Datenzugang

• Jörg Meyer

Um Daten auszuwerten, muss zunächst Zugang zu diesen bestehen. Das kann ein direkter Zugang zu den Daten im bestandsführenden System sein, die Online-Variante, oder ein Zugang zu einer Datenkopie, wenn sie aktuell genug und vollständig ist. In der Regel besteht der Zugang zu Daten für forensische Zwecke jedoch in der Erstellung eines Datenauszuges, der auf den Systemen der Analysten ausgewertet werden kann. Für die Auswertung auf separaten Systemen, die sogenannte Offline-Auswertung, sprechen eine Reihe von Vorteilen. Zunächst belastet die Auswertung auf separaten Systemen nicht die Rechenlast der produktiven Systeme. Insofern ist es operativ immer vorzuziehen, die Auswertung mit der zusätzlichen Rechenkapazität der Analysesysteme vorzunehmen. Weiterhin vermeidet man mit der Offline-Auswertung auch die Zugangsrestriktionen und weitere Sicherheitsauflagen, die für die Arbeit am produktiven System unerlässlich wären. Aus taktischen Erwägungen heraus möchte der Analyst auch keine nachvollziehbaren Spuren seiner Analysen in den Protokolldateien der Produktivsysteme hinterlassen. Dabei gilt es zu berücksichtigen, dass zum Zeitpunkt der Datenanalyse der Vorgang sicher noch nicht vollständig ausermittelt sein kann und somit unklar ist, ob sich weitere Tatbeteiligte Kenntnis von der Durchführung einer Untersuchung oder gar von Details des Analysefortschritts verschaffen könnten.

Seiten 107 - 115