Hintergrund: Grundlegende Arten der IT-Forensik

Bei der IT-Forensik lassen sich zwei grundlegende Varianten unterscheiden: die Post-mortem-Analyse – auch als Offline-Forensik bezeichnet – und die Live-Analyse, bekannt auch unter den Begriffen Online-Forensik oder Incident Response. Die Post-mortem-Analyse untersucht ein ausgeschaltetes und gesichertes System. Der Sicherheitsvorfall muss noch nicht abgeschlossen sein. Dazu untersucht der IT-Forensiker unter anderem das Image eines Speichermediums auf nicht-flüchtige Spuren in einem vorgegebenen Zeitraum des Sicherheitsvorfalls. Die Suche konzentriert sich dabei unter anderem auf gelöschte, umbenannte sowie versteckte und verschlüsselte Daten auf Storage-Systemen. Im Mittelpunkt der Live-Forensik steht die Erfassung und Untersuchung flüchtiger Daten wie beispielsweise Hauptspeicherinhalt, Informationen über bestehende Netzwerkverbindungen und gestartete Prozesse.