Expertentipp für Privatpersonen vom Geschäftsführer
Die digitale Forensik ist heute auch im privaten Umfeld ein wichtiges Instrument zur Sicherstellung von Beweismitteln. Bei Datenrettung Austria raten wir dazu, regelmäßige Sicherungskopien anzulegen, Systemzugriffe zu dokumentieren und bei Verdacht auf Manipulation rasch zu reagieren. Besonders bei sensiblen Fällen – etwa Familien- oder Erbstreitigkeiten – kann die lückenlose Erstellung von Dateizeitlinien entscheidend sein. Vertrauen Sie auf zertifizierte IT-Forensiker, wenn es um Ihre Daten geht.
Wichtige Informationen
Was kann ich als Privatperson tun, wenn ich einen fremden Zugriff vermute?
Viele glauben, dass eine Neuinstallation des betroffenen Systems alle Probleme löst. Das kann gefährlich sein – denn wer neu installiert, bevor die Ursache bekannt ist, löscht wichtige Spuren. Wird ein infiziertes System ohne Analyse formatiert, bleibt oft unklar, wie der Eindringling Zugriff hatte – und ob er erneut zuschlägt. Unsere Empfehlung: Gerät abschalten, nicht mehr verwenden und forensisch sichern lassen. Nur so lässt sich der Ursprung des Angriffs nachvollziehen und verhindern, dass der Täter wieder Zugang erhält.
Um zu verstehen, ob ein erneuter Angriff droht, sollten folgende Fragen möglichst beantwortet werden:
- Was ist passiert?
- Wie ist das passiert?
- Wodurch war das möglich?
- Wer war es?
Der wichtigste Schritt ist, frühzeitig einen forensischen Experten hinzuzuziehen. Eigene Nachforschungen führen oft dazu, dass Spuren ungewollt gelöscht oder verändert werden. Wird ein Gerät eigenständig manipuliert, sind viele Hinweise nicht mehr auswertbar. Bleibt der Computer eingeschaltet, sollte er auch so bleiben – und bis zur Analyse nicht mehr genutzt werden.
Wenn ein privates Gerät im Heimnetzwerk auffällig wird, sollte es sofort vom Internet getrennt und – falls vorhanden – in ein isoliertes WLAN ohne Zugriff auf andere Geräte überführt werden. Falls dies nicht möglich ist, trennen Sie das Netzwerkkabel (Ethernet) und belassen Sie das System im aktuellen Zustand.
Wichtig ist: keine weiteren Eingriffe. Machen Sie Fotos von der Hardware, insbesondere Anschlüsse und Bildschirm. Falls das Gerät ausgeschaltet ist, schalten Sie es nicht wieder ein. Wenden Sie sich an einen IT-Forensiker zur professionellen Analyse.
Im ersten Schritt wird geprüft, ob es sich um ein „lebendes“ oder „totes“ Computersystem handelt. Läuft das Gerät noch, beginnt die Analyse mit dem Arbeitsspeicher: Hier befinden sich flüchtige Daten wie laufende Prozesse, Netzwerkverbindungen oder eingeloggte Benutzer. Diese Daten sind besonders wichtig, da sie nach dem Ausschalten unwiederbringlich verloren sind.
Im nächsten Schritt wird eine forensische Kopie der Festplatte erstellt. Diese Kopie muss genau dokumentiert, wiederholbar und revisionssicher angelegt sein. Nur so sind die Ergebnisse später gerichtlich verwertbar und halten einer Nachprüfung stand.
Bereits durch die Analyse des Arbeitsspeichers lassen sich wichtige Hinweise auf Programme, Sitzungen oder laufende Prozesse ableiten. Liegt zudem ein Speicherabbild der Festplatte vor, wird daraus eine sogenannte Timeline erstellt – also eine chronologische Abfolge der wichtigsten Datei- und Systemaktivitäten.
Diese Zeitleiste gibt Auskunft über lesende und schreibende Zugriffe, Änderungen an Dateien sowie über Manipulationen von Metadaten (z. B. Dateiberechtigungen, Zugriffszeiten, Blockverweise). Damit wird sichtbar, was wann passiert ist.
Je nach Betriebssystem besitzt jede Datei mehrere Zeitstempel – etwa Erstellungszeit, letzter Zugriff, letzte Änderung und Metadaten-Update. Diese drei oder vier Zeitmarken sind zentrale Indikatoren bei der digitalen Spurensicherung.
- lesender Zugriff
- schreibender Zugriff
- Änderung der Metadaten
- Erstellungsdatum der Datei
Anhand der Zeitleiste kann ein detaillierter Ablauf der Systemnutzung nachvollzogen werden. Häufig ist es dabei notwendig, auch nicht zugewiesene Speicherbereiche oder freie Blöcke zu durchsuchen. Diese enthalten oft Hinweise auf eine mögliche Infektion, Zugriffe oder gelöschte Inhalte. Analysen betriebssystemspezifischer Besonderheiten – wie Registry-Bereiche, Prefetch-Dateien oder zuletzt geöffnete Dateien – liefern oft entscheidende Hinweise auf den Vorfall.
Wie hoch ist der Aufwand für eine forensische Analyse?
Jeder Sicherheitsvorfall ist einzigartig. Um eine verlässliche Einschätzung zu erhalten, benötigen wir eine genaue Beschreibung des vermuteten Vorfalls und Angaben zu den betroffenen Geräten. Auf dieser Basis erstellen wir Ihnen gerne ein individuelles Angebot.
Warum ist das Ziehen des Stromkabels heute keine gute Idee mehr?
Früher wurde empfohlen, bei einem IT-Vorfall das System sofort stromlos zu machen. Heute wissen wir: Viele wichtige Hinweise liegen im Arbeitsspeicher. Aktive Prozesse, geöffnete Dateien, Netzverbindungen – all das ist im RAM gespeichert und geht beim Ausschalten unwiederbringlich verloren. Die moderne IT-Forensik wertet deshalb bevorzugt „lebende“ Systeme aus, solange diese unter kontrollierten Bedingungen erreichbar sind.
Was bedeutet „lebendes“ oder „totes“ System in der IT-Forensik?
Der Begriff „lebendes System“ beschreibt ein eingeschaltetes Gerät mit aktivem Arbeitsspeicher. Dieses enthält volatile Daten – z. B. laufende Prozesse, Netzwerkverbindungen oder Benutzersitzungen. Ein „totes System“ ist ausgeschaltet, seine flüchtigen Daten sind bereits verloren. Die RAM-Analyse hat sich seit Mitte der 2000er als wichtiger Bestandteil der digitalen Spurensicherung etabliert.
Bei der forensischen Datensicherung gilt: Je flüchtiger die Daten, desto eher müssen sie gesichert werden. Deshalb steht der Arbeitsspeicher (RAM) an erster Stelle. Danach folgen aktive Festplatten oder SSDs – zuletzt werden abgeschaltete oder ausgelagerte Speichermedien dokumentiert.
Die moderne Datenforensik konzentriert sich zunehmend auf „lebende“ Systeme. Gerade im RAM lassen sich viele Spuren auslesen – wie im Fall von Stuxnet, der 2010 kritische iranische Anlagen lahmlegte, oder Conficker, der zwischen 2008 und 2010 Millionen von Computern infizierte. Beide konnten über RAM-Analyse detektiert werden.
