Computer-Forensik: Spurensuche zwischen Bits und Bytes

15.09.2005
Von Martin Seiler

Zusätzlich können der Netzzugang getrennt und die Stromversorgung unterbrochen werden. In besonders akuten Fällen ist jedoch selbst davon abzuraten, weil sich sonst flüchtige Daten nicht mehr sichern lassen. Hinweise auf angemeldete Anwender, aktive Netzverbindungen, geöffnete Anwendungen, laufende Prozesse oder den belegten Arbeitsspeicher gehen dann verloren, warnt Geschonnek.

Aus Sicht des Experten kann es auch nicht schaden, ein oder mehrere Digitalfotos der Arbeitsplatzumgebung anzufertigen. Damit lässt sich festhalten, was auf dem Monitor angezeigt wird, welche Peripheriegeräte angeschlossen und welche Schnittstellen vorhanden sind. Das kann später wichtige Hinweise zur Klärung eines Sachverhalts liefern. Außerdem sind Datenträger wie USB-Sticks, externe Festplatten, Disketten oder CDs sicherzustellen.

Sichern von Spuren wichtig

Weiterführende Untersuchungen sollten Unternehmen dann allerdings Experten überlassen. Zwar gibt es eine Reihe von Tools, die forensische Untersuchungen unterstützen. Dazu gehören etwa "Encase Forensic Edition" von Guidance Software oder das "Forensic Toolkit" von Access Data. Zu nennen ist auch "X-Ways Forensics" des Kölner Unternehmens X-Ways Software Technolgy AG, das laut Geschonnek "sehr gute forensisch Funktionen" bietet und "relativ preisgünstig" ist. Im Open-Source-Bereich gibt es "Autopsy", das eine grafische Oberfläche für andere forensische Tools zur Verfügung stellt.

Mit Werkzeugen wie diesen ist es möglich, Sicherungskopien zu erstellen und große Mengen an Dateien nach bestimmten Schlüsselwörtern zu durchsuchen beziehungsweise Bilddateien nach Kategorien zu sichten. Andere Funktionen umfassen das Wiederherstellen von gelöschten Dateien oder das Auswerten von E-Mails oder Archiven.