Forensiktipp für Privatkunden vom Geschäftsführer
Sicherheit beginnt mit Vorsorge. Datenrettung Swiss empfiehlt, private Systeme regelmäßig zu sichern und besonders bei Online-Angriffen oder unerlaubten Zugriffen schnell zu handeln. Wir helfen mit strukturierter Datensicherung und Analyse – vertrauensvoll und kompetent.
Wichtige Informationen
Was tun bei vermutetem Zugriff auf mein Gerät?
Ein häufig gemachter Fehler: Das Gerät wird formatiert, ohne vorher zu analysieren, wie der Zugriff erfolgte. Damit gehen nicht nur Beweise verloren – die Schwachstelle bleibt bestehen. Unsere Empfehlung: Lassen Sie das Gerät aus, nichts verändern, und holen Sie professionelle Unterstützung. Nur so lässt sich sicherstellen, dass sich der Vorfall nicht wiederholt.
Zur Klärung eines Vorfalls helfen diese vier einfachen Fragen:
- Was ist genau geschehen?
- Wie konnte es passieren?
- Was hat den Zugriff ermöglicht?
- Wer war beteiligt oder verdächtig?
Laien sollten auf eigene Eingriffe verzichten. Stattdessen sollte ein digitaler Forensiker kontaktiert werden. Nur so lassen sich Spuren sichern. Ist das Gerät noch eingeschaltet, darf es nicht mehr verwendet werden – auch kein Klick, kein Neustart.
Bei Verdacht auf einen Angriff im Heimnetz sollte das betroffene Gerät sofort offline genommen werden – entweder per Netzwerkkabel oder durch Trennung vom WLAN.
Erstellen Sie idealerweise Fotos vom Gerät (Rückseite, Anschlüsse, Bildschirm). Ist das Gerät bereits ausgeschaltet, lassen Sie es so – und kontaktieren Sie Fachleute. Jede Eigenmaßnahme kann Beweise vernichten.
Bei einer forensischen Untersuchung ist es entscheidend, ob das Gerät eingeschaltet („lebend“) ist. In diesem Fall sichern wir zuerst den Arbeitsspeicher, da dieser wichtige Hinweise auf Prozesse, Sitzungen und Verbindungen liefert – Daten, die beim Ausschalten verloren wären.
Danach erfolgt die gerichtsfeste Kopie der Festplatte. Diese wird vollständig und unverändert gesichert, mit nachvollziehbarer Dokumentation. Nur so lässt sich der Zustand rechtssicher analysieren.
Bei der Analyse eines Systems liefert der Arbeitsspeicher erste Hinweise auf laufende Programme und Aktivitäten. Danach erstellt man aus dem Festplattenabbild eine sogenannte Timeline, welche die chronologische Entwicklung der Dateizugriffe dokumentiert.
Diese Zeitleiste zeigt auf, wann welche Datei geöffnet, verändert oder gelöscht wurde. Auch Änderungen an Datei-Attributen und Zugriffsrechten werden nachvollziehbar erfasst – ein Schlüssel für digitale Spurensicherung.
Dateien speichern typischerweise drei bis vier Zeitwerte – je nach System: Erstellzeit, letzter Zugriff, letzte Änderung sowie ggf. Änderungen am Metadatenblock.
- Zugriff auf persönliche Dateien
- Veränderung von Inhalten
- Änderung von Dateiattributen
- Erstellung der Datei
Über die Timeline lassen sich systematische Abläufe rekonstruieren. Besonders bei Verdacht auf Fremdzugriffe ist sie ein wichtiges Instrument. In Kombination mit Registry-Auswertungen oder Prefetch-Dateien entsteht ein umfassendes Bild der Geschehnisse.
Wie aufwändig ist eine private IT-forensische Untersuchung?
Je nach Umfang der Daten und Art des Vorfalls kann der Aufwand variieren. Wir benötigen eine möglichst genaue Beschreibung, um Ihnen ein realistisches Angebot zu erstellen.
Sollte ich das Gerät ausschalten, wenn ich einen Angriff vermute?
Besser nicht! Viele Hinweise auf eine Infektion befinden sich im Arbeitsspeicher. Wird das Gerät ausgeschaltet, gehen diese verloren. Daher empfiehlt sich: Gerät belassen, wie es ist – und durch Fachleute analysieren lassen.
Was ist ein „lebendes“ Computersystem?
Ein System ist „lebend“, wenn es eingeschaltet ist und Daten im RAM hält. Nur dann lassen sich flüchtige Informationen sichern. Diese Methode ist seit den frühen 2000ern fixer Bestandteil der IT-Forensik – auch in der Schweiz.
In der IT-Forensik wird nach Flüchtigkeit der Daten gesichert. Der RAM steht an erster Stelle, da seine Inhalte bei einem Neustart verloren gehen. Danach folgen aktive Speicher, zuletzt externe oder abgeschaltete Medien.
Zwei bekannte Fälle zeigen die Bedeutung: Stuxnet (2010) und Conficker (2008–2010). Beide Schadprogramme konnten durch RAM-Auswertung erkannt werden. Auch im privaten Bereich kann RAM-Analyse entscheidende Hinweise liefern.