Digitale Forensik

Digitale forensische Untersuchung

Unsere IT-Forensik-Experten sichern und analysieren digitale Beweismittel unter strikter Einhaltung der Beweiskette, mit einer kostenlosen Diagnose in 3 Stunden. Gerichtsverwertbare Berichte.

Kostenlose Diagnose in 3 Std.
Garantierte Beweiskette
Gerichtsverwertbare Berichte
Absolute Vertraulichkeit
Diagnose kostenlos Kosten schätzen
Kostenlose Diagnose Angebot in weniger als 3 Std. Ihre Daten bleiben in der Schweiz
Support anvertrauen
oder
Kosten online schätzen

Was ist eine digitale forensische Untersuchung?

Die digitale forensische Untersuchung (oder Computer-Forensik) ist die Disziplin der Sammlung, Sicherung und Analyse digitaler Beweismittel in einem rechtlichen oder streitigen Kontext. Sie wird benötigt, wenn digitale Daten als Beweismittel in Gerichtsverfahren, Schiedsverfahren oder internen Untersuchungen dienen müssen.

Seit 2006 hat SOS Data Recovery in Ins (Schweiz) über 11'300 Datenträger bearbeitet und mehr als 8'000 Kunden betreut. CyberSafe-zertifiziert und CyberSafe-Partner und mit 4.5/5 auf Avis Vérifiés (249+ Bewertungen) bewertet, gewährleistet unser Team die strikte Einhaltung der Beweiskette (Chain of Custody), damit jedes Beweismittel vor Gericht verwertbar ist.

Unsere Einsatzgebiete umfassen internen Betrug, Industriespionage, Diebstahl sensibler Daten, böswillige Datenlöschung sowie zivil- und strafrechtliche Streitigkeiten, die technische Expertise erfordern. Unsere Experten können als Sachverständige vor Schweizer und europäischen Gerichten aussagen.

Unsere Diagnose ist kostenlos und wird in 3 Stunden durchgeführt. Bei Misserfolg werden nur die Versuchskosten berechnet. Wenn Sie mit einer Situation konfrontiert sind, die eine forensische Untersuchung erfordert, kontaktieren Sie uns für eine vertrauliche Beratung.

Welche Arten von forensischen Untersuchungen führen wir durch?

Computerbetrug innerhalb Ihres Unternehmens
Verdächtige Nutzung eines Arbeitsplatzes
Unbefugtes Kopieren sensibler Daten
Probleme bei Nachfolgeregelung oder Rechtsstreit
Industrie- oder Wettbewerbsspionage
Böswillige Löschung von Dateien oder E-Mails

Welche Situationen erfordern eine forensische Untersuchung?

Sind Sie mit einer dieser Situationen konfrontiert? Kontaktieren Sie uns für eine vertrauliche Beratung.

Integrität

Veränderte oder gefälschte Beweismittel

Geänderte Dokumente, manipulierte Metadaten oder rückdatierte Dateien. Unsere forensische Analyse identifiziert jede Veränderung und stellt die tatsächliche Chronologie der Ereignisse fest.

Verschlüsselung

Verschlüsseltes oder gesperrtes Gerät

Passwortgeschützter Computer, mit BitLocker oder FileVault verschlüsselte Festplatte, gesperrtes Smartphone. Unsere spezialisierten Werkzeuge ermöglichen den Zugang zu den Daten im gesetzlichen Rahmen.

Beschädigter Datenträger

Beschädigtes Speichermedium

Defekte Festplatte, zerbrochener USB-Stick oder beschädigter Server mit wesentlichen Beweismitteln. Wir retten die Daten und bewahren deren Beweiswert.

Löschung

Absichtlich gelöschte Daten

Gelöschte Dateien, geleerte Papierkörbe, gelöschter Browserverlauf oder formatierte Festplatte zur Beweisvernichtung. Unsere fortschrittlichen Techniken können Daten auch nach dem Löschen wiederherstellen.

Rückverfolgbarkeit

Unterbrochene Beweiskette

Ohne Protokoll behandelte digitale Beweismittel, nicht zertifizierte Kopien oder unsachgemäss gelagerte Datenträger. Wir stellen die Beweiskette wieder her und dokumentieren sie für die Gerichtsverwertbarkeit.

Dringlichkeit

Gerichtlicher Notfall oder Rechtsstreit

Laufendes Verfahren mit knappen Fristen, gerichtlich angeordnete Computerbeschlagnahme oder dringende interne Untersuchung. Unser Team greift vorrangig ein, um die rechtlichen Fristen einzuhalten.

Wie funktioniert die Datenrettung?

Von der kostenlosen Diagnose bis zur sicheren Lieferung — ein transparenter 4-Schritte-Prozess, vollständig in unserem Schweizer Labor durchgeführt.

01

Kostenlose Diagnose in 3 Stunden

Senden Sie Ihr Medium per gesicherter Post, geben Sie es an einer unserer 30 Abgabestellen in der Schweiz ab, oder bringen Sie es direkt zu unserem Labor in Ins. Unser Team führt eine vollständige Analyse innerhalb von 3 Stunden nach Erhalt durch — kostenlos und unverbindlich.

02

Transparentes Angebot vor jeder Arbeit

Sie erhalten ein detailliertes Angebot mit Art des Schadens, Wiederherstellungschancen und genauem Preis. Sie genehmigen, bevor wir beginnen. Vollständige Zahlung nur bei Erfolg — bei Misserfolg werden nur die Versuchskosten berechnet.

03

Wiederherstellung unter ISO 5 Laminarströmung

Unsere Techniker arbeiten unter ISO 5 zertifizierter Laminarströmung mit spezialisierten Werkzeugen (PC-3000). Ihre Daten verlassen niemals unser CyberSafe-zertifiziertes und CyberSafe-Partner Schweizer Labor. Dauer: 2 bis 10 Werktage je nach Komplexität.

04

Sichere Lieferung Ihrer Daten

Ihre wiederhergestellten Daten werden auf einem neuen verschlüsselten Datenträger oder per sicherem Download geliefert. Originaldatenträger können auf Wunsch vernichtet werden, um die Vertraulichkeit zu garantieren.

Häufig gestellte Fragen

Unsere Spezialisten beantworten die häufigsten Fragen.

In welchen Fällen wird ein forensischer Experte für digitale Daten hinzugezogen?

Digitale Forensik-Expertise wird in einer Vielzahl von beruflichen und juristischen Kontexten angefordert:

  • Handelsstreitigkeiten — Suche nach Beweisen für Veruntreuung, Verletzung von Vertraulichkeitsvereinbarungen, interner Betrug
  • Strafverfahren — Gerichtliche Unterstützung bei der Beschlagnahmung von IT-Geräten, Analyse beschlagnahmter Datenträger
  • Sicherheitsvorfälle — Post-Incident-Analyse eines Cyberangriffs, Identifizierung des Angriffsvektors, Umfang der Exfiltration
  • Arbeitsrecht — Suche nach Beweisen für Verstöße auf Unternehmensequipment (Belästigung, Datendiebstahl, missbräuchliche Nutzung)
  • Scheidungs- oder Familienverfahren — Wiederherstellung digitaler Beweise im Rahmen von Zivilverfahren
  • Versicherungen — Rekonstruktion von Vorfällen für Schadensmeldungen

Ist die forensische Analyse vertraulich? Wer hat Zugriff auf die analysierten Daten?

Vertraulichkeit ist ein Grundprinzip unserer forensischen Praxis. Wir wenden strenge Regeln an:

  • Beschränkter Zugriff — nur die mit dem Fall betrauten Techniker haben Zugriff auf die Daten. Jeder Zugriff wird protokolliert.
  • Vertraulichkeitsvereinbarung — auf Anfrage kann vor jedem Eingriff eine NDA (Geheimhaltungsvereinbarung) unterzeichnet werden
  • Sichere Vernichtung — nach Übergabe des Berichts und Zustimmung des Kunden werden die Arbeitskopien durch zertifiziertes, sicheres Überschreiben vernichtet
  • Hosting in der Schweiz — alle Daten verbleiben in unserem Labor in Ins (BE) und unterliegen dem Schweizer Datenschutzgesetz (DSG)
  • CyberSafe-Zertifizierung — unsere Sicherheitspraktiken werden vom vom Bund anerkannten CyberSafe-Label auditiert und zertifiziert

Kann man gelöschte Daten von einer teilweise überschriebenen Festplatte wiederherstellen?

Teilweise, ja. Das Überschreiben einer Festplatte zerstört nicht sofort alle Daten. Mehrere Mechanismen ermöglichen eine teilweise Wiederherstellung:

  • Teilweise überschriebene Dateien – Wenn nur der Header oder das Ende einer Datei überschrieben wurde, kann der Rest oft rekonstruiert werden.
  • File Carving – Eine forensische Technik, die Dateisignaturen (Magic Bytes) direkt in den Rohsektoren sucht, unabhängig vom Dateisystem. Effektiv auch nach einer Neuformatierung.
  • Reservesektoren und HPA-Bereiche – Einige Festplatten speichern Kopien in Bereichen, die bei normaler Nutzung nicht zugänglich sind.
  • Magnetische Remanenz – Auf älteren HDDs können mit speziellen Geräten manchmal Spuren früherer Schreibvorgänge erkannt werden.

Ein sicheres Überschreiben mit mehreren Durchgängen (Standard DoD 5220.22-M oder Gutmann) macht die Wiederherstellung praktisch unmöglich. Eine einfache Schnellformatierung oder eine herkömmliche Löschung reicht nicht aus.

Können die bei einer forensischen Analyse wiederhergestellten Daten als Beweismittel vor Gericht verwendet werden?

Ja, vorausgesetzt, die Analyse wurde nach anerkannten forensischen Standards durchgeführt. Damit ein digitaler Beweis vor einem Schweizer oder europäischen Gericht zulässig ist, müssen mehrere Bedingungen erfüllt sein:

  • Garantierte Datenintegrität — das Originalmedium wurde nicht verändert (Verwendung eines Hardware-Schreibblockers bei der Erfassung)
  • Rückverfolgbarkeit der Beweiskette — Dokumentation jeder Manipulation von der Beschlagnahme bis zur Analyse
  • Kryptografisches Hashing — MD5- und SHA-256-Hash bei der Erfassung berechnet, um die Integrität zu beweisen
  • Zertifiziertes Gutachten — erstellt von einem Experten, der seine Methodik bezeugen kann

Unsere forensischen Berichte werden gemäss den Normen ISO/IEC 27037 (Identifizierung und Sammlung digitaler Beweismittel) erstellt und können vor Schweizer und französischen Gerichten vorgelegt werden.

Was ist forensische Datenrettung und wie unterscheidet sie sich von einer klassischen Datenrettung?

Forensische Datenrettung (oder digitale Forensik) ist ein rigoroser technischer Prozess, der nicht nur darauf abzielt, gelöschte oder versteckte Daten wiederherzustellen, sondern auch die Beweiskette zu sichern, damit diese Daten vor Gericht zulässig sind.

Die Hauptunterschiede zur klassischen Datenrettung:

Kriterium Klassische Datenrettung Forensische Datenrettung
Ziel Daten wiederherstellen Wiederherstellen + dokumentieren + zertifizieren
Einfluss auf das Medium Minimal, aber nicht dokumentiert Kein Einfluss (Klonen mit Write-Blocker)
Beweiskette Nicht erforderlich Obligatorisch (MD5/SHA-Hashing)
Bericht Optional Zertifizierter Bericht erforderlich
Gerichtliche Verwertbarkeit Keine Vor Gericht zulässig
Tipp

Wenn Sie vermuten, dass Daten als Beweismittel in einem Gerichtsverfahren dienen könnten, manipulieren Sie das Medium nicht selbst — jeder undokumentierte Zugriff kann die digitalen Beweise ungültig machen.

Wie ist das Vorgehen bei einer digitalen forensischen Untersuchung bei SOS Data Recovery?

Unser forensisches Vorgehen folgt einem strengen 5-Stufen-Protokoll:

  1. Empfang und Dokumentation – Erfassung des Datenträgers mit Fotos, Seriennummer, festgestelltem physischen Zustand. Aushändigung einer unterzeichneten Empfangsbestätigung.
  2. Forensische Akquisition – Bit-für-Bit-Klonen des Originaldatenträgers über einen zertifizierten Hardware-Write-Blocker. Berechnung der MD5- und SHA-256-Fingerabdrücke des erstellten Images. Der Originaldatenträger wird niemals verändert.
  3. Analyse – Untersuchung der Arbeitskopie: Wiederherstellung gelöschter Dateien, Analyse der Metadaten, Rekonstruktion der Aktivitäts-Timeline, Identifizierung von Artefakten (Logs, Verlauf, Registry).
  4. Dokumentation – Jede Aktion wird in einem zeitgestempelten Journal protokolliert. Relevante Dateien werden extrahiert und katalogisiert.
  5. Expertengutachten – Detaillierter Bericht mit Methodik, verwendeten Tools, Ergebnissen und Schlussfolgerungen, zusammen mit digitalen Anhängen.
Tipp

Im Falle eines dringenden Gerichtsverfahrens (drohende Beschlagnahmung, Verfahrensfrist) garantiert unser 24/7-Prioritätsservice eine sofortige Bearbeitung.

Wie viel kostet eine Datenforensik-Analyse und wie lange dauert sie?

Die Kosten für eine forensische Analyse hängen vom Umfang der Untersuchung, dem Medientyp und dem Dringlichkeitsgrad ab:

  • Forensische Sicherung allein (Klonen + Integritätsbericht): Abrechnung pro behandeltem Medium
  • Vollständige Analyse (Sicherung + Untersuchung + Gutachten): Abrechnung je nach Komplexität und Datenmenge, die analysiert werden muss
  • Expertengutachten vor Gericht: Angebotserstellung je nach Dauer und erforderlicher Vorbereitung

Die Standard-Bearbeitungszeiten sind:

  • Forensische Sicherung: innerhalb von 24 Stunden
  • Standard-Analysebericht: 5 bis 10 Werktage
  • Dringender Bericht (unmittelbar bevorstehendes Gerichtsverfahren): 24 bis 72 Stunden

Ein detailliertes Angebot wird nach kostenloser Bewertung des Falls erstellt. Unsere Preise sind transparent und in unserem Angebot aufgeführt – keine versteckten Kosten.

Digitale Forensik-Expertise wird in einer Vielzahl von beruflichen und juristischen Kontexten angefordert:

  • Handelsstreitigkeiten — Suche nach Beweisen für Veruntreuung, Verletzung von Vertraulichkeitsvereinbarungen, interner Betrug
  • Strafverfahren — Gerichtliche Unterstützung bei der Beschlagnahmung von IT-Geräten, Analyse beschlagnahmter Datenträger
  • Sicherheitsvorfälle — Post-Incident-Analyse eines Cyberangriffs, Identifizierung des Angriffsvektors, Umfang der Exfiltration
  • Arbeitsrecht — Suche nach Beweisen für Verstöße auf Unternehmensequipment (Belästigung, Datendiebstahl, missbräuchliche Nutzung)
  • Scheidungs- oder Familienverfahren — Wiederherstellung digitaler Beweise im Rahmen von Zivilverfahren
  • Versicherungen — Rekonstruktion von Vorfällen für Schadensmeldungen

Vertraulichkeit ist ein Grundprinzip unserer forensischen Praxis. Wir wenden strenge Regeln an:

  • Beschränkter Zugriff — nur die mit dem Fall betrauten Techniker haben Zugriff auf die Daten. Jeder Zugriff wird protokolliert.
  • Vertraulichkeitsvereinbarung — auf Anfrage kann vor jedem Eingriff eine NDA (Geheimhaltungsvereinbarung) unterzeichnet werden
  • Sichere Vernichtung — nach Übergabe des Berichts und Zustimmung des Kunden werden die Arbeitskopien durch zertifiziertes, sicheres Überschreiben vernichtet
  • Hosting in der Schweiz — alle Daten verbleiben in unserem Labor in Ins (BE) und unterliegen dem Schweizer Datenschutzgesetz (DSG)
  • CyberSafe-Zertifizierung — unsere Sicherheitspraktiken werden vom vom Bund anerkannten CyberSafe-Label auditiert und zertifiziert

Teilweise, ja. Das Überschreiben einer Festplatte zerstört nicht sofort alle Daten. Mehrere Mechanismen ermöglichen eine teilweise Wiederherstellung:

  • Teilweise überschriebene Dateien – Wenn nur der Header oder das Ende einer Datei überschrieben wurde, kann der Rest oft rekonstruiert werden.
  • File Carving – Eine forensische Technik, die Dateisignaturen (Magic Bytes) direkt in den Rohsektoren sucht, unabhängig vom Dateisystem. Effektiv auch nach einer Neuformatierung.
  • Reservesektoren und HPA-Bereiche – Einige Festplatten speichern Kopien in Bereichen, die bei normaler Nutzung nicht zugänglich sind.
  • Magnetische Remanenz – Auf älteren HDDs können mit speziellen Geräten manchmal Spuren früherer Schreibvorgänge erkannt werden.

Ein sicheres Überschreiben mit mehreren Durchgängen (Standard DoD 5220.22-M oder Gutmann) macht die Wiederherstellung praktisch unmöglich. Eine einfache Schnellformatierung oder eine herkömmliche Löschung reicht nicht aus.

Ja, vorausgesetzt, die Analyse wurde nach anerkannten forensischen Standards durchgeführt. Damit ein digitaler Beweis vor einem Schweizer oder europäischen Gericht zulässig ist, müssen mehrere Bedingungen erfüllt sein:

  • Garantierte Datenintegrität — das Originalmedium wurde nicht verändert (Verwendung eines Hardware-Schreibblockers bei der Erfassung)
  • Rückverfolgbarkeit der Beweiskette — Dokumentation jeder Manipulation von der Beschlagnahme bis zur Analyse
  • Kryptografisches Hashing — MD5- und SHA-256-Hash bei der Erfassung berechnet, um die Integrität zu beweisen
  • Zertifiziertes Gutachten — erstellt von einem Experten, der seine Methodik bezeugen kann

Unsere forensischen Berichte werden gemäss den Normen ISO/IEC 27037 (Identifizierung und Sammlung digitaler Beweismittel) erstellt und können vor Schweizer und französischen Gerichten vorgelegt werden.

Forensische Datenrettung (oder digitale Forensik) ist ein rigoroser technischer Prozess, der nicht nur darauf abzielt, gelöschte oder versteckte Daten wiederherzustellen, sondern auch die Beweiskette zu sichern, damit diese Daten vor Gericht zulässig sind.

Die Hauptunterschiede zur klassischen Datenrettung:

Kriterium Klassische Datenrettung Forensische Datenrettung
Ziel Daten wiederherstellen Wiederherstellen + dokumentieren + zertifizieren
Einfluss auf das Medium Minimal, aber nicht dokumentiert Kein Einfluss (Klonen mit Write-Blocker)
Beweiskette Nicht erforderlich Obligatorisch (MD5/SHA-Hashing)
Bericht Optional Zertifizierter Bericht erforderlich
Gerichtliche Verwertbarkeit Keine Vor Gericht zulässig
Tipp

Wenn Sie vermuten, dass Daten als Beweismittel in einem Gerichtsverfahren dienen könnten, manipulieren Sie das Medium nicht selbst — jeder undokumentierte Zugriff kann die digitalen Beweise ungültig machen.

Unser forensisches Vorgehen folgt einem strengen 5-Stufen-Protokoll:

  1. Empfang und Dokumentation – Erfassung des Datenträgers mit Fotos, Seriennummer, festgestelltem physischen Zustand. Aushändigung einer unterzeichneten Empfangsbestätigung.
  2. Forensische Akquisition – Bit-für-Bit-Klonen des Originaldatenträgers über einen zertifizierten Hardware-Write-Blocker. Berechnung der MD5- und SHA-256-Fingerabdrücke des erstellten Images. Der Originaldatenträger wird niemals verändert.
  3. Analyse – Untersuchung der Arbeitskopie: Wiederherstellung gelöschter Dateien, Analyse der Metadaten, Rekonstruktion der Aktivitäts-Timeline, Identifizierung von Artefakten (Logs, Verlauf, Registry).
  4. Dokumentation – Jede Aktion wird in einem zeitgestempelten Journal protokolliert. Relevante Dateien werden extrahiert und katalogisiert.
  5. Expertengutachten – Detaillierter Bericht mit Methodik, verwendeten Tools, Ergebnissen und Schlussfolgerungen, zusammen mit digitalen Anhängen.
Tipp

Im Falle eines dringenden Gerichtsverfahrens (drohende Beschlagnahmung, Verfahrensfrist) garantiert unser 24/7-Prioritätsservice eine sofortige Bearbeitung.

Die Kosten für eine forensische Analyse hängen vom Umfang der Untersuchung, dem Medientyp und dem Dringlichkeitsgrad ab:

  • Forensische Sicherung allein (Klonen + Integritätsbericht): Abrechnung pro behandeltem Medium
  • Vollständige Analyse (Sicherung + Untersuchung + Gutachten): Abrechnung je nach Komplexität und Datenmenge, die analysiert werden muss
  • Expertengutachten vor Gericht: Angebotserstellung je nach Dauer und erforderlicher Vorbereitung

Die Standard-Bearbeitungszeiten sind:

  • Forensische Sicherung: innerhalb von 24 Stunden
  • Standard-Analysebericht: 5 bis 10 Werktage
  • Dringender Bericht (unmittelbar bevorstehendes Gerichtsverfahren): 24 bis 72 Stunden

Ein detailliertes Angebot wird nach kostenloser Bewertung des Falls erstellt. Unsere Preise sind transparent und in unserem Angebot aufgeführt – keine versteckten Kosten.

Seite 1 / 2
Wussten Sie schon?
Jede auf einem Computer durchgeführte Aktion hinterlässt digitale Spuren, selbst nach dem Löschen. Warum? Weil Betriebssysteme automatisch Metadaten, Systemprotokolle und temporäre Dateien aufzeichnen, die der Benutzer nicht einfach löschen kann. Deshalb kann ein Experte für digitale Forensik die vollständige Chronologie der Ereignisse rekonstruieren. Diese Beweise sind vor Schweizer und europäischen Gerichten verwertbar, vorausgesetzt, die Beweiskette wurde ab der Sicherstellung des Datenträgers eingehalten.
Was sollten Sie unbedingt vermeiden?
Schalten Sie den verdächtigen Computer nicht ein und versuchen Sie niemals, die Dateien selbst zu kopieren, da jede Manipulation die Metadaten (Zugangsdaten, Systemregister) verändert und Beweise vor Gericht ungültig machen kann. Übergeben Sie den Datenträger nicht an einen Techniker, der nicht auf Forensik spezialisiert ist, da eine unsachgemässe Handhabung die Beweiskette irreversibel unterbricht. Nur ein zertifiziertes Protokoll garantiert die Verwertbarkeit der Beweismittel.
Ist eine forensische Untersuchung immer möglich?
Eine digitale forensische Untersuchung ist nicht immer erfolgreich. Bei verschlüsselten Geräten (BitLocker, FileVault) ohne Mitwirkung des Eigentümers oder ohne Entschlüsselungsschlüssel kann der Datenzugang unmöglich sein. Wenn Daten durch neue Schreibvorgänge überschrieben wurden, sind die ursprünglichen Beweise unwiederbringlich verloren. Ebenso erlaubt ein physisch über jede Wiederherstellung hinaus zerstörter Datenträger (geschreddert, geschmolzen, verbrannt) keine Beweisextraktion. Deshalb ist es entscheidend, schnell zu handeln und den Datenträger vor dem Eingriff eines Experten niemals zu manipulieren.
24/7 verfügbar

Benötigen Sie eine dringende forensische Untersuchung?

Betrug erkannt, dringende interne Untersuchung, laufendes Gerichtsverfahren — unsere Forensik-Experten reagieren im Notfall, um digitale Beweismittel zu sichern und zu analysieren. Diagnose in 3 Stunden statt der branchenüblichen 24-48 Std.

+41 840 440 840 Support anvertrauen Kosten online schätzen