Spuren

Spuren können zwischen physischen und digitalen Spuren unterschieden werden, wobei im Bereich der digitalen Forensik fast ausschließlich mit digitalen Spuren gearbeitet wird. Die Übergänge sind hierbei fließend da digitale Spuren letztlich auch durch physikalische Eigenschaften bestimmt werden (z.B. Magnetisierung einer Festplatte).

Digitale Spuren können Texte, Nachrichten, Emails, Bilder, Videos, Chatverläufe, Browsersuchanfragen, Dateien und auch Nutzerdaten aus sozialen Netzwerken sein. Darüber hinaus, können auch das bloße Datum, wann eine Datei gelöscht wurde als Hinweis fungieren.

Digitale Spuren sind in hohem Maße für Manipulation anfällig und ihre Verarbeitung muss daher stets lückenlos dokumentiert werden und darf nur unter der Verwendung von Write-Blockern erfolgen. Generell sollte so schnell wie möglich eine Kopie der originalen Datenträger erstellt werden um die ursprünglichen potentiellen Beweise nicht versehentlich zu verfälschen. Eine weitere Möglichkeit zur Sicherstellung des Datenbestands stellt, dass sogenannte Hashing dar. Auf Grund der großen Menge von digitalen Spuren, die an einem digitalen Tatort auftreten können, finden bei Analysen Methoden aus dem Bereich "Big Data" Anwendung.