https://wiki-de.moshellshocker.dns64.de/index.php?action=history&feed=atom&title=IT-ForensikIT-Forensik - Versionsgeschichte2026-06-03T23:13:35ZVersionsgeschichte dieser Seite in Wikipedia (Deutsch) – Lokale KopieMediaWiki 1.43.8https://wiki-de.moshellshocker.dns64.de/index.php?title=IT-Forensik&diff=354071&oldid=previmported>Vfb1893: BKL Delikt aufgelöst2025-11-17T20:37:36Z<p>BKL <a href="/index.php?title=Delikt&action=edit&redlink=1" class="new" title="Delikt (Seite nicht vorhanden)">Delikt</a> aufgelöst</p>
<p><b>Neue Seite</b></p><div>Der Begriff '''IT-Forensik''' setzt sich zusammen aus&nbsp;[[Informationstechnik|IT]], d.&nbsp;h. der Abkürzung von [[Informationstechnik]], und [[Forensik]]. Eine einheitliche Begriffsdefinition hat sich noch nicht durchgesetzt. Im allgemeinen Sprachgebrauch bezeichnet IT-Forensik die wissenschaftliche [[Expertise]], die eine Beurteilung und Würdigung von Informationstechnik durch die Öffentlichkeit oder innerhalb eines [[Gerichtsverfahren]]s ermöglicht.<ref name="FAQ">{{Internetquelle|url=http://computer-forensics.safemode.org/indexcc78.html?page=Computer_Forensics_FAQ|titel=The Computer Forensics FAQ|hrsg=The Computer Forensics Open Guide|zugriff=2020-02-03|archiv-datum=2018-10-15|archiv-url=https://web.archive.org/web/20181015073050/http://computer-forensics.safemode.org/indexcc78.html?page=Computer_Forensics_FAQ|offline=ja|archiv-bot=2025-07-14 10:12:43 InternetArchiveBot}}</ref> Da Daten und Systemzustände nicht direkt in Augenschein genommen werden können, wird hierfür meist auf ein [[Gutachten]] eines [[Sachverständiger|Sachverständigen]] oder den Bericht eines sachverständigen [[Zeuge]]n zurückgegriffen.<ref name="CyLaw-Report">{{Internetquelle|url=https://tuprints.ulb.tu-darmstadt.de/2848/4/2012_03_15_CyLawReport_XXXV_Bauer_Version2_exit.pdf|titel=XXXV: Zur "Beweiskraft informationstechnologischer Expertise" |hrsg=Schmid, Viola|zugriff=2019-03-24|datum=2012-12-07}}</ref><br />
<br />
In dem vom [[Bundesamt für Sicherheit in der Informationstechnik]] (BSI) veröffentlichten Leitfaden IT-Forensik wird die IT-Forensik als „die streng methodisch vorgenommene Datenanalyse auf [[Datenträger]]n und in [[Computernetz]]en zur Aufklärung von Vorfällen, unter Einbeziehung der Möglichkeiten der strategischen Vorbereitung, insbesondere aus der Sicht des Anlagenbetreibers eines IT-Systems“ definiert. Das BSI bettet damit die IT-Forensik in die Prozesse des IT-Betriebs ein und bezeichnet damit die Vorbereitung und die Aufklärung von Vorfällen.<ref name="BSI Leitfaden">{{Internetquelle|url=https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Cyber-Sicherheit/Themen/Leitfaden_IT-Forensik.pdf?__blob=publicationFile&v=2|titel=Leitfaden „IT-Forensik“, Version 1.0.1|hrsg=Bundesamt für Sicherheit in der Informationstechnik|zugriff=2019-03-24|datum=2011-03-01}}</ref><br />
<br />
Der Leiter des ersten Bachelorstudiengangs Deutschlands „Allgemeine und Digitale Forensik“, [[Dirk Labudde]], fasst den Begriff jedoch weiter: er umfasst auch alle digitalen Methoden, „normale“ Straftaten aufzuklären, z.&nbsp;B. digitale Rekonstruktionen der Szene oder Abläufe.<ref>Labudde, Dirk: ''Digitale Forensik. Die Zukunft der Verbrechensaufklärung'' 29. April 2022, Lübbe. ISBN 978-3-431-05032-5</ref><br />
<br />
Die großen Beratungsdienstleister hingegen, wie Rechtsanwalts- oder Wirtschaftsprüfungsgesellschaften, schränken die IT-Forensik auf den Nachweis und die Ermittlungen von [[Straftat]]en im Bereich der [[Computerkriminalität]] ein.<ref>Alexander Geschonneck: ''Computer-Forensik. Computerstraftaten erkennen, ermitteln, aufklären. 5. aktualisierte und erweiterte Auflage.'' dpunkt Verlag, Heidelberg 2011, ISBN 978-3-89864-774-8. S. 2.</ref><br />
<br />
== Vorgehensmodell ==<br />
Nach dem Secure-Analyse-Present (S-A-P) Modell werden die Tätigkeiten des IT-Forensikers in drei Phasen eingeteilt.<ref name="BSI Grundschutz">{{Internetquelle|url=https://www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzKataloge/Inhalt/_content/m/m06/m06126.html|titel=IT Grundschutz M 6.126 Einführung in die Computer-Forensik|hrsg=Bundesamt für Sicherheit in der Informationstechnik|zugriff=2019-03-24|datum=2009|archiv-datum=2019-03-24|archiv-url=https://web.archive.org/web/20190324211931/https://www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzKataloge/Inhalt/_content/m/m06/m06126.html|offline=ja|archiv-bot=2025-07-14 10:12:43 InternetArchiveBot}}</ref> Diesen Phasen geht die Vorbereitung voraus, in der organisatorische und technische Voraussetzungen geschaffen werden. Hierbei sind beispielsweise die jeweils gültigen gesetzlichen Bestimmungen (z.&nbsp;B. des Datenschutzes) zu<br />
erheben und deren Einhaltung sicherzustellen. In Unternehmen wird diese Vorbereitung als „Forensic Readiness“ bezeichnet.<ref name="Stefan_Meier">{{Internetquelle|url=https://epub.uni-regensburg.de/35027/1/Dissertation_Veroeffentlichung_Stefan_Meier_A5_digital.pdf|titel=Digitale Forensik in Unternehmen.|hrsg= Dissertation. Universität Regensburg|zugriff=2019-03-24|datum=2016}}</ref><br />
<br />
=== Secure ===<br />
[[Datei:Portable forensic tableau.JPG|miniatur|Sicherung einer Festplatte mit Hilfe eines Schreibschutzadapters]]<br />
In der Secure-Phase werden die im jeweiligen Sachverhalt potentiell relevanten Daten identifiziert und gesichert. Ziel der Phase ist es, alle Daten möglichst unverändert zu sichern. Regelmäßig muss hierbei abgewogen werden, welche Datenveränderung akzeptiert wird, um z.&nbsp;B. flüchtige Daten zu sichern. Entscheidungen und das Vorgehen sind dabei so zu dokumentieren, dass diese von einem Dritten nachvollzogen und bewertet werden können. Um ungewollte und vermeidbare Veränderungen der Daten auszuschließen, werden bei der Erstellung eines [[forensisches Duplikat|forensischen Duplikats]] sog. Write-Blocker (engl. für Schreibschutz) eingesetzt, welche die Schreibzugriffe auf die Datenträger unterbinden. Die Identität der Kopie mit dem Original wird über die Berechnung, den Abgleich von kryptografischen Hashwerten, sichergestellt.<br />
<br />
=== Analyse ===<br />
In der Analyse-Phase werden die gesicherten Daten analysiert und bewertet. Die gewählten Analysemethoden richten sich dabei nach dem zu untersuchenden Sachverhalt, orientieren sich am [[Stand der Wissenschaft#Risikobetrachtung|Stand der Wissenschaft und Technik]] und müssen durch Dritte nachvollziehbar sein.<br />
<br />
=== Present ===<br />
In der Present-Phase werden die Analyseergebnisse zielgruppengerecht dargestellt. Neben den Ergebnissen sind hierbei die Schlussfolgerungen darzustellen, damit die Ergebnisse durch Dritte nachvollzogen und bewertet werden können.<br />
<br />
== Untergebiete der IT-Forensik ==<br />
* [[Betriebssystem]]-Forensik<br />
* [[Cloud Computing|Cloud]]-Forensik<br />
* [[Digitale Multimediaforensik]]<br />
* [[Malware]]-Forensik<br />
* [[Netzwerk]]-Forensik<br />
* [[Smartphone]]-Forensik<br />
<br />
== Weblinks ==<br />
{{Wikibooks|Disk-Forensik}}<br />
* [https://forensics.wiki forensics.wiki]<br />
* [https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Cyber-Sicherheit/Themen/Leitfaden_IT-Forensik.html Leitfaden IT-Forensik] – Grundlagenwerk des BSI zur IT-Forensik (2011).<br />
* [https://www.nist.gov/topics/digital-evidence NIST Digital Evidence]<br />
* [https://dfrws.org/ Digital Forensic Research Workshop]<br />
<br />
== Einzelnachweise ==<br />
<references/><br />
<br />
{{Normdaten|TYP=s|GND=4774034-6}}<br />
<br />
{{SORTIERUNG:It-Forensik}}<br />
[[Kategorie:Kriminalistik]]<br />
[[Kategorie:IT-Sicherheit]]<br />
[[Kategorie:Rechtsinformatik]]<br />
[[Kategorie:Forensik]]</div>imported>Vfb1893