IT-Forensik ist mittlerweile eine Profession, die sich im Rahmen der Bekämpfung von Wirtschaftskriminalität nicht mehr wegdenken lässt. Die Zunahme von IT-gestützten Prozessen zur Abwicklung von Geschäftsprozessen und Kommunikation erfordert es für forensische Prüfer, zumindest Grundkenntnisse zur IT-Forensik zu haben. Auf diese Weise können Interne Revisoren den Methodenkasten einsetzen, um forensischen Tätern auf die Spur zu kommen und sie zu überführen. Der Artikel umreißt die wesentlichen Inhalte aus dem Baukasten der IT-Forensik.

Definition des Begriffes IT-Forensik

Digitale bzw. IT-Forensik befasst sich mit der Sicherstellung, Auswertung und Dokumentation von Beweisen auf digitalen Datenträgern. Der Begriff Forensik stammt vom lat. forum = Forum, Marktplatz, da früher Gerichts- und Strafverfahren sowie Untersuchungen und Urteilsverkündungen häufig auf Marktplätzen öffentlich durchgeführt wurden. Forensisch meint alles, was kriminologischen und gerichtlichen Gesichtspunkten entspricht. 

Der Zweck von IT-forensischen Prüfungen ist die Untersuchung und Verifizierung von Verdachtsmomenten im Zusammenhang mit IT-Systemen (Computerkriminalität), die Ermittlung eines Tatbestandes sowie des Täters durch Erfassung, Analyse und Auswertung digitaler Spuren in IT-Systemen. Computer-Forensik nimmt in der modernen Strafermittlung einen immer höheren Stellenwert ein, da der Anteil an Computerkriminalität stetig ansteigt. Moderne Geschäftsprozesse ohne IT-Systemunterstützung sind heute praktisch nicht mehr denkbar, ob es um kleine, lokale Lösungen wie ein Buchhaltungsprogramm geht, umfangreiche ERP-Systeme oder komplexe Datenmanagement-Systeme (Warehouses).

Auch werden fast alle Daten werden heute elektronisch erstellt bzw. weitergegeben. Nicht nur Emails, sondern auch andere elektronisch erstellte Quelldokumente werden gespeichert, verändert und in der ganzen Welt herumgeschickt.

Dadurch werden elektronisch erstellte Dokumente und die Kommunikationsmittel automatisch zu wichtigen Beweismitteln. In der Wirtschaftskriminalität werden Computer damit auch zu einer Beweisquelle. Sämtliche Aktivitäten am Computer hinterlassen elektronische Spuren und können mit Technik und spezifischem Know-how nachvollzogen und aufgedeckt werden, sodass vor Gericht halt- und verwertbare Beweise geschaffen werden.

Das klingt in der Regel einfacher als es in der Praxis ist. Nicht nur muss, sozusagen als erste Hausaufgabe, dafür gesorgt werden, dass auch nur der tatsächliche Originalzustand konserviert wird. Natürlich müssen auch die Daten, gegebenenfalls nach einer Aufbereitung, auch geeignet sein, die Prüfungsziele erreichen zu helfen.

Beweismittelsicherung bei forensischen Prüfungen

Beweismittelsicherungen sollten stets nach dem Vier- oder Sechs-Augen-Prinzip durchgeführt werden. Jeder Arbeitsschritt muss zwingend dokumentiert werden,  und die Zweitperson sollte nach Abschluss der Dokumentation mit seiner Unterschrift die ordnungsgemäße Erstellung des Datenimage bestätigen. Datenträger, die im Rahmen forensischer Prüfungen für die Verifizierung von Verdachtsmomenten dienen sollen, dürfen nicht für Dritte zugänglich sein. Unter Umständen muss der Datenträger auch forensisch vor weiterem Zugriff gesichert sein.

Unter Digital Evidence Recovery verstehen wir die gerichtsverwertbare Sicherung digitaler Datenbestände. Soweit möglich, werden nicht mehr direkt auswertbare Daten wiederhergestellt - oft ein unverzichtbares Element bei der Aufklärung wirtschaftskrimineller Handlungen.

Eine sich an die Beweismittelsicherung anschließende Forensische Datenanalyse ist die systematische Aufbereitung strukturierter oder unstrukturierter Datenbestände, wie z.B. von Dateien aus Textverarbeitung, Tabellenkalkulation und dem E-Mail-Verkehr.

IT-Beweismittelsicherung und Beweismittelmanagement

Das Beweismittelmanagement umfasst die Phasen Planen, Beweise sichern, Beweise schützen, Untersuchen, Bewerten und Dokumentieren. 

Zur Beweissicherung werden z.B. Speichermedien und Netzwerkprotokolle gesichtet, gesichert sowie analysiert. Zwecks Datenträgeranalyse erfolgt prinzipiell die Erstellung eines forensischen Duplikats, bedingt aufgrund der Kenntnis um die Lebens- oder Halbwertzeit einzelner Indizien und Spuren, die somit auch die Reihenfolge und Vorgehensweise zur Sicherung dieser digitalen Spuren beeinflussen.

Je nach Aufgabenstellung des Auftraggebers können Computer-Forensiker nach besuchten Websites forschen, gelöschte E-Mails einsehen, Spuren von ehemals auf der Festplatte abgelegten Dokumenten sichern, große Datenmengen übersichtlich aufbereiten oder versteckte Daten lokalisieren. Dabei kommen verschiedene Software-Lösungen, wie z.B. X-Ways Forensics, zum Einsatz. Grundsätzlich muss mit jeder Forensik-Software die lückenlose Beweismittelkette ("chain of custody") nachvollzogen werden können.