Startseite Themen Digitale Forensik Was ist digitale Forensik?
Entdecken Sie die digitale Forensik-Lösung von IBM Abonnieren Sie Updates zum Thema Sicherheit
Abbildung mit Collage aus Wolkenpiktogrammen, Handy, Fingerabdruck, Häkchen

Veröffentlicht: 16. Februar 2024
Mitwirkende: Annie Badman, Amber Forrest

Was ist digitale Forensik?

Digitale Forensik ist der Prozess der Sammlung und Analyse digitaler Beweise in einer Weise, die ihre Integrität und Zulässigkeit vor Gericht gewährleistet.

Digitale Forensik ist ein Bereich der forensischen Wissenschaft. Es wird zur Untersuchung von Cyberkriminalität eingesetzt, kann aber auch bei straf- und zivilrechtlichen Ermittlungen helfen. So können beispielsweise Cybersicherheitsteams digitale Forensik einsetzen, um die Cyberkriminellen hinter einem  Malware-Angriff zu identifizieren, während Strafverfolgungsbehörden sie zur Analyse von Daten von den Geräten eines Mordverdächtigen verwenden können.

Die digitale Forensik bietet zahlreiche Anwendungsmöglichkeiten, da sie digitale Beweismittel wie jede andere Form von Beweismitteln behandelt. Genauso wie Beamte bestimmte Verfahren anwenden, um physische Beweismittel an einem Tatort zu sichern, befolgen auch digitale forensische Ermittler bei der Handhabung digitaler Beweismittel einen strengen forensischen Prozess (auch als „Kette der Beweismittelverwaltung“ bekannt), um Manipulationen zu vermeiden.

Digitale Forensik und Computerforensik werden oft synonym bezeichnet. Die digitale Forensik umfasst jedoch technisch gesehen die Sammlung von Beweismitteln von jedem digitalen Gerät, während die Computerforensik die Sammlung von Beweismitteln speziell von Computern, Tablets, Mobiltelefonen und Geräten mit einer CPU umfasst.

Digitale Forensik und Reaktion auf Vorfälle (DFIR) ist eine aufstrebende Disziplin der Cybersicherheit, die Computerforensik und die Reaktion auf Vorfälle miteinander verbindet, um die Beseitigung von Cyberbedrohungen zu beschleunigen und gleichzeitig sicherzustellen, dass alle damit verbundenen digitalen Beweise nicht gefährdet werden.

Warum digitale Forensik wichtig ist

Die digitale Forensik oder digitale forensische Wissenschaft tauchte erstmals in den frühen 1980er Jahren mit dem Aufkommen von Personalcomputern auf und gewann in den 1990er Jahren an Bedeutung.

Es dauerte jedoch bis zum frühen 21. Jahrhundert, bis Länder wie die USA ihre Richtlinien für die digitale Forensik formalisierten. Die zunehmende Standardisierung ist auf die Zunahme von Computerkriminalität in den 2000er Jahren und die landesweite Dezentralisierung der Strafverfolgungsbehörden zurückzuführen. 

Angesichts der zunehmenden Zahl von Straftaten, bei denen digitale Geräte zum Einsatz kommen, und der zunehmenden Zahl von Personen, die an der Verfolgung dieser Straftaten beteiligt sind, benötigten die Beamten Verfahren, die sicherstellen, dass bei strafrechtlichen Ermittlungen digitale Beweismittel in einer Weise behandelt werden, die vor Gericht zulässig ist.

Heutzutage wird die digitale Forensik immer relevanter. Um zu verstehen, warum, stellen Sie sich die überwältigende Menge an digitalen Daten vor, die über praktisch jeden und alles verfügbar sind.

Da die Gesellschaft immer stärker auf Computersysteme und Cloud-Computing-Technologien angewiesen ist, führen Einzelpersonen einen immer größeren Teil ihres Lebens online über eine immer größere Anzahl von Geräten, einschließlich Mobiltelefonen, Tablets, IoT-Geräten, vernetzten Geräten und mehr.

Das Ergebnis sind mehr Daten – aus mehr Quellen und in mehr Formaten als je zuvor –, die Ermittler als digitale Beweismittel nutzen können, um eine wachsende Bandbreite krimineller Aktivitäten zu analysieren und zu verstehen, darunter Cyberangriffe, Datenschutzverletzungen sowie straf- und zivilrechtliche Ermittlungen. 

Wie bei allen Beweismitteln, ob physisch oder digital, müssen Ermittler und Strafverfolgungsbehörden diese außerdem korrekt sammeln, handhaben, analysieren und speichern. Andernfalls können Daten verloren gehen, manipuliert werden oder vor Gericht für unzulässig erklärt werden.

Forensikexperten sind für die Durchführung digitaler forensischer Untersuchungen zuständig, und da die Nachfrage nach diesem Bereich steigt, erhöhen sich gleichzeitig auch die beruflichen Möglichkeiten. Das Bureau of Labor Statistics schätzt, dass die Zahl der offenen Stellen für Computerforensiker bis 2029 um 31 Prozent steigen wird (Link befindet sich außerhalb von ibm.com).

Wie läuft eine digitale forensische Untersuchung ab?

Das National Institute of Standards and Technology (NIST) (Link befindet sich außerhalb von ibm.com) beschreibt vier Schritte für die digitale forensische Analyse.

Hier sind einige Schritte:

Datenerfassung

Identifizieren Sie die digitalen Geräte oder Speichermedien, die Daten, Metadaten oder andere digitale Informationen enthalten, die für die digitale forensische Untersuchung relevant sind.

In Strafsachen beschlagnahmen die Strafverfolgungsbehörden die Beweismittel am potenziellen Tatort, um eine lückenlose Beweismittelkette zu gewährleisten.

Um die Beweismittelintegrität zu wahren, erstellen forensische Teams mithilfe eines Festplatten-Dupliziergeräts oder eines forensischen Bildgebungstools ein forensisches Duplikat der Daten.

Nach dem Duplizierungsprozess sichern sie die Originaldaten und führen den Rest der Untersuchung an den Kopien durch, um Manipulationen zu vermeiden.

Untersuchung

Die Ermittler durchsuchen Daten und Metadaten nach Hinweisen auf kriminelle Aktivitäten im Internet. 

Forensische Prüfer können digitale Daten aus verschiedenen Quellen wiederherstellen, darunter Webbrowser-Verlauf, Chat-Protokolle, externe Speichergeräte, gelöschte Bereiche, verfügbare Festplattenbereiche, Betriebssystem-Caches und praktisch jeder andere Teil eines Computersystems.

Datenanalyse

Forensische Analysten verwenden verschiedene Methoden und digitale forensische Tools, um Daten und Erkenntnisse aus digitalen Beweismitteln zu extrahieren.

Um beispielsweise „versteckte” Daten oder Metadaten aufzudecken, können sie spezielle forensische Techniken wie die Live-Analyse einsetzen, bei der noch laufende Systeme auf flüchtige Daten untersucht werden, oder die umgekehrte Steganografie, bei der Daten aufgedeckt werden, die mithilfe der Steganografie (einer Methode zum Verbergen sensibler Informationen in scheinbar normalen Nachrichten) versteckt wurden.

Die Ermittler können auch auf proprietäre und Open-Source-Tools zurückgreifen, um die Ergebnisse mit bestimmten Bedrohungsakteuren zu verknüpfen.

Berichterstellung

Sobald die Untersuchung abgeschlossen ist, erstellen die forensischen Experten einen formellen Bericht, in dem sie ihre Analyse darlegen und beschreiben, was passiert ist und wer möglicherweise dafür verantwortlich ist. 

Die Berichte variieren je nach Fall. Bei Cyberkriminalität könnten sie Empfehlungen zur Behebung von Schwachstellen geben, um zukünftige Cyberangriffe zu verhindern. Berichte werden auch häufig verwendet, um digitale Beweise vor Gericht zu präsentieren und mit Strafverfolgungsbehörden, Versicherern, Aufsichtsbehörden und anderen Behörden zu teilen. 

Digitale Forensik-Tools

Als die digitale Forensik in den frühen 1980er Jahren aufkam, gab es nur wenige formelle digitale Forensik-Tools. Die meisten forensischen Teams stützten sich auf Live-Analysen, eine bekanntermaßen heikle Praxis, die ein erhebliches Manipulationsrisiko birgt.

Ende der 1990er führte die steigende Nachfrage nach digitalen Beweismitteln zur Entwicklung ausgefeilterer Tools wie EnCase und FTK, mit denen forensische Analysten Kopien digitaler Medien untersuchen konnten, ohne auf Live-Forensik zurückgreifen zu müssen.

Heutzutage verwenden forensische Experten eine Vielzahl digitaler forensischer Tools. Diese Tools können hard- oder softwarebasiert sein und Datenquellen analysieren, ohne die Daten zu manipulieren. Zu den gängigen Beispielen gehören Datei-Analyse-Tools, die einzelne Dateien extrahieren und analysieren, und Registry-Tools, die Informationen von Windows-basierten Computersystemen sammeln, die Benutzeraktivitäten in Registern katalogisieren.

Einige Anbieter stellen auch dedizierte Open-Source-Tools für bestimmte forensische Zwecke zur Verfügung. Kommerzielle Plattformen wie Encase und CAINE bieten umfassende Funktionen und Berichterstellungsmöglichkeiten. CAINE bietet eine komplette Linux-Distribution, die speziell auf die Bedürfnisse von forensischen Teams zugeschnitten ist.

Zweige der digitalen Forensik

Die digitale Forensik umfasst verschiedene Zweige, die auf den unterschiedlichen Quellen forensischer Daten basieren.

Zu den bekanntesten Zweigen der digitalen Forensik gehören:

  • Computerforensik  (oder Cyberforensik): Kombination von Computerwissenschaft und Rechtsforensik zur Sammlung digitaler Beweise von Computern.
  • Forensik für mobile Geräte: Untersuchung und Auswertung digitaler Beweise auf Smartphones, Tablets und anderen Mobilgeräten.
  • Datenbankforensik: Prüfung und Analyse von Datenbanken und den dazugehörigen Metadaten, um Hinweise auf Cyberkriminalität oder Datenschutzverletzungen zu finden.
  • Netzwerkforensik: Überwachung und Analyse von Daten im Datenverkehr von Computernetzwerken, einschließlich Web-Browsing und Kommunikation zwischen Geräten.
  • Dateisystemforensik: Prüfung von Daten in Dateien und Ordnern, die auf Endgeräten wie Desktops, Laptops, Mobiltelefonen und Servern gespeichert sind.
  • Speicherforensik: Analyse digitaler Daten im Arbeitsspeicher (RAM) eines Geräts.
DFIR: Digitale Forensik und Reaktion auf Vorfälle

Wenn Computerforensik und die Reaktion auf Vorfälle – also die Erkennung und Entschärfung von laufenden Cyberangriffen – unabhängig voneinander durchgeführt werden, können sie sich gegenseitig behindern, was negative Folgen für ein Unternehmen mit sich bringt. 

Notfallteams können bei der Entfernung einer Sicherheitsbedrohung aus dem Netz digitale Nachweise ändern oder löschen. Forensische Ermittler können beim Jagen nach und Erfassen von Beweisen die Entschärfung von Sicherheitsbedrohungen verzögern.

Die digitale Forensik und Reaktion auf Sicherheitsvorfälle (Digital forensics and incident response, DFIR) kombiniert Computerforensik und die Reaktion auf Vorfälle in einem integrierten Workflow, der Sicherheitsteams helfen kann, Cyberbedrohungen schneller zu stoppen und gleichzeitig digitale Nachweise zu sichern, die durch die Dringlichkeit der Entschärfung von Bedrohungen verloren gehen könnten.

Zwei wichtige Vorteile von DFIR:

  • Forensische Datenerfassung erfolgt parallel zur Entschärfung von Bedrohungen: Die Notfallteams setzen dabei bei der Eindämmung und Beseitigung von Bedrohungen computerforensische Verfahren ein, um Daten zu sammeln und beizubehalten. So ist sichergestellt, dass eine ordnungsgemäße Beweismittelkette befolgt wird und dass wertvolle Beweisstücke nicht verändert oder gelöscht werden.
  • Die Überprüfung nach einem Vorfall umfasst auch das Überprüfen von digitalen Nachweisen DFIR-Teams sichern nicht nur Beweise für rechtliche Schritte, sondern rekonstruieren auch Cybersicherheitsvorfälle von Anfang bis Ende, um zu erfahren, was passiert ist, wie es passiert ist, wie groß der Schaden ist und wie ähnliche Angriffe vermieden werden können.

DFIR kann zu einer schnelleren Eindämmung von Bedrohungen, einer leistungsfähigeren Wiederherstellung von Bedrohungen und einer verbesserten Beweislage bei der Untersuchung von Strafsachen, Cyberkriminalität, Schadensmeldungen und anderen Sicherheitsvorfällen führen.

Weiterführende Lösungen
Lösungen für die Bedrohungserkennung und -reaktion

Verbessern Sie die Untersuchung und Triage von Alerts mit IBM Innovationen um 55 %.

Entdecken Sie die Lösungen für die Bedrohungserkennung und -reaktion

Ressourcen Was ist DFIR (Digital Forensics and Incident Response)?

DFIR kombiniert zwei Bereiche der Cybersicherheit, um die Reaktion auf Sicherheitsbedrohungen zu optimieren und gleichzeitig Beweise gegen Cyberkriminelle zu schützen.

Was ist Computerforensik?

Bei der Computerforensik werden digitale Beweise von Computern gesammelt, um ihre Zulässigkeit vor Gericht sicherzustellen.

Machen Sie den nächsten Schritt

IBM Cybersecurity Services bieten Beratung, Integration und Managed Security Services sowie offensive und defensive Funktionen. Wir kombinieren ein globales Expertenteam mit eigenen und Partnertechnologien, um maßgeschneiderte Sicherheitsprogramme für das Risikomanagement mitzugestalten.

Mehr über Cybersicherheitsservices