Definition

Forensisches Abbild

Forensischer Abbilder oder forensischer Kopien umfassen nicht nur alle für das Betriebssystem sichtbaren Dateien, sondern auch gelöschte Dateien und Teile von Dateien, die im ungenutzten Speicherbereich (Slack Space) oder freien Speicherplatz verbleiben. Nach einem Sicherheitsvorfall ist es von großer Bedeutung, etwaige Beweise sicher zu stellen.

Das Anfertigen forensischer Abbilder ist ein wichtiger Bestandteil der Computerforensik. In der Forensik geht es um computergestützte Untersuchungs- und Analysetechniken, um Beweise sicher zu stellen, die im Falle eines Falles auch vor Gericht verwendet werden können.

Nicht jede Imaging- und Backup-Software erstellt forensischer Abbilder. Oftmals werden Image-Sicherungen erstellt, die keine vollständigen Kopien des physischen Datenträgers sind. Sie eignen sich daher nicht für diesen Einsatz. Forensischer Kopien werden üblicher weise mit einer speziellen forensischen Software angefertigt. Einige Disk-Imaging-Tools, die nicht speziell für den forensischen Gebrauch vermarktet werden, sind auch in der Lage vollständige Disk-Images zu erstellen.

Dank einer forensischen Kopie können bei Fällen von Cyberkriminalität Beweise entdeckt werden, die über das Durchforsten auf der Ebene des vorhandenen Client-Betriebssystems hinausgehen. Etwa im Fall von gelöschten oder überschriebenen Daten. Diese können häufig mit forensischer oder spezieller Wiederherstellungssoftware wieder lesbar gemacht werden.

Das Anlegen und Sichern eines forensisches Images trägt dazu bei, Datenverluste, beispielsweise aufgrund von ursprünglichen Laufwerksfehlern, zu verhindern. Der Verlust von Daten als Beweismittel kann die sich auf die entsprechenden zu verhandelnden Fälle auswirken. Das zeitnahe Anlegen eines forensischen Abbildes, gehört daher zu denn ganz elementaren Bausteinen bei einer forensischen Analyse.

Diese Definition wurde zuletzt im Dezember 2020 aktualisiert

Erfahren Sie mehr über Datensicherheit