In der heutigen Vorlesung besprechen wir Vorgehens- bzw. Prozessmodelle. Modelle haben die Erleichterung und Strukturierung einer IT-forensischen Untersuchung durch Aufteilung in logisch zusammenhängende Untersuchungsabschnitte als Ziel. Das Beachten eines solchen Modells hat den Vorteil der vereinfachten Uberprüfung von zu erreichenden Zielen. Die Quelle hierzu ist der BSI Leitfaden „IT-Forensik“ (Link).
| Skript-Anfang | Kapitel 6 – Seite 1 |
|---|---|
| Skript-Ende | Kapitel 6 – Seite 17 |
Überschrift
Wie ist das BSI-Vorgehensmodell aufgebaut?
Es handelt sich bei dieser Abbildung um die Vereinigung aus Vorgehensmodell und forensischer Datenquelle. Im ursprünglichen Vorgehensmodell steht im Zentrum die Dokumentationsfunktion (DO). Beide Modelle haben ihre Richtigkeit. In dieser Version liegt die Emphase auf der Notwendigkeit der Forensischen Datenquelle (FD), deren Daten zunächst extrahiert werden können müssen.
Wo ist der Unterschied zwischen den Phasen Untersuchung und Datenanalyse?
An die Datensammlung schließt sich die Untersuchung an. Die Aufgabe dieses Arbeitsschrittes ist es, aus den nun gesammelten Datenquellen für die Untersuchung interessante Daten zu extrahieren. Dies schließt auch die „Übersetzung“ von Daten in andere Formate ein, wie beispielsweise das Entpacken von Archiven oder das Einbinden eines Festplattenabbildes der zu untersuchenden IT-Komponente.BSI Leitfaden „IT-Forensik“, Seite 90
In den meisten Fällen ist eine weitergehende Analyse der einzelnen Untersuchungsergebnisse notwendig. In diesem Abschnitt könnte es zum Beispiel dazu kommen, dass zwei zuvor extrahierte Log-Abschnitte korreliert werden, um einen gemeinsamen Zeitstrahl zu ermitteln. Generell finden in diesem Abschnitt Methoden Anwendung, die mehrere Datenquellen zueinander ins Verhältnis setzen.BSI Leitfaden „IT-Forensik“, Seite 91