Was ist Computerforensik?

Was ist Computerforensik?

Computerforensik – auch bekannt als digitale Forensik oder IT-Forensik – kombiniert Informatik und Forensik, um digitale Beweise auf eine Art und Weise zu sammeln, die vor Gericht zulässig ist.

So wie Strafverfolgungsbeamte Tatorte nach Hinweisen durchkämmen, suchen Computerforensiker auf digitalen Geräten nach Beweisen, die Anwälte bei strafrechtlichen Ermittlungen, in Zivilprozessen, bei Ermittlungen zur Cyberkriminalität und in anderen Angelegenheiten der Unternehmens- und nationalen Sicherheit verwenden können. Analog zur Strafverfolgung müssen sich auch Ermittler in der Computerforensik nicht nur mit der Jagd nach digitalen Nachweisen auskennen, sondern auch Fachleute im Erfassen, in der Behandlung und in der Verarbeitung dieser Informationen sein, um sicherzustellen, dass sie realitätsgetreu und vor Gericht zulässig sind.

Computerforensik steht in engem Zusammenhang mit Cybersicherheit. Computerforensische Erkenntnisse können Cybersicherheitsteams dabei helfen, die Erkennung und Auflösung von Cyberbedrohungen zu beschleunigen und zukünftige Cyberangriffe zu verhindern. Die digitale Forensik und Reaktion auf Sicherheitsvorfälle (Digital forensics and incident response, DFIR) ist eine neu entstehende Disziplin im Bereich Cybersicherheit. Sie integriert Computerforensik und Aktivitäten zur Reaktion auf Vorfälle, um die Behebung von Cyberbedrohungen zu beschleunigen und gleichzeitig sicherzustellen, dass alle damit verbundenen digitalen Nachweise nicht beeinträchtigt werden.

Branchen-Newsletter

Die neuesten Tech-News – von Experten bestätigt

Bleiben Sie mit dem Think-Newsletter über die wichtigsten – und faszinierendsten – Branchentrends in den Bereichen KI, Automatisierung, Daten und darüber hinaus auf dem Laufenden. Weitere Informationen finden Sie in der IBM Datenschutzerklärung.

Vielen Dank! Sie haben ein Abonnement abgeschlossen.

Ihr Abonnement wird auf Englisch geliefert. In jedem Newsletter finden Sie einen Abmeldelink. Hier können Sie Ihre Abonnements verwalten oder sich abmelden. Weitere Informationen finden Sie in unserer IBM Datenschutzerklärung.

Die Entwicklung der Computerforensik

Erstmalig bekannt wurde die Computerforensik in den frühen 1980er-Jahren mit der Erfindung des Personal Computer (PC). Technologie wurde daraufhin immer mehr zu einem festen Bestandteil des täglichen Lebens. Kriminelle erkannten hier eine Gelegenheit und fingen an, Verbrechen mit elektronischen Geräten zu begehen.

Bald darauf wurde das Internet fast über Nacht mit allem verbunden, was E-Mail- und Remote-Zugriff auf Computernetze von Unternehmen und Organisationen ermöglichte und Türen für komplexere Malware und Cyberangriffe öffnete. Als Reaktion auf dieses neue Gebiet der Cyberkriminalität benötigten die Strafverfolgungsbehörden ein System, um elektronische Daten zu untersuchen und zu analysieren. Das war die Geburtsstunde der Computerforensik.

Zunächst fand man die meisten digitalen Nachweise auf Computersystemen und IT-Geräten – auf Personal Computers (PCs), Servern, Handys, Tablets und elektronischen Speichermedien. Inzwischen erzeugen und speichern jedoch immer mehr industrielle und kommerzielle Geräte und Produkte – von Geräten des Internets der Dinge (IoT) und der Betriebstechnik (OT) über Autos und Haushaltsgeräte bis hin zu Türklingeln und Hundehalsbändern – Daten und Metadaten, die erfasst und als digitale Beweise ausgewertet werden können.

Nehmen wir einen Autounfall als Beispiel. In der Vergangenheit haben die Strafverfolgungsbehörden den Tatort möglicherweise auf physische Beweise wie Ausweichspuren oder zerbrochenes Glas untersucht. Vielleicht haben sie auch auf den Telefonen der Fahrer geprüft, ob es Nachweise dafür gibt, dass während der Fahrt SMS geschrieben wurden.

Heutzutage generieren und speichern neuere Autos alle möglichen Arten von digitalen Daten und Metadaten mit Zeitstempel, anhand derer detaillierte Angaben zum Standort, zur Geschwindigkeit und zu den Betriebsbedingungen eines jeden Fahrzeugs zu einem bestimmten Zeitpunkt gemacht werden können. Diese Daten verwandeln moderne Fahrzeuge in ein weiteres leistungsfähiges forensisches Tool, das es den Ermittlern ermöglicht, die Ereignisse vor, während und nach einem Unfall zu rekonstruieren. Möglicherweise können die Ermittler anhand dieser Daten sogar den Unfallverursacher ermitteln, selbst wenn es keine herkömmlichen physischen Beweise oder Augenzeugen gibt.

Mixture of Experts | 28. August, Folge 70

KI entschlüsseln: Wöchentlicher Nachrichtenüberblick

Schließen Sie sich unserer erstklassigen Expertenrunde aus Ingenieuren, Forschern, Produktführern und anderen an, die sich durch das KI-Rauschen kämpfen, um Ihnen die neuesten KI-Nachrichten und Erkenntnisse zu liefern.
Die neuesten Podcast-Folgen ansehen

Deshalb ist Computerforensik wichtig

Genau wie physische Beweise am Tatort müssen auch digitale Nachweise gesammelt und korrekt behandelt werden. Andernfalls können die Daten und Metadaten verloren gehen – oder vor Gericht als unzulässig erachtet werden.

Ermittler und Staatsanwälte müssen beispielsweise eine ordnungsgemäße Beweismittelkette für digitale Nachweise vorweisen können: Sie müssen dokumentieren, wie diese Nachweise behandelt, verarbeitet und gespeichert wurden. Darüber hinaus müssen sie wissen, wie sie die Daten sammeln und speichern, ohne sie zu verändern – wenn man bedenkt, dass scheinbar harmlose Aktionen wie das Öffnen, Drucken oder Speichern von Dateien die Metadaten dauerhaft verändern können, ist das eine Herausforderung.

Aus diesem Grund beauftragen die meisten Unternehmen auf Computerforensik spezialisierte Ermittler (die auch unter den Jobbezeichnung Computerforensiker, IT-Forensiker oder Cyberforensiker geführt werden), um digitale Nachweise im Zusammenhang mit strafrechtlichen oder cyberkriminellen Ermittlungen zu sammeln und zu bearbeiten.

Computerforensiker haben in der Regel einen Bachelor-Abschluss in Informatik oder Strafrecht und verfügen über solide funktionale Kenntnisse der Grundlagen der Informationstechnologie (zum Beispiel Betriebssysteme, Informationssicherheit, Netzwerksicherheit, Programmiersprachen) sowie einen Hintergrund in den rechtlichen Implikationen digitaler Beweise und Cyberkriminalität. Einige spezialisieren sich möglicherweise auf Bereiche wie Forensik für Mobilgeräte oder Betriebssysteme.

Computerforensiker sind Fachleute, wenn es darum geht, rechtlich zulässige Daten aufzuspüren und aufzubewahren. Sie wissen, wie sie Daten aus Quellen sammeln, die das interne IT-Personal möglicherweise ignoriert. Dazu gehören beispielsweise externe Server oder Heimcomputer. Zudem können sie Unternehmen dabei helfen, eine solide Richtlinie für die Computerforensik zu entwickeln, die beim Sammeln von digitalen Nachweisen Zeit und Geld spart, die Folgen von Cyberkriminalität mindert und dazu beiträgt, die Netze und Informationssysteme des Unternehmens vor künftigen Angriffen zu schützen.

So funktioniert Computerforensik

Computerforensik besteht aus vier Hauptschritten.

Einheitenidentifikation

Der erste Schritt besteht darin, die Geräte oder Speichermedien zu identifizieren, die möglicherweise Daten, Metadaten oder andere digitale Artefakte enthalten, die für die Untersuchung relevant sind. Diese Geräte werden eingesammelt und in ein forensisches Labor oder eine andere sichere Einrichtung gebracht, um das Protokoll zu befolgen und eine ordnungsgemäße Datenwiederherstellung zu gewährleisten.
Datenerhaltung

Forensische Experten erstellen eine Abbildung oder eine Bit-für-Bit-Kopie der zu sichernden Daten. Anschließend speichern sie sowohl das Bild als auch das Original sicher, um sie vor Veränderung oder vor dem Zerstören zu schützen.

Experten sammeln zwei Arten von Daten: persistente Daten, die auf der lokalen Festplatte eines Geräts gespeichert sind, und flüchtige Daten, die sich im Speicher oder während der Übertragung befinden (z. B. Registrierungen, Cache und Arbeitsspeicher (RAM)). Flüchtige Daten müssen besonders vorsichtig behandelt werden, da sie vergänglich sind und verloren gehen können, wenn das Gerät abgeschaltet oder vom Strom getrennt wird.
Forensische Analyse

Anschließend analysieren die Forensiker die Abbildung, um relevante digitale Beweise zu identifizieren. Dies kann absichtlich oder unabsichtlich gelöschte Dateien, Navigationsverläufe, E-Mails und mehr beinhalten.

Zur Aufdeckung von „verborgenen“ Daten oder Metadaten, die anderen entgehen könnten, setzen die Ermittler auf spezielle Verfahren, darunter die Live-Analyse, bei der noch laufende Systeme auf flüchtige Daten untersucht werden, und die umgekehrte Steganografie, bei der Daten sichtbar gemacht werden, die durch die Verwendung von Steganografie versteckt wurden, eine Technik zum Verdecken vertraulicher Informationen in normal aussehenden Nachrichten.
Berichterstellung

In einem letzten Schritt erstellen die Forensiker einen formalen Bericht, in dem sie ihre Analyse darlegen und die Untersuchungsergebnisse sowie etwaige Schlussfolgerungen oder Empfehlungen mitteilen. Obwohl Berichte von Fall zu Fall unterschiedlich sind, werden sie häufig zur Einbringung von digitalen Nachweisen vor Gericht verwendet.

Anwendungsfälle für digitale Forensik

Es gibt mehrere Bereiche, in denen Unternehmen oder Strafverfolgungsbeauftragte eine digitale forensische Untersuchung einleiten könnten:

  • Strafrechtliche Untersuchungen: Strafverfolgungsbehörden und Computerforensiker können Computerforensik nutzen, um computerbezogene Verbrechen wie Cybermobbing, Hacking oder Identitätsdiebstahl sowie Verbrechen in der physischen Welt wie Diebstahl, Entführung, Mord und mehr aufzuklären. Zum Beispiel können Strafverfolgungsbeamte die Computerforensik auf dem Computer eines Mordverdächtigen einsetzen, um potenzielle Hinweise oder Beweise zu finden, die in den Suchverläufen oder gelöschten Dateien versteckt sind.
  • Rechtsstreite im Zivilrecht: Auch in zivilrechtlichen Prozessen können Ermittler die Computerforensik nutzen – zum Beispiel bei Betrug, bei Rechtsstreitigkeiten im Zusammenhang mit einer Anstellung oder auch bei Scheidungen. In einem Scheidungsfall kann das Anwaltsteam eines Ehepartners beispielsweise Computerforensik auf einem Mobilgerät einsetzen, um die Untreue eines Partners aufzudecken und so eine positivere Entscheidung herbeizuführen.
  • Schutz des geistigen Eigentums: Computerforensik kann Strafverfolgungsbehörden dabei helfen, den Diebstahl von geistigem Eigentum zu untersuchen, z. B. den Diebstahl von Geschäftsgeheimnissen oder urheberrechtlich geschütztem Material. Einige der aufsehenerregendsten Fälle in der Computerforensik betreffen den Schutz des geistigen Eigentums. Insbesondere gibt es hier Fälle, in denen ausscheidende Mitarbeitende vertrauliche Informationen stehlen, um sie an ein anderes Unternehmen zu verkaufen oder ein konkurrierendes Unternehmen zu gründen. Durch die Analyse digitaler Nachweise können Ermittler ermitteln, wer das geistige Eigentum gestohlen hat, und diese Person(en) dann zur Verantwortung ziehen.
  • Unternehmenssicherheit: Infolge eines Cyberangriffs wie zum Beispiel einer Datenschutzverletzung oder eines Ransomware-Angriffs nutzen Unternehmen häufig Computerforensik, um zu ermitteln, was passiert ist, und anschließend die Sicherheitslücken zu schließen. Ein typisches Beispiel wäre, dass Hacker eine Sicherheitslücke in der Firewall eines Unternehmens durchbrechen, um sensible oder wichtige Daten zu stehlen. Auch in Zukunft wird Computerforensik zur Bekämpfung von Cyberangriffen eingesetzt werden, da die Cyberkriminalität weiter zunimmt. Laut Schätzungen des FBI aus dem Jahr 2022 kosteten Computerkriminalität Amerikaner Jahresverlust in Höhe von 10,3 Milliarden USD, gegenüber 6,9 Milliarden USD im Vorjahr.
  • Nationale Sicherheit: Die Computerforensik ist zu einem wichtigen Tool für die nationale Sicherheit geworden, da die Cyberkriminalität in den einzelnen Ländern weiter zunimmt. Regierungen oder Strafverfolgungsbehörden wie das FBI setzen heute nach Cyberangriffen computerforensische Verfahren ein, um Beweise zu finden und Sicherheitslücken zu schließen.

Computerforensik, Cybersicherheit und DFIR

Wie schon gesagt sind Computerforensik und Cybersicherheit eng verwandte Disziplinen, die häufig zusammen eingesetzt werden, um digitale Netze vor Cyberangriffen zu schützen. Cybersicherheit ist sowohl proaktiv als auch reaktiv und konzentriert sich auf die Prävention und Erkennung von Cyberangriffen sowie auf die Reaktion und Sanierung nach Cyberangriffen.

Computerforensik ist fast ausschließlich reaktiv und tritt im Falle eines Cyberangriffs oder einer Straftat in Aktion. Computerforensische Untersuchungen liefern jedoch oft wertvolle Informationen, die Cybersicherheits-Teams zur Verhinderung zukünftiger Cyberangriffe nutzen können.

DFIR: Computerforensik und Reaktion auf Vorfälle

Wenn Computerforensik und die Reaktion auf Vorfälle – also die Erkennung und Entschärfung von laufenden Cyberangriffen – unabhängig voneinander durchgeführt werden, können sie sich gegenseitig behindern, was wiederum negative Folgen für ein Unternehmen mit sich bringt.

Notfallteams können bei der Entfernung einer Sicherheitsbedrohung aus dem Netz digitale Beweise ändern oder löschen. Forensische Ermittler können die Aufklärung von Bedrohungen verzögern, während sie Beweise aufspüren und sichern.

Die digitale Forensik und Reaktion auf Sicherheitsvorfälle (Digital forensics and incident response, DFIR) kombiniert Computerforensik und die Reaktion auf Vorfälle in einem integrierten Workflow, der Sicherheitsteams helfen kann, Cyberbedrohungen schneller zu stoppen und gleichzeitig digitale Nachweise zu sichern, die durch die Dringlichkeit der Entschärfung von Bedrohungen verloren gehen könnten. Bei DFIR

  • Die forensische Datenerfassung erfolgt parallel zur Gefahrenabwehr. Die Notfallteams setzen dabei bei der Eindämmung und Beseitigung von Bedrohungen computerforensische Verfahren ein, um Daten zu sammeln und beizubehalten. So ist sichergestellt, dass eine ordnungsgemäße Beweismittelkette befolgt wird und dass wertvolle Beweisstücke nicht verändert oder gelöscht werden.

  • Die Überprüfung nach einem Vorfall umfasst auch das Überprüfen von digitalen Nachweisen. DFIR-Teams sichern nicht nur Beweise für rechtliche Schritte, sondern rekonstruieren auch Cybersicherheitsvorfälle von Anfang bis Ende, um zu erfahren, was passiert ist, wie es passiert ist, wie groß der Schaden ist und wie ähnliche Angriffe vermieden werden können.

DFIR kann zu einer schnelleren Eindämmung von Bedrohungen, einer leistungsfähigeren Wiederherstellung nach Bedrohungen und einer verbesserten Beweislage bei der Untersuchung von Strafsachen, Cyberkriminalität, Schadensmeldungen und mehr führen.

Ressourcen

Erfahren Sie, warum Kuppinger Cole IBM als führend einstuft

Der Bericht von KuppingerCole zu Datensicherheitsplattformen bietet Anleitungen und Empfehlungen dazu, wie Sie Produkte zum Schutz und zur Verwaltung vertraulicher Daten finden, die den Anforderungen Ihrer Kunden am besten entsprechen.
IBM® X-Force Threat Intelligence Index 2025

Gewinnen Sie mit dem Index „IBM X-Force Threat Intelligence“ Erkenntnisse, um Vorbereitung und Reaktion auf Cyberangriffe schneller und effektiver zu machen.
The Total Economic Impact (TEI) of Guardium Data Protection

Entdecken Sie Nutzen und ROI von IBM Security Guardium Data Protection in dieser TEI-Studie von Forrester.
Gartner Market Guide for AI TRiSM

In diesem Gartner-Bericht erfahren Sie, wie Sie das gesamte KI-Inventar verwalten, die KI-Workloads mit Schutzmechanismen sichern, das Risiko reduzieren und den Governance-Prozess verwalten, um Vertrauen für alle KI-Anwendungsfälle in Ihrem Unternehmen zu erreichen.
Erweitern Sie Ihre Fähigkeiten mit kostenlosen Sicherheits-Tutorials

Befolgen Sie klare Schritte, um Aufgaben zu erledigen und zu lernen, wie Sie Technologien in Ihren Projekten effektiv einsetzen können.
Was ist Identity und Access Management (IAM)?

Identity und Access Management (IAM) ist eine Disziplin der Cybersicherheit, die sich mit Benutzerzugriff und Ressourcenberechtigungen befasst.
Weiterführende Lösungen
Lösungen zu Datensicherheit und Datenschutz

Schützen Sie Ihre Daten in mehreren Umgebungen, erfüllen Sie Datenschutzauflagen und verringern Sie die Komplexität von Betriebsabläufen.

         Mehr über Datensicherheitslösungen
    IBM Guardium

    Entdecken Sie IBM Guardium, eine Datensicherheitssoftware-Reihe, die sensible On-Premises- und Cloud-Daten schützt.

     

             Entdecken Sie IBM Guardium
      Datensicherheitsservices

      IBM bietet umfassende Datensicherheitsservices zum Schutz von Unternehmensdaten, Anwendungen und KI.

             Mehr über Datensicherheitsservices
      Machen Sie den nächsten Schritt

      Schützen Sie die Daten Ihres Unternehmens über Hybrid Clouds hinweg und vereinfachen Sie Compliance-Anforderungen mit Datensicherheitslösungen.

             Mehr über Datensicherheitslösungen Buchen Sie eine Live-Demo