Das Betätigungsfeld der Computer-Forensik

By on 9. August 2012

Wer sich über die Sicherung seiner Computerdaten Gedanken macht, stößt sicher auf den Begriff Datenrettung und in dem Zusammenhang auf den der Computerforensik und der sogenannten Writeblocker.

Was ist Computerforensik?

Als Forensik bezeichnet man das gesamte Wissenschaftsgebiet, das bei der Untersuchung krimineller Handlungen, bzw. bei der Verbrechensaufklärung zum Einsatz kommt. Das Wort geht auf den lateinischen Begriff „forum“ zurück. So nannte man im alten Rom den Marktplatz, auf dem auch Gerichtsverhandlungen durchgeführt wurden. Computerforensik ist dementsprechend jener moderne Teil der Forensik, der sich mit der Aufklärung von Computerkriminalität befasst. Bei der Verbrechensaufklärung kommt es zunächst hauptsächlich darauf an, Fakten zu ermitteln und zu beweisen. Die Beweise müssen vor Gericht unanfechtbar sein. Das ist bei Beweisen, die in digitaler Form vorliegen, naturgemäß eine knifflige Sache, denn diese können leicht verändert oder zerstört werden. Deswegen brauchen die Ermittler bei der Untersuchung von Datenträgern – zum Beispiel von Festplatten -Werkzeuge, mit denen sie

  • benötigte Informationen erheben können
  • die Daten nicht unabsichtlich verändern
  • die Daten nicht unabsichtlich löschen
  • die Daten nicht unabsichtlich überschreiben
  • deren Funktion und Arbeitsschritte jederzeit nachprüfbar und nachvollziehbar sind.

Sind diese fünf Punkte nicht erfüllt, sind die Beweise vor Gericht anfechtbar und juristisch wertlos.

Writeblocker in der Computerforensik und bei der Datenrettung

Um die genannten fünf Punkte zu gewährleisten, gibt es sogenannte Writeblocker. Dabei handelt es sich um Hardwaregeräte, die zwischen das Hostsystem, mit dem die Beweise erhoben werden sollen und die Festplatte, auf der sich die Beweise befinden, geschaltet werden. Sie verhindern, dass nach dem Einschalten weiterhin auf die Platte geschrieben wird. Sowohl bei der Beweiserhebung in der Forensik, wie auch bei der Datenrettung, müssen die Schreibvorgänge verhindert werden. In der Forensik, weil ein veränderter Beweis ungültig wäre und bei der Datenrettung, um weiteres Überschreiben von möglicherweise zu rettenden Daten zu verhindern.

Weiterführende Infos

http://www.daten-retten.org/lexikon/write-blocker bietet weitere Infos. Hier erfahren Sie, wie forensische Methoden für die Datenrettung genutzt werden können.