Digitale Spuren sind die Fingerabdrücke unserer Zeit. Sie entstehen überall – auf Laptops, Servern, Smartphones, in Clouds oder Messsystemen. Doch wer sie sichern will, steht oft unter Druck: Der Rechner läuft noch, der Mandant drängt, und irgendjemand ruft schon nach „Beweisen“. Genau hier trennt sich Routine von Risiko: In der IT-Forensik entscheidet die erste Stunde über den Beweiswert.
Integrität vor Geschwindigkeit
Der wichtigste Grundsatz lautet: zuerst sichern, dann analysieren. Wer in laufende Systeme hineinklickt, verändert Spuren. Betriebssysteme schreiben Logdateien fort, Programme aktualisieren Metadaten, Cloud-Synchronisationen löschen vielleicht den entscheidenden Eintrag.
Deshalb gilt: Isolieren statt ausschalten. Geräte vom Netz trennen, WLAN und Mobilfunk deaktivieren, aber nicht gleich den Stecker ziehen. Danach dokumentieren – Uhrzeit, Zustand, beteiligte Personen, sichtbare Inhalte. Und vor allem: nichts verändern, bis die Beweissicherung abgeschlossen ist.
Bit für Bit statt Copy & Paste
Ein forensisches Abbild ist keine simple Dateikopie. Es ist eine Bit-für-Bit-Kopie des gesamten Datenträgers – inklusive gelöschter Bereiche und unzugewiesener Speichersegmente. Das geschieht ausschließlich „read-only“ über einen sogenannten Write-Blocker. Jede Kopie erhält Prüfsummen (z. B. SHA-256-Hash), um ihre Integrität zu belegen.
Nur so ist später nachweisbar, dass nichts verändert wurde. Dazu kommen signierte Sicherungsprotokolle mit Angaben zu Gerät, Methode, Tool-Version und Hashwerten.
Lückenlose Beweismittelkette
Die Chain of Custody – also die Kette der Besitz- und Zustandsnachweise – ist das Rückgrat jedes IT-forensischen Gutachtens. Wer wann welches Medium übergeben, transportiert, geöffnet oder ausgewertet hat, muss dokumentiert sein. Jeder Bruch in dieser Kette kann den Beweiswert schmälern.
Ein einfaches Formular mit Zeit, Ort, Personen, Zweck und Siegelnummer reicht – wichtig ist nur: lückenlos und nachvollziehbar.
Von Rohdaten zur Geschichte
Am Ende steht nicht der Datensatz, sondern die Erzählung: Was ist wann, wie, auf welchem System passiert?
Dazu führen Sachverständige Daten aus vier Perspektiven zusammen:
- Gerätesicht: Dateisysteme, Registry, Browser-Verläufe, Downloads
- Anwendungssicht: Chat-Verläufe, Maildatenbanken, Kollaborationstools
- Systemsicht: Ereignisprotokolle, Logins, Updates
- Netzwerksicht: DHCP-Leases, Firewall-Logs, VPN-Sessions
Das Ergebnis ist eine Zeitlinie, die technische Ereignisse in eine verständliche Reihenfolge bringt – und genau das überzeugt vor Gericht.
Artefakte mit Aussagekraft
Digitale Spuren brauchen Kontext. Eine E-Mail ist nur dann beweiskräftig, wenn Header und Serverlogs stimmen. Chat-Protokolle entfalten nur Wirkung, wenn Metadaten wie Zeit und Absender belegt sind. Und bei Fotos oder Videos sind EXIF-Daten (Zeit, Gerät, GPS) entscheidend – aber mit Vorsicht zu genießen, da viele Plattformen sie automatisch verändern.
Datenschutz: So viel wie nötig, so wenig wie möglich
IT-Forensik heißt auch Datenverantwortung. Sachverständige dürfen nur das sichern, was für die jeweilige Fragestellung notwendig ist. Private Datenbereiche – etwa bei BYOD-Geräten – müssen getrennt und geschützt bleiben. Löschfristen, Zugriffsrechte und Pseudonymisierung gehören dokumentiert.
Typische Fehler – und wie man sie vermeidet
- „Nur mal kurz schauen“: Live-Zugriffe zerstören Beweise.
- Falsche Zeitzone: Sommerzeit und Uhrabweichungen korrigieren.
- Dateikopie statt Image: Gelöschte Daten gehen verloren.
- Kein Hashwert: Ohne Prüfsumme keine Integrität.
- Unbekannte Tool-Versionen: Alles dokumentieren, auch Parameter.
Drei Fälle aus der Praxis
- Ransomware im Mittelstand: Erst das Netzwerk trennen, dann Images sichern. So lassen sich saubere Wiederherstellungspunkte definieren – und Beweise für spätere Ermittlungen.
- Streit um eine E-Mail-Freigabe: Header-Analyse und Hashprüfung entlarven ein weitergeleitetes Fragment – der entscheidende Punkt im Prozess.
- Privates Smartphone im Arbeitskontext: Logische Sicherung nur des betroffenen App-Containers; private Daten bleiben tabu.
Fazit: Methodik schlägt Technik
IT-Forensik ist kein Wettlauf um die neueste Software, sondern ein Handwerk. Wer strukturiert sichert, sauber dokumentiert und klar formuliert, liefert Beweise, die vor Gericht bestehen – und das Vertrauen seiner Auftraggeber rechtfertigen.
Denn am Ende zählt nicht, welches Tool man nutzt – sondern wie verlässlich man arbeitet.
Alles Gute weiterhin wünscht: der DGuSV!