Beweismittelerfassung
Was ist Beweismittelerfassung?
BeweismittelerfassungBelastbare Erhebung digitaler Beweise aus Systemen, Netzwerken und Cloud-Diensten mithilfe forensisch fundierter Werkzeuge und Verfahren.
Die Erfassung ist der formale Schritt einer digitalen Untersuchung, in dem Daten zur späteren Auswertung gesichert werden. Übliche Ziele sind physische Datenträger, virtuelle Disks, RAM, Mobilgeräte, Cloud-Workloads und Netzwerkmitschnitte. Sie kann physisch (Bit-zu-Bit-Image mit FTK Imager, dd oder Guymager), logisch (auf Dateiebene mit KAPE oder Velociraptor) oder live (flüchtige Daten mit WinPmem, LiME oder Magnet RAM Capture) erfolgen. Fachleute hashen bei der Erfassung, nutzen vorzugsweise Hardware-Write-Blocker, arbeiten an Kopien und dokumentieren jeden Schritt in der Chain of Custody. NIST SP 800-86 und ISO/IEC 27037 betonen die Reihenfolge der Flüchtigkeit und minimale Eingriffe an der Quelle.
● Beispiele
- 01
Erstellen eines Bit-zu-Bit-Image einer 1-TB-SSD mit Guymager über einen Hardware-Write-Blocker.
- 02
Abruf der Microsoft 365 Unified Audit Logs via Graph-API zur Sicherung der Cloud-Aktivität.
● Häufige Fragen
Was ist Beweismittelerfassung?
Belastbare Erhebung digitaler Beweise aus Systemen, Netzwerken und Cloud-Diensten mithilfe forensisch fundierter Werkzeuge und Verfahren. Es gehört zur Kategorie Forensik und Incident Response der Cybersicherheit.
Was bedeutet Beweismittelerfassung?
Belastbare Erhebung digitaler Beweise aus Systemen, Netzwerken und Cloud-Diensten mithilfe forensisch fundierter Werkzeuge und Verfahren.
Wie schützt man sich gegen Beweismittelerfassung?
Schutzmaßnahmen gegen Beweismittelerfassung kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für Beweismittelerfassung?
Übliche alternative Bezeichnungen: Beweissicherung, Forensische Erfassung.