Disk-Forensik/ Richtlinien/ Dokumentation
Wenn Daten untersucht werden, muss immer ein Protokoll geführt werden. Dies dient zur eigenen Absicherung, aber auch zur Nachvollziehbarkeit der Untersuchungen. Wie auch in anderen Bereichen der IT ist anzunehmen, dass Tätigkeiten, die nicht sofort dokumentiert werden, niemals erfasst werden. Bei der Sicherung flüchtiger Daten am laufenden System, ist es sinnvoll, dies unter vier Augen vorzunehmen. Die die zweite Person kann dann bestätigen, dass man bei der Sicherung der Daten korrekt vorgegangen ist. Das Vier-Augen-Prinzip dient in erster Linie zur Vermeidung von Fehlern.
Protokolle sind vor allem deshalb wichtig, weil Gerichtsverhandlungen oft sehr lange nach dem Einbruch auf ein IT-System geführt werden. Durch den langen zeitlichen Rahmen ist es oft unmöglich, sich an alle Details zu erinnern, wenn man als Zeuge geladen wird. Auch wenn derjenige, der die forensischen Untersuchungen geführt hat nicht mehr zu erreichen ist (Urlaub, Krankheit, Tod), sind Protokolle nützlich.
Das Protokoll sollte möglichst viele der nachfolgenden Informationen enthalten (sinngemäß aus geschonneck S. 209-210).
- Person oder Personengruppe, die den Vorfall erkannt und gemeldet hat
- Uhrzeit der Meldung
- Genauer Wortlaut der Meldung
- Namen aller Personen und Organisationen, die die Ermittlung durchführen
- Leiter der Ermittlung
- Bezeichnung des Vorgangs, Aktenzeichen oder Ähnliches
- Grund für die Ermittlung
- Liste aller Systeme, Geräte und Anwendungen, die durch die Ermittlung betroffen sind
- Liste der laufenden Anwendungen und Prozesse
- Liste mit verantwortlichen Administratoren
- Detaillierte Liste der Schritte, die unternommen wurden, um Beweise zu finden, zu analysieren und zu sichern
- Übersicht der Personen, die Zugang zu den gesammelten Beweisen hatten (inkl. Zeitpunkt des Zugangs)
Mit diesen Informationen ist es möglich, im Nachhinein alle relevanten Schritte der Untersuchung nach zu vollziehen.