherung elektronischer Beweismittel. Sie wird typischerweise bei Cyberkriminalität, Insider-Bedrohungen oder Datenverlusten eingesetzt und muss gerichtsfeste Standards einhalten.

Technischer Aufbau & Varianten

Digitale Forensik gliedert sich in folgende Phasen:

• Identification
  Erkennung betroffener Systeme, Datenträger und Netzwerkressourcen.

• Preservation
  Sicherung von Beweisen ohne Veränderung (z. B. Write-Blocker, Image-Erstellung).

• Analysis
  Auswertung digitaler Artefakte wie Logdateien, temporäre Dateien, Metadaten oder E-Mails.

• Reporting
  Dokumentation der Ergebnisse in nachvollziehbarer und gerichtstauglicher Form.

Spezialisierungen:

• Disk Forensik – Analyse von Festplatten (Partitionen, gelöschte Dateien)

• Memory Forensik – Analyse flüchtiger Daten im RAM (z. B. Prozesse, Schlüssel)

• Network Forensik – Untersuchung von Packet Captures und Netzverkehr

• Mobile Forensik – Sicherung und Analyse mobiler Endgeräte

• Cloud Forensik – Forensische Zugriffsauswertung in SaaS-/Cloud-Umgebungen

Tools & Technologien:

• EnCase, FTK, Autopsy, Volatility, Wireshark, X-Ways

• Hash-Algorithmen zur Integritätsprüfung (z. B. SHA-256)

Relevanz in der Praxis

Digitale Forensik ist entscheidend für:

• Aufklärung von Sicherheitsvorfällen (z. B. Datenabfluss, Malware-Infektionen)

• Unterstützung strafrechtlicher Ermittlungen

• Nachweis von Policy-Verstößen durch Mitarbeitende

• Vorbereitung auf Gerichtsprozesse durch beweissichere Dokumentation

• Etablierung von forensischer Readiness in Unternehmen

Standards & regulatorische Anforderungen

• ISO/IEC 27037 – Leitlinie zur Identifikation, Sammlung und Sicherung digitaler Beweise

• ISO/IEC 17025 – Anforderungen an forensische Laboratorien

• BSI IT-Grundschutz – Maßnahmen zur Ereignisanalyse und Spurensicherung

• Strafprozessordnung (StPO) – rechtlicher Rahmen für Beweismittelsicherung

Verwandte Begriffe

• Incident Response

• Memory Forensik

• Security Incident

• Log Management

• Data Exfiltration

• Digitale Signatur

Beispiel aus der Praxis

Nach einem Cyberangriff entdeckte ein Unternehmen verdächtige Datenabflüsse über FTP.
Ein Incident Response Team sicherte den RAM-Abzug des betroffenen Servers, analysierte diesen mit Volatility und entdeckte hardcodierte Zugangsdaten in einem Prozess.
Durch das forensische Reporting konnte der Täter identifiziert und strafrechtlich verfolgt werden.