IT-Forensik

Als Sachverständige für IT-Forensik...

... haben wir seit 2008 mehr als 100 gerichtsfeste IT-Forensik Gutachten erstellt (davon einige Gutachten in Großverfahren).

Im Folgenden sind unsere IT-Forensik Dienstleistungen und der Ablauf von der Datenerhebung bis hin zum fertigen Gutachten beschrieben.

1

Datenerhebung

2

Datenaufbereitung

3

Datenanalyse

4

Dokumentation

Datenerhebung

Begleitung von Durchsuchungen

Wir begleiten Durchsuchungsmaßnahmen und unterstützen Polizei und Staatsanwaltschaft als Sachverständige für IT-Forensik vor Ort.

Finden relevanter Daten

Bei Durchsuchungsmaßnahmen können wir bereits im Vorfeld und vor Ort beim Ermitteln relevanter IT-Systeme behilflich sein. So können wir zum Beispiel Infrastrukturserver (Datenbankserver, Webserver, etc.) identifizieren.

Datensicherung

Die bei der Begleitung von Durchsuchungsmaßnahmen als relevant eingestuften Datenträger können direkt vor Ort von uns forensisch gesichert werden. Bei Post-Mortem-Verfahren sichern wir den Datenbestand der an uns übergebenen Datenträger in unserem Labor. Es werden jeweils die gängigen Software- (X-Ways Forensics, EnCase, FTK, …) und Hardwareprodukte (Schreibschutz) verwendet.

Lückenlose Dokumentation

Für Dritte muss nachvollziehbar sein, wer, wann, wie Zugriff auf Beweismittel hatte. Hierzu führen wir Übergabebelege zur Wahrung der Beweiskette. Geräte und Datenträger werden von uns abfotografiert. Der komplette Ablauf der Untersuchung wird lückenlos dokumentiert. Nach dem Erstellen des Arbeitsergebnisses kann jederzeit anhand eines Prüfsummenabgleichs die Unversehrtheit und Eindeutigkeit des untersuchten Datenbestands verifiziert werden.

Datenaufbereitung

Wiederherstellen von gelöschten Daten

Wir finden gelöschte Partitionen, diverse gelöschte Dateien und stellen diese wenn möglich wieder her, sodass diese Daten in den nächsten Bearbeitungsschritten (Analyse, Dokumentation bzw. Gutachtenerstellung) zur Verfügung stehen. Nicht selten beeinflussen diese rekonstruierten Daten das Gesamtergebnis beträchtlich.

Rekonstruktion von Systemen

Wir rekonstruieren einzelne Computersysteme, komplette Netzwerke, einzelne Softwareprodukte oder Onlinedienste (wie zum Beispiel Webshops oder Filehoster) und stellen Ihnen diese bei Bedarf zur Auswertung zur Verfügung.

Aufbereitung von Chatprotokollen

Wir finden Nutzungsspuren diverser Chatprogramme (beispielsweise Skype, ICQ, mIRC, WhatsApp, …), bereiten diese bei Bedarf Ihren Vorgaben entsprechend auf und stellen Ihnen diese zur Verfügung.

Aufbereitung von E-Mails

Wir extrahieren E-Mails inkl. Dateianhänge aus E-Mail-Datenbanken und wir finden Spuren von sogenannten Webmailern.

Aufbereitung von Tauschbörsen-Nutzungsspuren

Wir finden Nutzungsspuren diverser Tauschbörsenprogramme (z.Bsp. eMule, KaZaA, FrostWire, BitTorrent, …) und bereiten diese auf.

Aufbereitung von Internet-Nutzungsspuren

Wir finden Nutzungsspuren diverser Webbrowser (z.Bsp. Internet Explorer, Firefox, Opera, Safari, …) und bereiten diese auf.

Brechen passwortgeschützter Dateien und verschlüsselter Systeme

Verfahrensrelevante Inhalte werden immer mehr mit einem Passwort geschützt oder befinden sich auf verschlüsselten Datenträgern. Wir versuchen diese, mit bereits bekannten Passwörtern (mehrere Millionen Passwörter sind hier bereits bekannt) oder der Brute-Force-Methode, zu brechen.

Datenanalyse

Bilddateien

Wir sichten abhängig vom Auftrag alle Bilddateien der Datenträger, der an uns übergebenen Geräte. Hierbei können nach Vereinbarung vorab gewisse Dateien ausgeschlossen werden, so dass der zeitliche Aufwand für die Sichtung möglichst gering gehalten wird.

Videodateien

Wir sichten abhängig vom Auftrag alle Videodateien der Datenträger, der an uns übergebenen Geräte. Hierbei können nach Vereinbarung vorab gewisse Dateien ausgeschlossen werden, so dass der zeitliche Aufwand für die Sichtung möglichst gering gehalten wird.

Duplikate

Bei der Sichtung und Kategorisierung von beispielsweise Bild- oder Videodateien werden Duplikate vorab ausgeschlossen, so dass der zeitliche Aufwand für die Sichtung möglichst gering gehalten wird, da nun nur noch die Unikate kategorisiert werden müssen. Das (Kategorisierungs-)Ergebnis wird in einem späteren Bearbeitungsschritt auf die ausgeschlossenen Duplikate ausgerollt.

Prüfsummenabgleich

Bei der Sichtung und Kategorisierung des Datenbestands greifen wir auf offizielle und eigene Datenbanken mit Prüfsummen bekannter Dateien zurück. Anhand dieses Prüfsummenabgleichs können verfahrensrelevante Dateien sehr schnell gefunden oder irrelevante Dateien sehr schnell ausgeschlossen werden, so dass auch hier der zeitliche Aufwand für die Sichtung möglichst gering gehalten wird.

Betriebssysteme

Bei Bedarf ermitteln wir die Betriebssystemdaten, wie zum Beispiel das Datum der Installation, die Liste der Benutzerkonten, verwendete Passwörter der einzelnen Benutzer, letztes Login, letztes Herunterfahren, usw.

Ermittlung von Schäden

Wir ermitteln wenn möglich beispielsweise in Betrugsverfahren die Anzahl der betroffenen Personen und die Schadenssummen.

Ermittlung von Verbreitungs- und Empfangshandlungen

Wir ermitteln wenn möglich beispielsweise in Verfahren wegen § 184b die Anzahl der Empfangs- und Verbreitungshandlungen sowie die Personen und deren Kontaktdaten derjenigen, von denen oder an welche ein Beschuldigter entsprechende Dateien empfangen bzw. gesendet hat.

Benutzerkonten und Zuordnung zu realen Personen

Wenn möglich, beschreiben wir die Zuordnungsmöglichkeit von Benutzerkonten zu realen Personen (beispielsweise lassen persönliche Dokumente, Fotos, Chatinhalte, Kreditkartenangaben, etc. eines Benutzerkontos meist auf eine reale Person schließen).

Erstellung gerichtsverwertbarer Gutachten

IT-Forensik Gutachtenerstellung

In einem Gutachten wird zu Beginn das Gesamtergebnis zusammengefasst, um dem Leser einen groben Ergebnisüberblick zu verschaffen.

Die Datensicherung, die Datenanalyse und die detaillierten Ergebnisse werden im weiteren Verlauf des Gutachtens beschrieben. Bei Bedarf werden auf entsprechenden Exportdatenträgern (z.Bsp. CD, DVD, USB-Stick, externe Festplatte, etc.) Arbeitsergebnisse zur weiteren Verwendung übergeben.

Vertreten des Gutachtens vor Gericht

Unsere Gutachten sind so konzipiert, dass wir selten vor Gericht geladen werden. Sollte dies doch gefordert sein, so vertreten wir jedes unserer Gutachten vor Gericht.

Unsere Sachverständigen sind geschult (Verhalten des Sachverständigen vor Gericht) und haben die entsprechende Erfahrung.

Fragen Sie uns

Fragen Sie die Machbarkeit und die Kosten Ihrer Auswertung unverbindlich an