Am Anfang einer forensischen Ermittlung sollten stets einige Vorüberlegungen stehen. Der Forensiker muss sich möglichst umfangreich über die Geschehnisse informieren können. Anschließend hilft er dem Bedarfsträger bei der Festlegung der zu untersuchenden Datenmengen. Zudem klärt er ausführlich über mögliche Analysemöglichkeiten auf. Für den Bedarfsträger ist es stets sinnvoll auch rechtlichen Beistand zu suchen, um eine Zulässigkeit des Zugriffs auf die zu untersuchenden Daten prüfen zu können.

Sind Datenumfang und Speicherorte geklärt, erfolgt die eigentliche Sicherung der Daten. Hierbei sind viele Punkte zu berücksichtigen. Wesentlich ist zum Beispiel der Einsatz eines Schreibschutzes, um eine versehentliche Veränderung des Originalbeweises zu unterbinden. Hier sollte stets nur ein Hardware-Schreibschutz zum Einsatz kommen. Allerdings gibt es wie immer Situationen, in denen dies nicht möglich ist. In solchen Fällen ist nochmals gesteigerter Wert auf die ohnehin schon stets sorgfältige Dokumentation aller Arbeitsschritte zu legen.

Die Sicherung von Festplatten ist mittels mitgeführter Adapter für jeden Forensiker eine zwar oft zeitraubende, jedoch leichte Übung. Schwieriger wird es oft bei Mobiltelefonen oder PDAs, die oftmals eine Verbringung in das forensische Labor erfordern. Zur Sicherung der flüchtigen Daten noch laufender Systeme gibt es ebenfalls verschiedene Möglichkeiten.

Die gesicherten Daten werden anschließend einer ausführlichen Analyse unterzogen, bei der zumeist folgende Punkte zu klären sind:

• Ermittlung der Identität des Täters / der Täter
• Ermittlung des Zeitraums der Tat (Erstellung einer sog. „Timeline“)
• Ermittlung des Umfangs der Tat
• Ermittlung der Motivation der Tat
• Ermittlung der Ursache und Durchführung

Zur Analyse ist ein sehr umfangreiches Wissen über die EDV nötig, um Zusammenhänge erkennen und eindeutige Schlüsse ziehen zu können. Auch bei der Analyse ist eine lückenlose Dokumentation aller Arbeitsschritte unabdingbar. „Jeder“ sollte in der Lage sein die Schritte des Ermittlers nachzuvollziehen und vor allem sollte dann auch „Jeder“ zum gleichen Ergebnis kommen.

Um eine korrekte Analyse zu gewährleisten wird auf spezielle Software-Werkzeuge für den jeweiligen Analysezweck zurückgegriffen. Hier sollte immer das Prinzip „Best-of-Breed“ gelten, von den verfügbaren Werkzeugen sollte das bestmögliche gewählt werden.

Bei der abschließenden Präsentation der Analyse-Ergebnisse wird zumeist ein Gutachten vorgelegt, welches die erkannten Zusammenhänge allgemein verständlich erklärt und die gestellten Fragen soweit möglich beantwortet. Eine persönliche Präsentation der Ergebnisse ist nicht die Regel, allerdings sollte jeder Forensiker hierzu in der Lage sein. Schließlich könnte ja auch eine Aufforderung ergehen im Zuge des sich anschließenden Verfahrens als sachverständiger Zeuge vor Gericht zu erscheinen.