wann Computer-Forensik benötigt wird;
in welchen Systemen sich digitale Spuren finden lassen;
wie diese Beweismittel zu sichern sind;
welche Tools man dazu verwenden kann;
welche Spezialisten dabei helfen können.
Es ist bereits nach Dienstschluss, als ein Wagen vor dem Firmensitz hält, mehrere unauffällig gekleidete Männer aussteigen und mit einigen schwarzen Koffern zielstrebig auf das Gebäude zugehen. Am Eingang werden sie bereits von einem Mitarbeiter erwartet, der sie umgehend in die Büros der Forschungsabteilung führt. Dort beginnen die Experten mit ihrer Arbeit: Mit Spezial-Equipment aus ihren Koffern untersuchen sie die Rechner der Angestellten und erstellen Kopien der Festplatten und Datenträger. Sie gehen dabei routiniert und konzentriert zu Sache, halten jeden einzelnen ihrer Arbeitsschritte genau fest.
Die eigentliche Arbeit beginnt jedoch erst im Anschluss daran: Im Labor analysieren die Experten das gesicherte Material, stellen gelöschte Dateien wieder her und setzen die Ergebnisse ihrer Arbeit miteinander in Verbindung. Dabei bestätigt sich der Verdacht des Arbeitgebers: Einige Mitarbeiter hatten während ihrer regulären Arbeitszeit Pläne für die Gründung einer eigenen Firma geschmiedet, wobei sie die Systeme ihres Noch-Arbeitgebers nutzten. Verdacht hatte der geschöpft, als mehrere Kollegen innerhalb kurzer Zeit ihre Kündigung einreichten.
In solchen und ähnlichen Fällen kann die so genannte IT- oder Computer-Forensik wertvolle Dienste leisten. Egal, ob es sich um den Verdacht handelt, dass ein Mitarbeiter Informationen aus dem Unternehmen schafft, oder die Vermutung, dass ein Hacker von außen in das Firmennetz eingedrungen ist und Daten manipuliert beziehungsweise ausgespäht hat: Immer geht es darum, den Sachverhalt aufzuklären und Gewissheit zu schaffen, ob und in welchem Umfang dabei Schäden entstanden sind. Das geschieht, indem Spuren innerhalb von IT-Systemen gesichert und analysiert werden.
