Auf digitaler Spurensuche
Vorgehensweise
Und damit sind wir schon mittendrin in der für die IT-Forensik typische Vorgehensweise. Wie in der Kriminologie in der echten Welt, gilt es auch im digitalen Umfeld, die Spuren des Angriffs so zu sichern, dass eine Manipulation ausgeschlossen werden kann. Denn auch im digitalen Umfeld gilt der bereits von dem französischen Arzt Edmund Locard schon zu Beginn des 20. Jahrhundert formulierten Prinzip: «Jeder und alles am Tatort nimmt etwas mit und lässt etwas zurück».
“Wir orientieren uns beim Vorgehen an bewährten Routinen der Polizei„
Tobias Ellenberger, Oneconsult
Benötigt wird daher eine lückenlose Dokumentation. Das kann zunächst selbst in der digitalen Forensik sehr physisch und analog sein. «Wir orientieren uns bei der Vorgehensweise an bewährte Routinen der Polizei. Wenn wir an einen mutmasslichen Tatort gelangen, fotografieren wir beispielsweise auch, wo welcher PC oder welches sonstige Gerät stand», berichtet Ellenberger. Danach muss jede weitere Aktion dokumentiert werden. «Das geschieht zum Teil noch sehr analog», meint er. So gibt es bei Oneconsult spezielle Formulare, die von Hand ausgefüllt und signiert werden müssen. Dabei wird festgehalten, was von wem zu welcher Zeit genau gemacht wurde.