Das Gebiet der computerforensischen Untersuchungen wächst, zumal Strafverfolgungsbehörden und juristische Personen erkennen, wie wertvoll Fachleute der Informationstechnologie (IT) sind, wenn es um Ermittlungsverfahren geht. Mit dem Aufkommen der Cyberkriminalität ist die Verfolgung böswilliger Online-Aktivitäten für den Schutz von Privatpersonen sowie für die Wahrung des Online-Betriebs in den Bereichen öffentliche Sicherheit, nationale Sicherheit, Regierung und Strafverfolgung von entscheidender Bedeutung. Die Verfolgung digitaler Aktivitäten ermöglicht es Ermittlern, Cyber-Kommunikation und digital gespeicherte Informationen mit physischen Beweisen für kriminelle Aktivitäten zu verbinden; Computerforensik ermöglicht es Ermittlern auch, vorsätzliche kriminelle Absichten aufzudecken und kann bei der Prävention zukünftiger Cyber-Verbrechen helfen. Für diejenigen, die auf diesem Gebiet arbeiten, gibt es fünf kritische Schritte in der Computerforensik, die alle zu einer gründlichen und aufschlussreichen Untersuchung beitragen.
Entwicklung von Richtlinien und Verfahren
Unabhängig davon, ob es sich um böswillige Cyberaktivitäten, kriminelle Verschwörungen oder die Absicht handelt, ein Verbrechen zu begehen, können digitale Beweise heikel und hochsensibel sein. Cybersicherheitsexperten verstehen den Wert dieser Informationen und respektieren die Tatsache, dass sie leicht kompromittiert werden können, wenn sie nicht ordnungsgemäß behandelt und geschützt werden. Aus diesem Grund ist es wichtig, strenge Richtlinien und Verfahren für Aktivitäten im Zusammenhang mit computerforensischen Untersuchungen festzulegen und zu befolgen. Solche Verfahren können detaillierte Anweisungen dazu enthalten, wann Computerforensiker befugt sind, potenzielle digitale Beweise wiederherzustellen, wie Systeme für die Beweisaufnahme ordnungsgemäß vorbereitet werden, wo abgerufene Beweise gespeichert werden und wie diese Aktivitäten dokumentiert werden, um die Authentizität der Daten sicherzustellen.
Strafverfolgungsbehörden sind zunehmend auf ausgewiesene IT-Abteilungen angewiesen, die von erfahrenen Cybersicherheitsexperten besetzt sind, die geeignete Ermittlungsprotokolle festlegen und strenge Schulungsprogramme entwickeln, um sicherzustellen, dass Best Practices verantwortungsbewusst befolgt werden. Neben der Festlegung strenger Verfahren für forensische Prozesse müssen Cybersicherheitsabteilungen auch Governance-Regeln für alle anderen digitalen Aktivitäten innerhalb einer Organisation festlegen. Dies ist wichtig, um die Dateninfrastruktur von Strafverfolgungsbehörden sowie anderen Organisationen zu schützen.
Ein integraler Bestandteil der Ermittlungsrichtlinien und -verfahren für Strafverfolgungsbehörden, die computerforensische Abteilungen einsetzen, ist die Kodifizierung einer Reihe explizit festgelegter Maßnahmen in Bezug darauf, was Beweise darstellt, wo nach diesen Beweisen gesucht werden muss und wie damit umzugehen ist, sobald sie abgerufen wurden. Vor jeder digitalen Untersuchung müssen geeignete Schritte unternommen werden, um die Details des vorliegenden Falls zu bestimmen und alle zulässigen Ermittlungsmaßnahmen in Bezug auf den Fall zu verstehen.
Evidence Assessment
Eine Schlüsselkomponente des Ermittlungsprozesses ist die Bewertung potenzieller Beweise bei einer Cyberkriminalität. Von zentraler Bedeutung für die effektive Bearbeitung von Beweismitteln ist ein klares Verständnis der Details des vorliegenden Falls und damit der Klassifizierung der betreffenden Cyberkriminalität. Zum Beispiel, wenn eine Agentur versucht zu beweisen, dass eine Person Verbrechen im Zusammenhang mit Identitätsdiebstahl begangen hat, verwenden Computer-Forensik-Ermittler ausgeklügelte Methoden, um Festplatten, E-Mail-Konten, Social-Networking-Sites und andere digitale Archive zu durchsuchen, um alle Informationen abzurufen und zu bewerten, die als brauchbare Beweise für das Verbrechen dienen können. Dies gilt natürlich auch für andere Straftaten, z. B. für kriminelles Online-Verhalten wie das Posten gefälschter Produkte bei eBay oder Craigslist, um Opfer zum Teilen von Kreditkarteninformationen zu verleiten. Vor der Durchführung einer Untersuchung muss der Ermittler die Arten der gesuchten Beweise (einschließlich spezifischer Plattformen und Datenformate) definieren und ein klares Verständnis dafür haben, wie relevante Daten aufbewahrt werden können. Der Ermittler muss dann die Quelle und Integrität dieser Daten bestimmen, bevor er sie in Beweise einbezieht.
Beweiserfassung
Die vielleicht kritischste Facette einer erfolgreichen computerforensischen Untersuchung ist ein strenger, detaillierter Plan zur Beweiserfassung. Detaillierte Informationen müssen aufgezeichnet und aufbewahrt werden, einschließlich aller Hardware- und Softwarespezifikationen, aller im Untersuchungsprozess verwendeten Systeme und der zu untersuchenden Systeme. In diesem Schritt sind Richtlinien zur Wahrung der Integrität potenzieller Beweise am besten anwendbar. Zu den allgemeinen Richtlinien für die Aufbewahrung von Beweismitteln gehören das physische Entfernen von Speichergeräten, die Verwendung kontrollierter Boot-Discs zum Abrufen sensibler Daten und die Gewährleistung der Funktionalität sowie das Ergreifen geeigneter Schritte zum Kopieren und Übertragen von Beweismitteln auf das System des Ermittlers.
Der Erwerb von Beweisen muss sowohl absichtlich als auch legal erfolgen. Die Fähigkeit, die Beweiskette zu dokumentieren und zu authentifizieren, ist bei der Verfolgung eines Gerichtsverfahrens von entscheidender Bedeutung, und dies gilt insbesondere für die Computerforensik angesichts der Komplexität der meisten Cybersicherheitsfälle.
Beweisprüfung
Um potenzielle Beweismittel wirksam untersuchen zu können, müssen Verfahren zum Abrufen, Kopieren und Speichern von Beweismitteln in geeigneten Datenbanken vorhanden sein. Ermittler untersuchen in der Regel Daten aus bestimmten Archiven, mit einer Vielzahl von Methoden und Ansätzen zur Analyse von Informationen; Dazu gehören die Verwendung von Analysesoftware zur Suche in massiven Datenarchiven nach bestimmten Schlüsselwörtern oder Dateitypen sowie Verfahren zum Abrufen von Dateien, die kürzlich gelöscht wurden. Daten, die mit Zeiten und Daten versehen sind, sind für Ermittler besonders nützlich, ebenso wie verdächtige Dateien oder Programme, die verschlüsselt oder absichtlich versteckt wurden.
Die Analyse von Dateinamen ist ebenfalls nützlich, da sie bestimmen kann, wann und wo bestimmte Daten erstellt, heruntergeladen oder hochgeladen wurden, und Ermittlern dabei helfen kann, Dateien auf Speichergeräten mit Online-Datenübertragungen zu verbinden (z. B. cloudbasierter Speicher, E-Mail oder andere Internetkommunikation). Dies kann auch in umgekehrter Reihenfolge funktionieren, da Dateinamen normalerweise das Verzeichnis angeben, in dem sie sich befinden. Dateien, die sich online oder auf anderen Systemen befinden, weisen häufig auf den spezifischen Server und Computer hin, von dem sie hochgeladen wurden, und geben den Ermittlern Hinweise darauf, wo sich das System befindet; Der Abgleich von Online-Dateinamen mit einem Verzeichnis auf der Festplatte eines Verdächtigen ist eine Möglichkeit, digitale Beweise zu überprüfen. In diesem Stadium arbeiten computerforensische Ermittler eng mit Kriminalbeamten, Anwälten und anderem qualifizierten Personal zusammen, um ein gründliches Verständnis der Nuancen des Falls, der zulässigen Ermittlungsmaßnahmen und der Arten von Informationen zu gewährleisten, die als Beweismittel dienen können.
Dokumentieren und Melden
Zusätzlich zur vollständigen Dokumentation von Informationen zu Hardware- und Softwarespezifikationen müssen Computerforensiker alle Aktivitäten im Zusammenhang mit der Untersuchung genau aufzeichnen, einschließlich aller Methoden zum Testen der Systemfunktionalität und zum Abrufen, Kopieren und Speichern von Daten sowie aller Maßnahmen zum Erfassen, Untersuchen und Bewerten von Beweisen. Dies zeigt nicht nur, wie die Integrität der Benutzerdaten gewahrt wurde, sondern stellt auch sicher, dass alle Parteien angemessene Richtlinien und Verfahren einhalten. Da der Zweck des gesamten Prozesses darin besteht, Daten zu erfassen, die vor Gericht als Beweismittel vorgelegt werden können, kann das Versäumnis eines Ermittlers, seinen Prozess genau zu dokumentieren, die Gültigkeit dieser Beweise und letztendlich den Fall selbst beeinträchtigen.
Für computerforensische Ermittler sollten alle Aktionen im Zusammenhang mit einem bestimmten Fall in einem digitalen Format erfasst und in ordnungsgemäß ausgewiesenen Archiven gespeichert werden. Dies trägt dazu bei, die Authentizität aller Ergebnisse sicherzustellen, indem diese Cybersicherheitsexperten genau zeigen können, wann, wo und wie Beweise wiederhergestellt wurden. Außerdem können Experten die Gültigkeit von Beweisen bestätigen, indem sie die digital aufgezeichneten Unterlagen des Ermittlers mit den Daten und Uhrzeiten abgleichen, zu denen potenzielle Verdächtige über externe Quellen auf diese Daten zugegriffen haben.
Cybersicherheitsexperten in dieser entscheidenden Rolle helfen Regierungen und Strafverfolgungsbehörden, Unternehmen und Privatpersonen heute mehr denn je, ihre Fähigkeit zu verbessern, verschiedene Arten krimineller Online-Aktivitäten zu untersuchen und einer wachsenden Anzahl von Cyberbedrohungen direkt zu begegnen. IT-Experten, die computerforensische Untersuchungen durchführen, haben die Aufgabe, spezifische Cybersicherheitsbedürfnisse zu ermitteln und Ressourcen effektiv zuzuweisen, um Cyberbedrohungen anzugehen und Täter zu verfolgen. Ein Master-Abschluss in Cybersecurity hat zahlreiche praktische Anwendungen, die IT-Profis mit einem starken Verständnis der Computerforensik und Praktiken für die Aufrechterhaltung der Chain of Custody bei der Dokumentation digitaler Beweise ausstatten können. Einzelpersonen mit dem Talent und der Ausbildung, zum von computerforensischen Untersuchungen erfolgreich zu handhaben können sich in einer in hohem Grade vorteilhaften Position innerhalb eines dynamischen Karrierefeldes finden.
Erfahren Sie mehr
Als älteste private Militärhochschule des Landes ist die Norwich University seit 1819 führend in innovativer Bildung. Durch seine Online-Programme liefert Norwich relevante und anwendbare Lehrpläne, die es seinen Schülern ermöglichen, einen positiven Einfluss auf ihre Arbeitsplätze und ihre Gemeinden zu nehmen.
An der Norwich University erweitern wir eine Tradition wertebasierter Bildung, in der strukturierte, disziplinierte und strenge Studien eine herausfordernde und lohnende Erfahrung schaffen. Online-Programme wie der Master of Science in Cybersecurity haben unser umfassendes Curriculum mehr Studenten als je zuvor zur Verfügung gestellt.
Die Norwich University wurde von der National Security Agency und dem Department of Homeland Security als Zentrum für akademische Exzellenz in der Cyber Defense Education ausgezeichnet. Durch Ihr Programm können Sie aus fünf Konzentrationen wählen, die einzigartig entwickelt wurden, um eine eingehende Untersuchung der Richtlinien, Verfahren und der Gesamtstruktur eines Informationssicherungsprogramms zu ermöglichen.
Recommended Readings:
Identitätsdiebstahl in den Vereinigten Staaten
5 signifikante Datenschutzverletzungen von 2017 & Wie sie passiert sind
Deep Web Crime erfordert neue forensische Ansätze