SECURITY: Computer Forensics - Die digitale Autopsie

In einer ersten Phase gilt es, mögliche Beweismittel zu identifizieren. Aufgrund eines Verdachtsmoments wird eine Untersuchung eingeleitet. Da es während einer forensischen Untersuchung möglich ist, dass spätere Phasen der Ermittlung neue Beweismittel aufdecken, sollten die ersten Schritte möglichst umfangreich sein und genau protokolliert werden. Beispielsweise sollen bei einer Hausdurchsuchung mit Beschlagnahmungen möglichst alle Datenträger mitgenommen werden, auch wenn sich einige wahrscheinlich nachher als überflüssig erweisen.
In der nächsten Phase müssen Beweise gesammelt und gesichert werden. Beweismittel sollen nach forensischen Massstäben kopiert werden. Computerforensiker machen möglichst exakte Kopien der Daten der Beweismittel, Bit für Bit und womöglich in einem einzigen Datenstrom. In der Fachsprache der IT-Welt heisst diese Art zu kopieren auch Datenspiegelung oder Klonen. Mit einem digitalen Fingerabdruck wird anschliessend geprüft, ob die Daten der Quelle mit denjenigen der Kopie übereinstimmen. Stimmen die Fingerabdrücke überein, ist Gewähr gegeben, dass der Forensiker eine identische Kopie des Originals in seinen Händen hält, die die Basis für weitere Untersuchungen darstellt.