So, es wird an der Zeit, dass ich auch in diesem Blog aus meiner Computer- bwz. IT-forensischen Praxis berichte. Es war diesbezüglich einiges los und ich habe vor allem in Sachen Mobiler IT-Forensik einige frustrierende Erfahrungen gesammelt. Aber das ist ganz normal. Darüber will ich jetzt aber nicht berichten.
So mancher Laie wird sich vielleicht fragen, warum die Preise für die Auswertung von Computern oder großen Datenträgern recht happig erscheinen. Das liegt in 1. Linie daran, dass die Zeiten für das Erstellen eines forensischen Duplikates / Datenträger-Image (einer 1 : 1-Kopie des Festspeichers) des zu untersuchenden Gerätes im Rahmen einer Post-Mortem-Analyse, sehr lang sind. So kann das Erstellen eines Images einer z.B. 1 TB großen Festplatte mit den heute verfügbaren technischen Möglichkeiten durchaus einen ganzen Tag beanspruchen. Damit ist ein Tag gemeint, nicht etwa ein Arbeitstag von 8 Stunden. Nein, Nein, es sind wirklich 24 Stunden gemeint.
Und dann ist immer noch nicht Schluss. Das Image muss ja jetzt noch für die anschließende Analyse aufbereitet werden, z.B. Durchführen einer Dateidatenwiederherstellung, Ausführen komplexer Suchfunktionen, Darstellen von Internet- und Windows-Artefakten, usw. Dafür gehen dann noch einmal viele Stunden drauf. Und all das muss sein, wenn eine computerforensische Untersuchung gerichtsverwertbar sein soll (das ist jedenfalls der Regelfall, es gibt wenige Ausnahmen).
All dies ist natürlich ein großer Aufwand, der auch irgendwie honoriert werden muss. Zudem muss man auch noch bedenken, dass die eingesetzen technischen Methoden und Mittel auch nicht gerade billig sind und ihren (berechtigten) Preis haben. Zudem folgt darauf dann auch noch die eigentliche Analyse des Images und möglicherweise soll auch ein umfassendes schriftliches Gutachten erstellt werden. Da kommen also noch weitere Stunden obendrauf. Wie viele, hängt dann insbesondere vom Schwierigkeitsgrad der gestellten Aufgabe ab.
Bedenken Sie dies bitte, bevor Sie einen Auftrag in Sachen Computer-Forensik erteilen.