Sicherlich kennt man den Begriff der Forensik aus einschlägigen Fernsehsendungen. Wie aber passt der Computer dazu, wenn nicht zur Analyse irgendwelcher Labordaten. Nun, Computer-Forensik bedeutet nicht etwa die EDV-Unterstützung im Rahmen einer Autopsie bei ungeklärten Todesfälllen, sondern im übertragenen Sinne die Autopsie von Computersystemen (oder ähnlichem). Auf Wikipedia findet sich zum Beispiel folgender Definitionsansatz:

„Die IT-Forensik oder auch Computer-Forensik bzw. Digitale Forensik ist ein Teilgebiet der Forensik. Die IT-Forensik behandelt die Untersuchung von verdächtigen Vorfällen im Zusammenhang mit IT-Systemen und der Feststellung des Tatbestandes und der Täter durch Erfassung, Analyse und Auswertung digitaler Spuren in Computersystemen. Mittlerweile ist die Untersuchung von Computersystemen auch im Zusammenhang mit „herkömmlichen“ Verbrechen, aber auch für Zwecke der Steuerfahndung, kaum noch wegzudenken. Die Untersuchung von computerbezogenen Verbrechen (Netzeinbrüche, etc.) spielt meist eine untergeordnete Rolle.“

Diese Definition ist eine schöne Grundlage, sollte allerdings etwas ausgeweitet werden. Punkte wie die Gerichtsverwertbarkeit oder die Anwendung standardisierter Verfahren werden zum Beispiel nicht genannt. Daher definieren wir bei Seed Forensics Computer-Forensik wie folgt:

“Computer-Forensik ist die Suche, Sammlung und Analyse beweiserheblicher Daten auf EDV-Systemen unter Verwendung standardisierter und gut dokumentierter Methoden um Ihre Verwendbarkeit und Ihren Wert in einem rechtlichen Verfahren zu bewahren.”

Für den Begriff Computer-Forensik gibt es zudem die Synonyme IT-Forensik und Digitale Forensik. In jüngster Zeit wird zudem wiederholt von Netzwerk-Forensik gesprochen. Hiermit ist die Analyse von Daten aus einem Netzwerk gemeint, was unschwer zu erraten ist. Bei genauer Betrachtung ist jedoch nur die Beweissicherung anzupassen. Es müssen unter Umständen Daten aus dem Netzwerkverkehr mitgeschnitten und gesichert werden. Die Schritte der Analyse und Präsentation sind nicht betroffen.

Wie man anhand der obigen Definition schon erkennt, sind hohe Anforderungen an die korrekte Durchführung einer forensischen Analyse gestellt. Diese Anforderungen resultieren daraus, dass zum einen nicht unnütze, wertlose Gutachten in ein Gerichtsverfahren eingebracht werden und dienen zum anderen auch dem Schutz vor falschen Verdächtigungen. Schließlich sorgt eine korrekte Analyse dafür, dass auch entlastende Beweise zu Tage gefördert werden.

Einen kurzen Abriss darüber, wie eine forensische Analyse digitaler Daten ablaufen sollte, finden Sie ebenfalls in dieser Rubrik.

Die Begrifflichkeit Computer-Forensik oder IT-Forensik täuscht ein wenig über die Vielzahl der Anwendungsfälle hinweg. Digitale Forensik trifft da schon eher zu. Es sind nämlich eben nicht die Hacking-Angriffe die den Großteil der computer-forensischen Arbeit ausmachen. Vielmehr finden sich digitale Speicher heutzutage in verschiedensten Geräten, die wiederum in unterschiedlichsten Lebensbereichen zum Einsatz kommen und so auch für eine computer-forensische Analyse verwendet werden können. Einige in dieser Rubrik gelistete Beispielfälle belegen dies.