Zeit

Aus IT-Forensik Wiki

Die Zeit spielt im Ermittlungsprozess unter verschiedenen Aspekten eine Rolle:

1) Erstellen einer Zeitlinie (auch Timeline) zur Zeit-basierten Darstellung des Vorfalles

2) Zusammenführen von Zeit-basierten Daten unterschiedlicher IT-Systeme innerhalb eines Netzwerkes

3) Aufdecken von Spuren, die verwischt worden sind durch z.B. Änderung der Zeit


Eine der wichtigsten Tätigkeiten des Forensikers ist es - im Besonderen während der Datenanalyse- die Ereignisse anhand des
 jeweiligen Zeitpunktes des Ereignisses, an dem es stattfand, zu korrelieren. Dadurch wird eine Zeitlinie erzeugt, die sich im Besonderen dafür eignet, die Ereignisse in Ihrer Folge nachzuvollziehen. 
Computer erzeugen eine Systemzeit. Die Systemzeit wird bestmöglich auch im heruntergefahrenen Zustand fortgeführt und mit Korrekturfaktoren z.B. Zeitzoneninformation verbessert. Zudem bietet mitunter das Netzwerk Zeitinformationen zur Synchronisation über einen zentralen Servive NTP..Network Time Protocol.
 Diese unterschiedlichen Zeiten müssen durch den Forensiker zu einer vertrauenswürdigen Zeitbasis zusammengeführt werden, insbesondere wenn Daten aus mehreren IT-Systemen innerhalb eines Netzwerkes in einen einheitlichen zeitlichen Zusammenhang
gebracht werden müssen.

Die Veränderung der Systemzeit kann ein nachzuweisender Vorfall sein. Dazu müssen sowohl die Hardwarebasierte Zeit RTC als auch die Systemzeit erfasst, und mit einer unabhängigne Zeitquelle verglichen werden.

Der Aufbau und die Interpretation der Systemzeit ist vom Betriebessystem abhängig. Bei Linux kann z.b. die Systemzeit unabhängig von RTC gesetzt werden. Sollten sich IT Systeme in unterschiedlichen Zeitzone befinden, muss dies bei der Untersuchung beachtet werden.