Gerade die Digitale Forensik erfordert ein Höchstmaß an Genauigkeit im Umgang mit den zu untersuchenden Daten. Die Inhalte der Original-Datenträger dürfen in keiner Weise verändert werden, da sie nur dann als Beweismittel ihre Authentizität behalten.
Aus diesem Grund werden, soweit es technisch möglich ist, die Daten stets auf physischer Ebene, also als einfacher Strom von Bytes, ausgelesen und mit Prüfsummen versehen. Diese Prüfsummen erlauben es, jederzeit die exakte Übereinstimmung der kopierten Daten mit den ausgelesenen Originaldaten zu belegen.
MD5-Hash der Originaldaten: 7e716d0e702df0505fc72e2b89467910
MD5-Hash der Kopie: 7e716d0e702df0505fc72e2b89467910
=> Kopierte Daten entsprechen exakt den Originaldaten!
Alle weiteren Auswertungsschritte erfolgen ausschließlich an den kopierten Daten.
Mittels forensischer Spezialsoftware (z. B. EnCase Forensic© oder AccessData Forensic Toolkit©) ist es möglich, die Strukturen in den kopierten Daten zu erkennen und entsprechend zu interpretieren. Dabei können weit mehr Informationen aus den Dateisystemdaten extrahiert werden, als für einen normalen Rechnerbenutzer je sichtbar sind. Und dadurch ist es möglich, vermeintlich gelöschte Dateien wiederherzustellen, Zugriffszeitpunkte auf bestimmte Dateien zu ermitteln oder auch automatisch vom Betriebssystem erstellte Daten auszulesen (z. B. Miniaturvoransichtsbilder in Thumbs.db-Dateien).
Zu den Informationen vorzudringen, ist ein wichtiger Bestandteil des Bereichs Digitaler Forensik. Weitere bedeutende Aspekte stellen die Dokumentation und schlüssige Aufbereitung der ermittelten Zusammenhänge dar. Erst dadurch wird aus einem Wust an Informationen eine Spur und letztendlich ein Beweis.
Gerade diese Bewertung und Strukturierung der Funde erfordert viel Erfahrung und technisches Know-How, die wir über Jahre der forensischen Tätigkeit erworben haben und nun auch Ihnen gerne zur Verfügung stellen.