Disk-Forensik/ Beweismittelanalyse/ Grundlagen der Analyse
Bevor mit einer Analyse begonnen werden kann, muss sichergestellt sein, dass der zu untersuchende Datenträger dem Original oder einer 1:1-Kopie des ursprünglichen Datenträgers entspricht und nicht verändert wurde. Dies lässt sich durch das Errechnen eines aktuellen Hashwertes feststellen. Entspricht der Hashwert eines Images dem Original-Hashwert, kann die Analyse beginnen. Ziel der Analyse ist es, so viele Daten wie möglich zu sammeln um Rückschlüsse auf bestimmte Aktivitäten schließen zu können. Anhand des Zieles kann man sich auf einzelne Bereiche beschränken und es muss nicht alles analysiert werden. Dabei soll nach Abschluss der Analyse beantwortet werden können:
- WER hat
- WAS
- WANN und
- WO gemacht
Da, selbst bei Privatpersonen, Daten von mehreren hundert Gigabyte anfallen können, gestaltet sich die Untersuchung ohne Hilfsmittel von anerkannten Programmen meist als relativ schwierig, da es zeitlich nicht sinnvoll wäre, alle Dateien einzeln zu untersuchen. Eine Analyse kann sich je nach Situation von wenigen Minuten bis hin zu mehreren Wochen ausdehnen. Dies ist stark vom Ermittler und des fachlichen Wissens abhängig sowie von anderen Kriterien (Passworte, Verschlüsselung etc.)