Ziele einer forensischen Untersuchung nach A. Geschonneck

Der deutsche IT-Forensik Spezialist Alexander Geschonneck beschreibt in seinem Buch „Computer Forensik – Computerstraftaten erkennen, ermitteln, aufklären“ vier grundlegende Ziele einer forensischen Ermittlung nach einem Systemeinbruch oder Sicherheitsvorfall:

  • Erkennen der Methode oder der Schwachstelle, die zum Systemeinbruch geführt haben könnte
  • Ermittlung des entstandenen Schadens nach einem Systemeinbruch
  • Identifikation des Angreifers
  • Sicherung der Beweise für weitere juristische Aktionen

Um diese Ziele zu erfüllen, ist es notwendig, so viele relevante Informationen aus dem betroffenen System zu sammeln, ohne dieses System dabei zu verändern. Um dies zu gewährleisten, sollten folgende Fragen im Vorfeld so präzise wie möglich beantwortet werden:

  • Wie wird der Angriff verifiziert?
  • Wie sollten der kompromittierte Rechner und die zugehörige Umgebung gesichert werden?
  • Welche Methoden können für die Sammlung von Beweisen verwendet werden?
  • In welcher Reihenfolge sollen die Beweisspuren gesammelt werden?
  • Wo sucht man nach Anhaltspunkten und wie können sie gefunden werden?
  • Wie kann das Unbekannte analysiert werden?