IT-Forensik

In Analogie zur Gerichtsmedizin könnte man die IT-Forensik als Anwendung der Informatik auf jede Art von gespeicherten Daten zum Zweck der Spurensuche und Beweissicherung betrachten. Eine fehlerhafte oder falsche Beweissicherung kann nicht nur Spuren zerstören, sondern sogar dazu führen, dass gefundene und gesicherte Beweise gerichtlich nicht verwertbar sind. Daher gilt es bestimmte Prinzipien und Vorgehensweisen bei der Beweissicherung einzuhalten.

Sollte Ihr Unternehmen von einem Sicherheitsvorfall betroffen sein, ist es wichtig, zumindest eine professionelle Beweissicherung vornehmen zu lassen. Selbst wenn eine genaue Analyse erst im Bedarfsfall ausgeführt wird, sollten Beweise von entsprechend geschulten Fachleuten gesichert werden. Bedenken Sie, dass Systeme heutzutage nicht mehr aus Spaß und Wissensdrang angegriffen werden. Heutzutage nutzen Angreifer gekaperte Systeme dazu, andere Systeme anzugreifen und Computersabotage zu begehen oder um betrügerische oder anderweitig illegale Geschäfte zu verschleiern. Wer mit Drogen, gestohlenen Kreditkartendaten oder kinderpornografischen Material handelt, mit Schadware Computersysteme lahmlegt oder einfach nur mit geknackten Paypal-Konten einkauft, wir dies nicht von seinem PC aus machen. Ein entsprechender Sicherheitsvorfall kann also in späterer Folge noch entsprechende Probleme mit sich bringen und dann sollten Beweise ordentlich und gerichtsverwertbar gesichert zur Auswertung bereit liegen.

Ich biete IT-Forensik für PC-Systeme, Server und mobile Endgeräten an. Die Sicherheit im Umgang mit Beweismitteln, größtmögliche Sorgfalt und die Verschwiegenheit gegenüber Dritten genießen bei mir allerhöchste Priorität.

Im Bereich IT-Forensik kümmere ich mich aber auch um viele weitere brennende Fragen wie zB:

War jemand in meiner Abwesenheit an meinem PC?
Welcher Mitarbeiter hat Firmengeheimnisse entwendet?
Wer ist für die unberechtigte Nutzung der IT-Infrastruktur verantwortlich?
Wer steckt hinter dem Cybermobbing oder den Drohungen?
etc.

Sollten Sie von einem Vorfall betroffen sein, dann nutzen Sie die Möglichkeit eines unverbindlichen und kostenlosen Vorabgespräches. Darin klären wir nicht nur die Möglichkeiten, die Sie im Moment haben, sondern auch das korrekte Vorgehen und Verhalten, um Beweise nicht zu vernichten.

In besonders dringenden Fällen können wir direkt mit Ihrem IT-Dienstleister oder den Mitarbeitern Ihrer IT-Abteilung eine forensische Beweismittelsicherung aus der Ferne durchführen, damit kompromittierte Systeme schnellstmöglich wieder formatiert, neu aufgesetzt und wieder in Betrieb genommen werden können.

Das richtige Verhalten, wenn etwas passiert

Bewahren Sie Ruhe und machen Sie erst mal nichts, ohne nachzudenken oder Expertenrat einzuholen. Das schlimmste sind Panikentscheidungen aus dem Bauch heraus - allein beim Herunterfahren eines Systems können Dutzende Spuren verloren gehen, die im RAM-Speicher oder Pagefiles gespeichert sind.
Wenn die Gefahr besteht, dass sich ein Angriff auf weitere Systeme ausweitet, kappen Sie die Netzwerkverbindung.
Nur wenn Gefahr besteht, dass Beweise vernichtet werden, dann zeihen Sie den Netzstecker. Fahren Sie den PC auf keinen Fall normal herunter!

Im Normalfall werden von IT-Forensik Experten sowohl RAM-Speicher als auch die gesamte(n) Festplatte(n) bzw. SSD(s) gesichert. Dazu wird ein Bericht erstellt, der neben dem genauen Vorgehen und verwendeten Tools auch den Ist-Stand so dokumentiert, dass spätere Veränderungen oder Manipulationen sofort entdeckt werden. Das ist besonders wichtig, damit Beweise auch wirklich verwertbar sind.

Sind die Beweise gesichert, dann kann mit der Untersuchung begonnen werden und auch die betroffenen Systeme können wieder aufgesetzt und in Betrieb genommen werden!