Dienstleistungen: Beweissicherung
Ziel
Umfangreiche, integre und nachvollziehbare Sammlung und Sicherung von Daten als Grundlage für eine forensische Analyse.
Ausgangslage
Der Kunde stellt uns sämtliche Informationen zum Incident, alle bisher gesammelten Informationen sowie Zugriffe auf die zu untersuchenden Objekte bereit.
Vorgehen
- Vorbereitung: Grundlegende Informationen zum Incident, den betroffenen Komponenten sowie den zu sammelnden Daten werden eingeholt.
- Datensicherung: Die Integrität der Daten sowie der betroffenen Objekte wird vor, während und nach der Datensammlung gewährleistet (z.B. Erstellung von Backup, Arbeit nur mit Kopie).
- Datensammlung: Die Daten werden aus den betroffenen Objekten in sicherer und nachvollziehbarer Weise extrahiert (z.B. ständige Protokollierung, keine invasiven Zugriffe).
Resultat
Der Kunde erhält ein Dokument, welches das Vorgehen der Datensammlung sowie die zusammengetragenen Daten protokolliert. Ebenso werden die extrahierten Daten auf einem Datenträger zur Verfügung gestellt.
Vor-/Nachteile
Eine integre und nachvollziehbare Datensammlung und Spurensicherung ist unabdingbar, um eine effektive forensische Untersuchung durchführen zu können (siehe Forensic Analysis). Das erfolgreiche Umsetzen einer Evidence Collection und Preservation ist jenachdem mit gewissem Aufwand verbunden.
Beispielreferenz
Evidence Collection Insiderhandel: Eine Privatbank ist auf uns zugekommen, da sie den Verdacht gegen einen ihrer Bankmitarbeiter hegte, dass dieser in Insidergeschäfte verwickelt sein könnte. Die beschlagnahmten Geräte – darunter sein Arbeitsplatzrechner (Windows Vista) sowie das vermeintlich durch ihn genutzte Faxgerät – wurde untersucht. Die Sammlung der Beweise sollte zur Bestätigung der Vermutung und dem weiterführenden Einreichen einer Anzeige gegen den Mitarbeiter genutzt werden. Sie hatte deshalb unter strengsten Bedingungen zu erfolgen, um die Beweisbarkeit vor Gericht aufrechterhalten zu können.
