Disk-Forensik/ Beweismittelanalyse/ Notwendigkeit

Aus Wikibooks

Die Notwendigkeit von Analysewerkzeugen ist in den letzten Jahren gestiegen. Ohne diese Werkzeuge wäre eine effiziente und schnelle Untersuchung kaum mehr möglich. Dieses Problem beruht auf mehreren Faktoren.

Datenträger
Datenträger sind heutzutage mehrere hundert GB groß, was eine Untersuchung aufwändig und zeitintensiv macht, bedenkt man, dass vor Jahren nur mehrere MB untersucht werden mussten.
Anzahl der Fälle
Nachdem die zu behandelnden Fälle gestiegen sind und die Dauer pro Untersuchung aufgrund der steigenden Speicherkapazitäten immer länger wurden ist ein Verzicht auf Analysewerkzeuge nahezu undenkbar
Wissen
Ein weiterer Punkt ist meist das fehlende Wissen eines Ermittlers um eine Untersuchung möglichst rasch durchführen zu können, da in jedem Bereich Spezialwissen erforderlich wäre (alle paar Jahre kommt eine neue Windows Version mit neuen betriebssystemspezifischen Eigenschaften, ...). Ein weiterer Punkt sind die verschiedenen Dateisysteme und deren Aufbau, da es für einen Entwickler nur schwer möglich ist, alle Dateisysteme im Datail zu kennen.
juristische Verwertbarkeit
Da Ergebnisse nach einer Untersuchung meist vor Gericht verwertet werden (sofern etwas gefunden wurde) ist die lückenlose Dokumentation durch Hilfe eines Analysewerkzeuges gegeben und ein Bericht kann sehr einfach erstellt werden. Dadurch soll ein Zweifel an der Integrität der Daten beseitigt werden. Es ist darauf zu achten, dass eine unabhängige dritte Person anhand der Dokumentation bei einer Analyse auf dasselbe Ergebnis kommt.