Häufige Fragen
Spezialisten antworten Ihnen.
FAQ : Forensik
Sie können sich gerne mit uns in Verbindung setzen, um Fragen zu stellen oder uns Ihre Kommentare mitzuteilen.
Digitale Forensik-Expertise wird in einer Vielzahl von beruflichen und juristischen Kontexten angefordert:
- Handelsstreitigkeiten — Suche nach Beweisen für Veruntreuung, Verletzung von Vertraulichkeitsvereinbarungen, interner Betrug
- Strafverfahren — Gerichtliche Unterstützung bei der Beschlagnahmung von IT-Geräten, Analyse beschlagnahmter Datenträger
- Sicherheitsvorfälle — Post-Incident-Analyse eines Cyberangriffs, Identifizierung des Angriffsvektors, Umfang der Exfiltration
- Arbeitsrecht — Suche nach Beweisen für Verstöße auf Unternehmensequipment (Belästigung, Datendiebstahl, missbräuchliche Nutzung)
- Scheidungs- oder Familienverfahren — Wiederherstellung digitaler Beweise im Rahmen von Zivilverfahren
- Versicherungen — Rekonstruktion von Vorfällen für Schadensmeldungen
Vertraulichkeit ist ein Grundprinzip unserer forensischen Praxis. Wir wenden strenge Regeln an:
- Beschränkter Zugriff — nur die mit dem Fall betrauten Techniker haben Zugriff auf die Daten. Jeder Zugriff wird protokolliert.
- Vertraulichkeitsvereinbarung — auf Anfrage kann vor jedem Eingriff eine NDA (Geheimhaltungsvereinbarung) unterzeichnet werden
- Sichere Vernichtung — nach Übergabe des Berichts und Zustimmung des Kunden werden die Arbeitskopien durch zertifiziertes, sicheres Überschreiben vernichtet
- Hosting in der Schweiz — alle Daten verbleiben in unserem Labor in Ins (BE) und unterliegen dem Schweizer Datenschutzgesetz (DSG)
- CyberSafe-Zertifizierung — unsere Sicherheitspraktiken werden vom vom Bund anerkannten CyberSafe-Label auditiert und zertifiziert
Teilweise, ja. Das Überschreiben einer Festplatte zerstört nicht sofort alle Daten. Mehrere Mechanismen ermöglichen eine teilweise Wiederherstellung:
- Teilweise überschriebene Dateien – Wenn nur der Header oder das Ende einer Datei überschrieben wurde, kann der Rest oft rekonstruiert werden.
- File Carving – Eine forensische Technik, die Dateisignaturen (Magic Bytes) direkt in den Rohsektoren sucht, unabhängig vom Dateisystem. Effektiv auch nach einer Neuformatierung.
- Reservesektoren und HPA-Bereiche – Einige Festplatten speichern Kopien in Bereichen, die bei normaler Nutzung nicht zugänglich sind.
- Magnetische Remanenz – Auf älteren HDDs können mit speziellen Geräten manchmal Spuren früherer Schreibvorgänge erkannt werden.
Ein sicheres Überschreiben mit mehreren Durchgängen (Standard DoD 5220.22-M oder Gutmann) macht die Wiederherstellung praktisch unmöglich. Eine einfache Schnellformatierung oder eine herkömmliche Löschung reicht nicht aus.
Ja, vorausgesetzt, die Analyse wurde nach anerkannten forensischen Standards durchgeführt. Damit ein digitaler Beweis vor einem Schweizer oder europäischen Gericht zulässig ist, müssen mehrere Bedingungen erfüllt sein:
- Garantierte Datenintegrität — das Originalmedium wurde nicht verändert (Verwendung eines Hardware-Schreibblockers bei der Erfassung)
- Rückverfolgbarkeit der Beweiskette — Dokumentation jeder Manipulation von der Beschlagnahme bis zur Analyse
- Kryptografisches Hashing — MD5- und SHA-256-Hash bei der Erfassung berechnet, um die Integrität zu beweisen
- Zertifiziertes Gutachten — erstellt von einem Experten, der seine Methodik bezeugen kann
Unsere forensischen Berichte werden gemäss den Normen ISO/IEC 27037 (Identifizierung und Sammlung digitaler Beweismittel) erstellt und können vor Schweizer und französischen Gerichten vorgelegt werden.
Forensische Datenrettung (oder digitale Forensik) ist ein rigoroser technischer Prozess, der nicht nur darauf abzielt, gelöschte oder versteckte Daten wiederherzustellen, sondern auch die Beweiskette zu sichern, damit diese Daten vor Gericht zulässig sind.
Die Hauptunterschiede zur klassischen Datenrettung:
| Kriterium | Klassische Datenrettung | Forensische Datenrettung |
|---|---|---|
| Ziel | Daten wiederherstellen | Wiederherstellen + dokumentieren + zertifizieren |
| Einfluss auf das Medium | Minimal, aber nicht dokumentiert | Kein Einfluss (Klonen mit Write-Blocker) |
| Beweiskette | Nicht erforderlich | Obligatorisch (MD5/SHA-Hashing) |
| Bericht | Optional | Zertifizierter Bericht erforderlich |
| Gerichtliche Verwertbarkeit | Keine | Vor Gericht zulässig |
Unser forensisches Vorgehen folgt einem strengen 5-Stufen-Protokoll:
- Empfang und Dokumentation – Erfassung des Datenträgers mit Fotos, Seriennummer, festgestelltem physischen Zustand. Aushändigung einer unterzeichneten Empfangsbestätigung.
- Forensische Akquisition – Bit-für-Bit-Klonen des Originaldatenträgers über einen zertifizierten Hardware-Write-Blocker. Berechnung der MD5- und SHA-256-Fingerabdrücke des erstellten Images. Der Originaldatenträger wird niemals verändert.
- Analyse – Untersuchung der Arbeitskopie: Wiederherstellung gelöschter Dateien, Analyse der Metadaten, Rekonstruktion der Aktivitäts-Timeline, Identifizierung von Artefakten (Logs, Verlauf, Registry).
- Dokumentation – Jede Aktion wird in einem zeitgestempelten Journal protokolliert. Relevante Dateien werden extrahiert und katalogisiert.
- Expertengutachten – Detaillierter Bericht mit Methodik, verwendeten Tools, Ergebnissen und Schlussfolgerungen, zusammen mit digitalen Anhängen.
Die Kosten für eine forensische Analyse hängen vom Umfang der Untersuchung, dem Medientyp und dem Dringlichkeitsgrad ab:
- Forensische Sicherung allein (Klonen + Integritätsbericht): Abrechnung pro behandeltem Medium
- Vollständige Analyse (Sicherung + Untersuchung + Gutachten): Abrechnung je nach Komplexität und Datenmenge, die analysiert werden muss
- Expertengutachten vor Gericht: Angebotserstellung je nach Dauer und erforderlicher Vorbereitung
Die Standard-Bearbeitungszeiten sind:
- Forensische Sicherung: innerhalb von 24 Stunden
- Standard-Analysebericht: 5 bis 10 Werktage
- Dringender Bericht (unmittelbar bevorstehendes Gerichtsverfahren): 24 bis 72 Stunden
Ein detailliertes Angebot wird nach kostenloser Bewertung des Falls erstellt. Unsere Preise sind transparent und in unserem Angebot aufgeführt – keine versteckten Kosten.