Start Datenrettung  · Speichermedien  · Systeme  · Analyseauftrag Computer-Forensik Preise Referenzen  · Kundenmeinungen Kontakt  · Ihre Anfrage   Computer-/  bzw. IT-Forensik und Beweismittelsicherung von digitalen Datenträgern Sollten Sie bereits einen Verdacht oder einen konkreten Hinweis auf eine Manipulation Ihrer Daten haben, unterstützen wir Sie kompetent und diskret in allen weiteren Fragen und Maßnahmen zur Sicherung von Beweisen wie z. B. bei:   Datendiebstahl      private Nutzung von Firmenrechnern   Datenlöschung      Industriespionage      Arbeitszeitbetrug   illegale Nutzung von Dateien und Software Wir Untersuchen Ihren Fall sofort und stellen Ihnen die ermittelten Ergebnisse in kürzester Zeit zur Verfügung. Polizei und andere offizielle Ermittlungsbehörden benötigen nicht selten bis zu einem Jahr, um einen Fall zu bearbeiten. Hier bieten wir Ihnen einen deutlichen Zeitvorteil im Hinblick auf Kostenersparnis oder Personalentscheidungen. Für die IT-Analyse Ihres Systems sind gerade am Anfang wichtige Schritte einzuhalten, um eine Veränderung der vorhandenen Daten unbedingt auszuschließen. Die forensische Untersuchung digitaler Datenträger wird von uns nach einem festen Prozessablauf durchgeführt:   Identifizierung   Sicherstellung   Analyse   Präsentation/Aufbereitung Innerhalb der Einzelschritte des Gesamtprozesses geht es im Wesentlichen um die Klärung folgender Fragestellungen im Hinblick auf die Geschehnisse, die zur Untersuchung geführt haben:   Wer bewegte bzw. veränderte Daten? Wer war anwesend und beteiligt?   Wann - Datum und Uhrzeit   Warum wurde eine Änderung, Bewegung und/oder Abweichung vorgenommen?   Wo - Genaue Ortsangabe   Was - Was wurde genau getan?   Wie - Wie wurde vorgegangen bzw. welche Tools und/oder     welche physikalischen Mittel wurden eingesetzt? Identifizierung Da in diesem Teilprozess die Ausgangslage dargestellt werden soll, liegen die Tätigkeitsschwerpunkte in der möglichst genauen Dokumentation der vorgefundenen Situation. Neben der Bestandsaufnahme des eigentlichen Sicherheitsvorfalles und erster Vermutungen müssen unbedingt weitere Fragen für die nähere Untersuchung geklärt werden. Es folgt eine Strukturierung dahingehend, welche Formen von Beweisen den Beteiligten zugänglich sind. Sind die Beweise z. B. in Form von speziellen Log-Dateien vorhanden? Geht es um Beweise in Form von nicht-flüchtigen Datenbeständen auf vorliegenden Datenträgern? Es wird ferner festgehalten, wo diese Beweise vorrätig sind. Die Umgebungen, in denen die Beweismittel vorliegen (z. B. Betriebssysteme) werden dokumentiert und aufgenommen. Am Ende kann durch Sichtung dieser grundlegenden Fakten eine Entscheidung darüber gefällt werden, welche Mittel zur Beweiserhebung zur Verfügung gestellt werden müssen (Relevanz). Die besondere Beachtung der Frage einer Sicherungsmethode (Backup) ist zu klären. Im folgenden Prozessschritt wird man auf nicht-flüchtige (z. B. Daten auf Festplatten) und flüchtige Daten (z. B. Daten im RAM-Speicher) stoßen, die Beweise darstellen. Es müssen daher die richtigen Mittel zur Sicherung dieser Beweise gewählt werden. Hier kann auch die Frage einer möglichen externen Unterstützung eine maßgebliche Rolle spielen. Sicherstellung Dieser Schritt beinhaltet die eigentliche Beweiserhebung. Unter Einsatz der bereits vorgestellten Fragematrix sind in diesem Prozess die Integrität der digitalen Beweise und das Aufrechterhalten einer Beweiskette die zentralen Aufgaben. Im Regelfall bedeutet dies das Sichern von Beweisen auf Datenträgern. Dabei sollten Medien benutzt werden, die einmalig beschreibbar sind. Der Einsatz von kryptografischen Verfahren zum digitalen Signieren von Beweisdaten sollte geprüft und wenn möglich angewendet werden, um die Unversehrtheit von Daten gewährleisten zu können. In diesem Prozessschritt ergibt sich immer wieder eine entscheidende Fragestellung: Ist das betroffene IT-System aufgrund der Gefährdungssituation abzuschalten oder kann es weiter betrieben werden? Diese Frage ist von zentraler Bedeutung, da es im weiteren Schritt um eine Sicherung von flüchtigen Datenbeständen wie z. B. dem RAM-Speicher, Netzwerkverbindungen und offenen Dateien sowie nicht-flüchtigen Datenbeständen wie z. B. Dateien auf der Festplatte geht. Im Falle des Abschaltens würden die flüchtigen Datenbestände verloren gehen. Analyse Nachdem die relevanten Beweisdaten erhoben sind und sicher auf entsprechenden Medien untergebracht sind, folgt eine erste Analyse. Hier ist Allroundwissen über Netzwerktopologien, Applikationen, aktuelle und bekannte System-Verwundbarkeiten als auch möglicherweise ein sehr hoher Grad an Improvisationsvermögen gefordert. Gerade hier sollten sich Organisationen überlegen, ob externe Fachleute hinzugezogen werden. Das benötigte Wissen geht weit über die pure Administration von Netzwerken oder Betriebssystemen hinaus und verlangt teilweise sogar betriebssystemnahe Programmierkenntnisse. Die erfolgreiche Analyse ist stets von der richtigen Deutung der vorliegenden Erkenntnisse abhängig. Der Sinn und Zweck der Analyse liegt in der Veranschaulichung und Untersuchung der Beweise, der Bemessung der Ursachen des Vorfalles und der Wirkungsweise des eingetretenen Vorfalls. Die digitale Forensik findet typischerweise niemals am originären System statt und bedingt eine noch peniblere Dokumentation als in den vorherigen Schritten. Aufbereitung und Präsentation Im letzten Prozessschritt bereiten die an der Analyse beteiligten Personen ihre Erkenntnisse in Form eines Berichtes auf. Hierbei ist der Bericht auf die grundsätzliche Motivation einer Untersuchung abzustimmen. Diese lässt sich in folgenden Punkten zusammenfassen:   Ermittlung der Identität des Täters / der Täter   Ermittlung des Zeitraums der Tat (Erstellung „Timeline“)   Ermittlung des Umfanges der Tat   Ermittlung der Motivation der Tat und   Ermittlung der Ursache und Durchführung Ob sich alle Punkte restlos klären lassen, hängt sowohl vom vorhandenen Beweismaterial als auch von der Qualität der Analyse ab. Zur ersten Besprechung Ihres Falles kontaktieren Sie uns bitte telefonisch in Kassel: 0561 / 7392714 oder über unser Kontaktformular.

AGB - Disclaimer - Anfahrt - Impressum - Partnerprogram - Sitemap © Support-Office Höhle 2011 Festplatten Datenrettung  -  RAID Datenrettung  -  Datenwiederherstellung  -  Analyse defekter Festplatten