Der Bereich der Datenwiederherstellung lässt sich klassischerweise in zwei Bereiche unterscheiden:

a) die typische Datenrettung bei defekten Datenträgern oder irrtümlich gelöschten Dateien und

b) die digitale Forensik, bei welcher Daten beweisfähig gesichert und analysiert werden.

 

Bei der Datenrettung kommt es in der Regel darauf an, von defekten Datenträgern oder oder irrtümlich gelöschten Dateien Daten wiederherzustellen.

Dies können Daten von USB-Sticks genauso sein wie von eingebauten oder externen Festplatten bis hin zu Raid-Systemen.

Ich biete Datenrettungen von physisch unzerstörten Datenträgern an, für eine fachgerechte Untersuchung von per Brand, mechanischen Einwirkungen etc. beschädigten Datenträgern fehlt mir leider die entsprechende Umgebung.

 

Bei der IT-Forensik werden verdächtige Vorfälle im Zusammenhang mit IT-Systemen untersucht und digitale Spuren erfasst, analysiert und ausgewertet.

Hierbei werden in der Regel Datenträger in Form von Festplatten, USB-Sticks etc., aber auch Datenströme (z.B. Netzwerkverkehr) untersucht und lückenlos bis zum Abschlussbericht dokumentiert, unter anderem mit Fotos, Screenshots, Hash-Tabellen, Mehr-Augenprinzip (beispielsweise Forensiker, IT-Leiter und Mitglied des Betriebsrates).

Es werden hinterlassene digitale Spuren und Beweise identifiziert, lokalisiert und gesichert.

Die IT-forensische Analyse und Auswertung von Medien umfasst zum Beispiel:

  • Erfolgte Datei-Downloads (zum Beispiel via E-Mail, Skype oder Internetbrowser)
  • Ausgeführte Programme (zum Beispiel wann zuletzt ausgeführt)
  • Erfolgte Dateizugriffe (zum Beispiel letzter Zugriff)
  • Gelöschte Dateien (zum Beispiel Uhrzeit, Dateipfad oder Dateiname)
  • Externe Gerätenutzung (wie Anschluss von USB-Sticks, Nutzer des Gerätes)
  • Detaillierte Systemnutzungen (wie [fehlgeschlagene] Log-Ons, letzter Passwortwechsel)
  • Browsernutzung (zum Beispiel Datum und Uhrzeit, Frequenz besuchter Seiten)

Ein wesentliches Ziel ist hierbei die Gerichtsfestigkeit der Beweismittel und der folgenden Aktivitäten, um die gefundenen Spuren bei einem eventuellen Rechtsstreit verwerten zu können, als Vorbereitung auf die gerichtliche Beweisaufnahme, Aussage oder Verhandlung.

Um Befangenheit interner Fachkräfte auszuschliessen, sollte bei Vorfällen, in denen ein Rechtsstreit zu erwarten ist, ein externer Forensiker beauftragt werden.