Ergebnisse von IT-Forensik müssen reproduzierbar sein

Björn Schemberger vom Stuttgarter Landeskriminalamt betonte, dass es im Bereich der IT-Forensik vor allem auf eine gerichtsverwertbare Dokumentation der vorgenommenen Analysen ankomme. (Foto: BS/Dombrowsky)

IT-Forensiker kommen in zahlreichen unterschiedlichen Feldern zum Einsatz. So wird etwa auf ihre Dienste zurückgegriffen, wenn es darum geht, Fälle von Datenabfluss oder -verlust aufzuklären. Gleiches gilt für die Bereiche Datenveränderung sowie den Missbrauch von Infrastruktur. Entscheidend sei dabei, eine gerichtsverwertbare Beweisführung sicherzustellen.

Das machte Björn Schemberger, Leiter der IT-Forensik im baden-württembergischen Landeskriminalamt (LKA) auf der diesjährigen PITS des Behörden Spiegel deutlich. Zudem komme es bei derartigen Analysen, die grundsätzlich auf Kopien des jeweiligen Asservats stattfänden, darauf an, dass ihre Resultate exakt dokumentiert würden und reproduzierbar seien. Dies gelte insbesondere für Live-Analysen, bei denen das Beweismittel auch noch verändert werde.

Verschiedene Experten notwendig

Grundsätzlich hielt Schemberger, der bereits seit elf Jahren beim LKA tätig ist, fest: „Die Computer-Forensik ist die Pathologie der IT.“ Und noch etwas unterstrich der Vertreter aus Stuttgart: „Es gibt nicht den Forensiker.“ Vielmehr benötigten die Behörden Teams aus verschiedenen Spezialisten, die sich darüber hinaus ständig weiterbilden müssten. Denn: „Jeder Forensik-Prozess verfolgt jeweils ein individuelles Ziel.“