Skip to content
Vol. 1 · Ed. 2026
CyberGlossary
Entry № 474

Forensische Imageerstellung

Geprüft vonCybersecurity entrepreneur & security researcher

Was ist Forensische Imageerstellung?

Forensische ImageerstellungBitgenaue Kopie eines Speichermediums, durch kryptografische Hashes verifiziert, zur Analyse und als gerichtsfestes Beweismittel.


Forensische Imageerstellung erzeugt eine exakte Kopie des Quellmediums (Datenträger, Partition, Wechselmedium) inklusive nicht zugeordnetem Speicher und Slack, geschrieben in Container wie EWF/E01, AFF4 oder Raw DD. Das Original ist durch Hardware- oder Software-Write-Blocker geschützt, das Image wird per SHA-256 (oder gepaartem MD5/SHA-1 für Altbestand) verifiziert, sodass jede Änderung erkennbar wäre. Praxis folgt ISO/IEC 27037 und NIST SP 800-86 mit Hashs vor und nach der Sicherung sowie dokumentierten Werkzeugversionen. Übliche Tools: FTK Imager, Guymager, dc3dd, EnCase, X-Ways. Das Image ermöglicht wiederholbare Analyse ohne Veränderung der Quelle.

Beispiele

  1. 01

    E01-Image einer verdächtigen SSD mit FTK Imager hinter einem Tableau-Write-Blocker.

  2. 02

    AFF4-Image eines RAID-Volumes bei einem Vor-Ort-Einsatz.

Häufige Fragen

Was ist Forensische Imageerstellung?

Bitgenaue Kopie eines Speichermediums, durch kryptografische Hashes verifiziert, zur Analyse und als gerichtsfestes Beweismittel. Es gehört zur Kategorie Forensik und Incident Response der Cybersicherheit.

Was bedeutet Forensische Imageerstellung?

Bitgenaue Kopie eines Speichermediums, durch kryptografische Hashes verifiziert, zur Analyse und als gerichtsfestes Beweismittel.

Wie schützt man sich gegen Forensische Imageerstellung?

Schutzmaßnahmen gegen Forensische Imageerstellung kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.

Welche anderen Bezeichnungen gibt es für Forensische Imageerstellung?

Übliche alternative Bezeichnungen: Bitstream-Image, Datenträgerimage.

Verwandte Begriffe

Siehe auch