Mit Computerforensik dem Täter auf der Spur

Selbstverständlich sollte sein, dass eine laufende Maschine, auf der Beweismaterial vermutet wird, nicht abgeschaltet wird. Der gesamte flüchtige Inhalt des Arbeitsspeichers ginge verloren. Ist ein PC ausgeschaltet, bleibt er so bis mit geeigneten Hilfsmitteln eine Bit-genaue Kopie der Originaldatenträger angelegt und die Datenträger als Beweismittel unverändert sicher gestellt sind. Fernseherkrimis und Romane machen auch aus keinem Administrator einen Forensik-Spezialisten. Im Gegenteil laufen Helfer Gefahr, selbst zum Beschuldigten zu werden. Durch US-Medien geistert die Geschichte von einem gutmütigen IT-Techniker, der in einem Scheidungsfall behilflich sein wollte. Seine Zugriffe auf die Hardware waren unzulässig und schließlich brachte ihn derjenige vor Gericht, der ihn ursprünglich um den Gefallen gebeten hatte.

Für Forensik-Experten ist die Dokumentation das A und O. Nur eine 100prozentige und lückenlose Protokollierung macht aus den dokumentierten Daten Beweise. Zum Beispiel können vor Ort Fotografien vom Bildschirm hilfreich sein. Eins-zu-eins-Kopien erstellt zumeist ein Labor, da hier ein Reinraum und Laufwerktechniken für die temporäre Inbetriebnahme oder Reparatur des Datenträgers zur Verfügung stehen. Ab dem Zeitpunkt der Übergabe übernimmt der Forensik-Experte die Gewähr.

Nach Angaben von Kroll Ontrack liegt die Quote der erfolgreichen Datenwiederherstellung bei rund 80 Prozent. Die Möglichkeiten bei der Datenwiedererstellung im Bereich der Beweismittelrecherche seien jedoch noch höher.