Triage

Aus IT-Forensik Wiki

Die heute übliche Definition des Begriffs „Triage“ im medizinischen Sinn geht zurück auf die Selektion Verwundeter hinsichtlich ihrer Überlebenschancen und der Schwere ihrer Verletzungen. Triage soll festlegen, in welcher Reihenfolge die Verletzten zu behandeln wären.

Übertragen auf die Computerforensik versteht man heutzutage unter digitale/forensische Triage die Selektion elektronischer Geräte und Internetquellen nach der Relevanz einer systematischen formalen Untersuchung zur Beweisermittlung. Dabei werden die Begriffe digitale Triage und forensische Triage häufig synonym verwendet.

Auf der ganzen Welt sind die digitalen Forensiklabore mit dem traditionellen Prozess der vollständigen Forensik, bei der sämtliche Datenträger erfasst werden, auf allen Ebenen überfordert. Triage ist ein in Großbritannien und den USA weit verbreiteter Prozess, der es den Strafverfolgungsbehörden ermöglicht, schnell zu überprüfen, ob ein Gerät von Bedeutung ist oder nicht. Der Triage-Prozess kann direkt am Tatort oder im Labor von anderen, nicht technischen Teams durchgeführt werden, so dass die forensischen Prüfer Zeit haben, sich auf die wichtigsten Datenträger zu konzentrieren.

Die forensische oder digitale Triage umschließt den Prozess der Sammlung, Zusammenstellung, Identifizierung und Priorisierung relevanter digitaler Beweise und evtl. einer ersten Analyse. Im klassischen Forensic Model ist Triage vor der eigentlichen Datensammlung und –analyse einzuordnen. Triage kann ausgeführt werden auf Cache Files, Social Media Posts, Browserhistorie, Login Daten, gespeicherten Zugangsdaten, Cloudspeicher, Verbindungslogs u.a. je nach verwendetem Triage Tool. Mit den dedizierten Triage Tools kann üblicherweise keine Tiefenanalyse ausgeführt werden. Stattdessen dienen sie dazu, den Ermittlern einen sehr schnellen Überblick zu liefern und ggf. zu identifizieren welche Spuren einer detaillierten Analyse mit einem Forensiktool wie z. B. Autopsy zu unterziehen sind.

Gängige Tools zur digitalen Triage:

  • Magnet outrider
  • ADF Solutions Triage-G2
  • Cyan Forensics Rapid Digital Forensic Triage
  • Spektor forensics triage tool

Quellen:

https://accessdata.com/blog/triage-in-digital-forensics
https://www.adfsolutions.com/news/what-is-forensic-triage
https://www.sciencedirect.com/book/9781597495967/digital-triage-forensics#book-info
https://mobileforensics.wordpress.com/
https://pdfs.semanticscholar.org/dbdf/99ffbbdda976da49b644b10200ee85c589cb.pdf
https://www.researchgate.net/publication/298455460_Digital_Triage_Forensics
https://www.digitalmarketplace.service.gov.uk/g-cloud/services/408514439650486
https://essay.utwente.nl/65671/1/Gielen_MA_EWI.pdf
https://www.cybertriage.com/