Funktionen

Print[PRINT]
.  Home  .  Publikationen  .  Diplom/Master  .  baer05

Bär, L. (2005):

Analyse von Werkzeugen der Computerforensik


Die Forensik als Teilgebiet der Gerichtsmedizin beschäftigt sich mit der Sicherung von Beweismitteln bei Todesfällen. Allgemein kann sie mit dem Nachweis von strafbaren Handlungen und dem Auffinden von gerichtsverwertbaren Untersuchungsergebnissen beschrieben werden. In den letzten Jahren wird der Begriff der Forensik zunehmend auch im Zusammenhang mit IT-Systemen genannt. Das bekannteste Thema in diesem Zusammenhang ist die Computerforensik, die sich mit dem Ermitteln, Sicherstellen, Analysieren und Dokumentieren von Beweismitteln im Zusammenhang mit Computersystemen befasst. Es werden also die zentralen Fragen beantwortet, wer was, wann und warum auf einem Computersystem durchgeführt hat.

Auf Grund der breiten Durchdringung des alltäglichen Lebens mit Computersystemen, aber auch durch explizite Nutzung dieser Systeme für kriminelle Vorgänge, ist die Zahl der zu untersuchenden Fälle im Bereich der Computerforensik in den letzten Jahren stark angewachsen. Des Weiteren ermöglichen aktuelle Massenspeicher einen Datenbestand von mehreren hundert Gigabyte an Daten. Beide Punkte führen dazu, dass eine Untersuchung in der Computerforensik ohne unterstützende Werkzeuge nicht mehr effizient durchzuführen ist.

Umfassende Werkzeuge der Computerforensik, die eine Untersuchung unterstützen, sind erst seit kurzem auf dem freien Markt erhältlich. Es existieren daher nur sehr wenige Erfahrungswerte beim Umgang mit diesen Werkzeugen, so dass eine Einschätzung über die Leistungsfähigkeit der einzelnen Produkte nur schwer möglich ist (z.B. nur durch Einarbeitung und umfassende Anwendung des Produkts). Diese Problematik greift die vorliegende Arbeit auf, indem sie ein Verfahren liefert (den Kriterienkatalog), mit dessen Hilfe die Leistungsfähigkeit von Werkzeugen der Computerforensik auf einfache Weise analysiert werden kann. Auf Grund des breiten Aufgabengebiets der Computerforensik beschränkt sich der Kriterienkatalog dabei auf die Bewertung von Eigenschaften, die bei der Analyse von 1:1 Kopien der Datenträger (Bitstream-Images) Verwendung finden.