Forensik ist ein Obergegriff für wissenschaftliche und technische Bereiche, in denen kriminelle Handlungen systematisch untersucht werden. Folglich gibt es auch sehr viele Spezialgebiete für Forensiker - Rechtsmedizin, forensische Toxikologie, forensische Psychologie, technische Dormspuren und Fingerabdrücke, forensiche Ballistik sowie die IT-Forensik sind nur einige Beispiele. Dabei kommt es nicht nur darauf an, die Spuren der Täter zu entdecken. Vielmehr muß man diese Spuren auch gerichtsverwertbar sicherstellen.
Die IT-Forensik ist ein Teilgebiet der Forensik und beschäftigt sich mit der methodischen Analyse von Vorfällen auf IT-Systemen und der gerichtsverwertbaren Sicherung der Beweise. Ziel ist es, exakt festzustellen, welche Aktionen auf einem IT-System stattgefunden haben und wer Verursacher oder Verantwortlicher hierfür ist.
Ist auch nur im Entferntesten damit zu rechnen, daß ein Sicherheitsvorfall in einem Rechtsstreit enden könnte oder in einer Strafverfolgung eine Rolle spielen könnte, muß besonders überlegt gehandelt und frühzeitig ein ferensischer fachmann eingeschaltet werden. Leider werden oftmals aus Unwissen, in guter Absicht, Panik oder aus Angst oder einem Schamgefühl heraus viele Fehler gemacht, die eventuelle Spuren unwiederbringlich vernichten oder ihre Verwendbarkeit bei Gericht beeinträchtigen und ein manches Mal verhindern.
Mit dieser Art der Beweisfindung und Sicherung im Bereich der Computertechnik beschäftigt sich die IT-Forensik. Analog zu den anderen Bereichen der Forensik gilt es auch hier, möglichst viele relevante Beweise zu sammeln, analysieren und rekonstruieren sowie diese dann neutral, nachvollziehbar und gerichtstauglich darzustellen.
Viele Menschen sehen in der Forensik eine moderne Form der schwarzen Magie. Insbesondere in der IT-Forensik werden vermeintlich vernichtete Daten wieder rekonstruiert und entschlüsselt. Informationen, von denen man gar nicht wußte, daß sie überhaupt existieren, kommen ganz plötzlich zum Vorschein und selbst so vermeintlich harmlose Geräte wie Kopierer, Computerfaxe, Elektronik in Autos und ganz besonders Handys, Tablets und die sozialen Medien geben vertrauliche und nicht für die Öffentlichkeit bestimmte Daten preis.
Doch so wundersam die Forensik manchmal aussehen mag - auch der beste Forensiker kann keine Daten und Spuren mehr hervorzaubern, die nicht mehr vorhanden sind. Forensik ist also keine Hexerei, sondern basiert immer auf wissenschaftlichen Methoden und Techniken.
Daher muß man auch sehr dringend davor warnen, solche Anforderungen selbst bewältigen zu wollen (Mr. Google wird schon helfen). Die IT-Forensik erfordert eine tiefgehende Systemkenntnis und man muß sehr genau wissen, was man tut - ein vertauschter Parameter und schon werden die Hilfsmittel zu Anti-Forensik-Tools, die Spuren zerstören anstatt sie zu sichern. Nicht zuletzt müssen natürlich auch Datenschutzaspekte und Persönlichkeitsrechte berücksichtigt werden - ein Grund, warum bestimmte Arbeiten nur mit richterlicher Genehmigung durchgeführt werden können.
Nicht jede betroffene Person bzw. jedes betroffenes Unternehmen wird mit einem solchen Sicherheitsvorfall gleich zur Polizei gehen. Und die allermeisten Unternehmen glauben, daß ihre eigenen IT-Administratoren das alleine bewältigen können. Ein schwerwiegender Fehler - Administratoren haben die Aufgabe, die Betriebsfähigkeit von Systemen sicherzustellen und dafür sind sie qualifiziert.
Ein Forensiker hat ein völlig anderes Aufgabenfeld. Er denkt anders und verfügt über ein völlig anderes Wissensspektrum. Vor allen Dingen weiß er, in welcher Reihenfolge er was tun darf und muß. Und er verfügt über die entsprechenden Methoden und Mittel. Sollten Sie also auch nur einen geringen Verdacht haben, daß in Ihrem System oder Netzwerk "etwas nicht stimmt", dann zögern sie nicht, sich von einem Forensiker Hilfe zu holen. Das gilt insbesondere dann, wenn Sie damit rechnen, daß Sie Opfer von Industriespionage geworden sind.