Computer-Forensik
Wer möchte Detektiv sein?
Computer-Forensik
Ich möchte Ihnen etwas über eine tolle Karrieremöglichkeit berichten. Schauen Sie sich gern Fernsehserien wie CSI oder Cracker an? Haben Sie Spaß an polizeilichen Ermittlungen bei rätselhaften Morden? Halten Sie Sendungen über Archäologie in ihrem Bann? Aber sind Sie andererseits beruflich so festgefahren, dass es Ihr Job ist, bockigen Computern immer groteskere Dinge für undankbare Nutzer beizubringen? Nun, warum tauchen Sie dann nicht in die aufregende Welt forensischer Computeruntersuchungen ein?
Forensische Computeruntersuchungen ist die Anwendung der Technologie und des Fachwissens auf Daten, damit sie als Beweis vor Gericht verwendet werden können. Die Arbeit beinhaltet das Wiederherstellen von Dateien von Computern, Laufwerken, Bändern und anderen Speichermedien. Dazu gehört die Herstellung von unveränderlichen Kopien dieser Daten auf eine Art und Weise, die die Zeitmarken für Dateien nicht verändert. Dann müssen diese Kopien so aufbewahrt werden, dass niemand sich an ihnen vergreifen kann. Bei dieser Tätigkeit müssen die Daten in einer vertrauenswürdigen, zuverlässigen und reproduzierbaren Art und Weise analysiert werden, so dass man Fragen dazu beantworten kann. Und es bedeutet auch, zum Gericht zu gehen und dort den Geschworenen (die häufig keinerlei Ahnung von Computern haben) zu erläutern, was man festgestellt hat und was es bedeutet.
Ohne Leiche
Der Ausdruck “forensische Untersuchungen” beschwört häufig das Bild einer Leiche auf dem Untersuchungstisch herauf, wobei der stille Zeuge von dem gewissenhaften Pathologen erforscht wird. Dieser zieht dann aus winzigen Beobachtungen magische Schlussfolgerungen.
Forensische Computeruntersuchungen erfordern den gleichen Grad an eingehender Prüfung, nur dass die Leiche ein Laufwerk ist, es sich bei den Untersuchungen um Software handelt und die Beobachtungen selten so aufregend sind wie Kommentare zu Flugbahnen des Geschosses und die Arten von Stichwunden. Bei Computeruntersuchungen schauen wir auf die Zeitmarken von kritischen Dateien, auf gelöschte Dateien bei einer sozusagen archäologischen Ausgrabung von unbesetzten Clustern und auf den Inhalt der Log Dateien sowie auf Details der Konfiguration und Ähnlichem.
Ganz offensichtlich ist dies eine Art Tätigkeit, die jeder mit einem gewissen Grad an Vertrautheit bezüglich der Arbeit von Dateisystemen und Anwendungen tun können müsste. Hilfreich sind dabei die gerichtlichen Regeln dazu, wie ein Computerinhalt kopiert werden kann und Richtlinien wie die gängigen forensischen Prüfprogramme anzuwenden sind. Es gibt auch Anleitungen wie passende Berichte an das Gericht zu schreiben sind und sogar Hilfe, die sicherstellen soll, dass man sich im Zeugenstand nicht zum Narren macht.
Präzision ist gefragt
Die Computer müssen auf eine sehr präzise und zeitaufwendige Art und Weise verpackt, transportiert, gelagert und bearbeitet werden, wozu auch das Ausfüllen einer Menge von Papieren und viele Kontrollen gehören. Die Labors müssen bewacht werden und die Mitarbeiter müssen sich ein- und austragen. Auch muss der Zugang zu den Beweismitteln sorgfältig kontrolliert werden. Und dann gibt es natürlich noch die Sorge um die Art der Beweismittel. Dies betrifft insbesondere den Stress, den alle forensischen Techniker haben, wenn sie sich mit Material befassen müssen, bei dem es sich um die sehr häufigen Pädophilie Fälle im Internet handelt.
Technisch gesehen ist das Arbeitsgebiet der forensischen Computeruntersuchungen, ein wunderbarer herausfordernder und angenehmer Karriereschritt. Aber glauben Sie auch nicht einen Moment daran, dass diese Tätigkeit nicht ähnlichen oder schlimmeren Stress mit sich bringt wie all die Anfragen auf Wiederherstellung von Passwörtern.