SECURITY: Computer Forensics - Die digitale Autopsie

Neben den Geheimdiensten und Strafverfolgungsbehörden, die normalerweise ihre eigene Forensik betreiben, haben vor allem Datenrettungsunternehmen die Computer-Forensik für sich entdeckt und lassen sich dabei nicht so gerne in die Karten schauen. Jedes Betriebssystem beschreibt eine Festplatte auf seine spezielle Art und verwaltet auch Files unterschiedlich. Forensische Werkzeuge müssen diesen Methoden genau folgen, um Kopien von Beweismitteln zur Analyse herzustellen und zu prüfen, was jeweils vorliegt. Auf dem internationalen Markt gibt es einige renommierte kommerzielle Hard- und Softwarepakete wie Encase, Safeback oder Smart, die oft auch im Bereich der Strafverfolgung zum Einsatz kommen. Daneben existieren aber auch eine Vielzahl von Open-Source-Tools, die sich entweder im Computer-Forensik-Bereich einsetzen lassen oder sogar speziell dafür entwickelt wurden. Die Werkzeuge sollen folgende Kriterien erfüllen:
o Beweisbare Unverändertheit
o Preview-Möglichkeit
o Leistungsstarke Suchmöglichkeiten (Files, Bilder, Schlüsselwörter)
o E-Script-Sprache zum Programmieren von Suchsequenzen (alle Web-Adressen, spezielle Dateitypen)
Das wichtigste Hilfsmittel für eine forensische Analyse ist somit eine ausreichend grosse Festplatte, die eine Datei der Grösse der zu sichernden Festplatte aufnehmen kann. Es gibt Fälle, bei denen über ein TBbyte an Daten gesichert werden musste.