Forensik. Digitale Spur. Teil 4
Einsatz von Spezialisten: Notwendigkeit, keine Option
Obwohl Computertechnologien heute allgegenwärtig sind, bedeutet das nicht, dass das Verständnis über deren Funktionsweise ebenso weit verbreitet ist. Das Wissen über den Aufbau und die Funktionsweise von Computern folgt leider nicht automatisch ihrer massenhaften Nutzung.
Moderne Informationstechnologien zielen darauf ab, die Interaktion des Nutzers mit dem Gerät zu vereinfachen, indem technische Details verborgen bleiben. Das aktuelle Konzept von IT-Systemen basiert auf der Idee, den Menschen von der direkten Steuerung der Rechenprozesse zu entfernen.
Die technologische Entwicklung bewegt sich in Richtung immer tieferer Abstraktion – die Benutzeroberfläche wird maximal vereinfacht, während die internen Mechanismen des Computers außerhalb der Wahrnehmung des durchschnittlichen Nutzers bleiben.
- Nutzer der 1960er und 1970er dachten in Bytes und logischen Operationen.
- In den 1980ern arbeiteten Nutzer mit Symbolen und Dateien.
- In den 1990ern lag der Fokus auf Fenstern, Ordnern und Ereignissen.
- Heute denkt der Nutzer in Begriffen wie Dokumenten, Speichern und Desktops.
Für die meisten Menschen sind keine tiefgreifenden Kenntnisse über interne Prozesse in Computern erforderlich – es reicht, die Oberfläche zu bedienen. Doch für Experten der digitalen Forensik reicht das bei weitem nicht aus.
Forensik verlangt einen anderen Ansatz
Die Durchführung von Ermittlungen im Bereich der Computerkriminalität erfordert vom Experten ein tiefes Verständnis der digitalen Prozesse. Je mehr der Spezialist über die Funktionsweise von Informationssystemen weiß, desto mehr digitale Spuren kann er von den Handlungen des Nutzers aufdecken.
Bei der Analyse eines Webseitenbesuchs durch einen Nutzer könnte ein Ermittler ohne spezielle Ausbildung fälschlicherweise annehmen, dass alle Spuren nur auf dem Gerät des Nutzers und auf dem Server der Webseite zu finden sind. Doch das ist ein Irrtum.
Ohne tiefgehende Kenntnisse wird er die Anfragen an DNS-Server, insbesondere an den lokalen Resolver, sowie die rekursiven Anfragen dieses Resolvers an weitere DNS-Knoten nicht berücksichtigen. Diese Anfragen können in Protokollen gespeichert sein und wertvolle Hinweise darauf liefern, welche Seiten besucht wurden. Diese Daten sind nicht nur ergänzende Beweise – sie können eigenständig und äußerst relevant sein.
Zahlreiche Spuren – bei nur einer Handlung
Selbst eine scheinbar einfache Handlung wie das Öffnen einer Webseite hinterlässt zahlreiche digitale Spuren an verschiedensten Stellen. Im Buch “Forensik – Computerkriminalistik” werden über ein Dutzend solcher Spuren beschrieben, von Browser-Logs bis hin zu Netzwerkaktivitäten.
Warum der Spezialist unverzichtbar ist
Der Autor betont: Bei allen operativen Maßnahmen oder Ermittlungen, die mit Computerinformationen zu tun haben, ist die Beteiligung eines IT-Spezialisten nicht nur wünschenswert, sondern unerlässlich.
Nur eine Person mit spezialisierten Kenntnissen kann:
- versteckte Informationen entdecken;
- verloren geglaubte Daten wiederherstellen;
- Täuschungen aufdecken, die als normales Systemverhalten erscheinen.
Zudem ist der Spezialist in der Lage, Benutzeranleitungen und Erklärungen kritisch zu hinterfragen, da er versteht, dass die meisten Nutzer den Computer auf einem von der Oberfläche vorgegebenen Niveau bedienen. Alles, was darüber hinausgeht, liegt außerhalb ihrer Kompetenz.
Fazit
In der heutigen Welt reichen oberflächliche Computerkenntnisse nicht aus, um eine ernsthafte Untersuchung durchzuführen. Der Spezialist für digitale Forensik ist der Schlüssel zur unsichtbaren Welt der digitalen Spuren – ohne ihn ist es unmöglich, zu verstehen, was wirklich in einem Informationssystem passiert ist. Nur seine Kenntnisse und Fähigkeiten ermöglichen es, im digitalen Raum die Wahrheit ans Licht zu bringen.