Datenrettungs-Experte vs. Computer Forensik-Experte

Mittwoch, 14. März 2018 von Philipp Lohberg

DST_image_970x300_hero-hard-drive-crash

Unterschiede zwischen einem Datenrettungsexperten und einem IT-Forensik Spezialisten

Auf den ersten Blick scheint das Arbeitsfeld eines Datenretters dem eines Computer Forensikers ähnlich, beide beschäftigen sich mit der Wiederherstellung von Daten, die versehentlich oder mutwillig gelöscht wurden.

Der Datenrettungsspezialist erhält vom Kunden ein Speichergerät (wenn es um größere Systeme wie z.B. RAIDs geht, dann ist auch eine Datenrettung über remote-Verbindung oder direkt beim Kunden vor Ort möglich), um die Daten wiederherzustellen. Als erstes wird eine Analyse gemacht, um sich ein Bild über Art und Umfang des Datenverlustes zu machen und um festzustellen welche Daten gerettet werden können. Der Kunde erhält eine Liste aller wieder herstellbaren Dateien und den Grad der Beschädigung.

Wenn der Kunde grünes Licht gibt, beginnt die eigentliche Datenrettung. Die Art und Weise wie die Daten wiederhergestellt werden, variiert je nach Grund des Datenverlustes und Speichermedium. Beispielsweise kann bei einem physikalischen Schaden ein Austausch der Hardware ausreichen, um erneut auf die Daten zugreifen zu können. Professionelle Datenretter verfügen nicht nur über ein großes Lager an Controllern und Schreib-/Leseköpfen sondern haben auch hervorragende Beziehungen zu den Herstellern. 

SSDs können Probleme machen - HDDs auch

Bei SSDs dagegen kann oft nicht so einfach die Hardware ausgetauscht werden, da oft für Geräte derselben Serie unterschiedliche Hardware verbaut wurde. Wenn eine Festplatte (HDD) geöffnet werden muss, dann muss dies in einem Reinraum geschehen. In staubfreier Atmosphäre werden hier die Platten geöffnet. So wird sichergestellt dass keine Verschmutzung auf die Scheiben und die Schreib-/Leseköpfe aus der Spur geworfen werden. Dies würde Kratzer und damit verbunden Datenverlust nach sich ziehen. Als Vergleich: Wenn der Schreib-/Lesekopf ein Airbus wäre, dann würde er sich mit maximaler Geschwindigkeit 1m über der Erdoberfläche bewegen. Ein Staubkorn hätte dann die Größe eines Felsblocks. 

Programme und Werkzeuge richtig einsetzen

Die Datenrettungsingenieure müssen viele unterschiedliche Programme und selbst entwickelte Tools einsetzen können. Denn auch auf der Softwareseite kann einiges falsch sein. Ob es sich um korrupte Metadaten handelt oder um Befehle, die die Festplatte zum Laufen bringen. Eine SSD mit verschlüsseltem Controller kann hier zum Problem werden. Wenn der Entschlüsselungscode fehlt, können die Datenretter normalerweise keine Daten wiederherstellen.

 

Lesen Sie auch: Datenwiederherstellung von einer korrumpierten/beschädigten Festplatte

Normalerweise ist der Datenrettungsexperte im Gegensatz zum Computer Forensik Experten in der komfortableren Position. IT-Forensik Kunden sind  meist sehr kooperativ und gewähren Zugriff auf alle Daten.  Wenn es sich um die Aufklärung einer Straftat handelt, ist das meistens nicht der Fall. Manchmal müssen Hacker-Methoden angewandt werden, um Zugriff auf die Daten zu erhalten. Anders als bei der Datenrettung, wo es letztlich nicht um den Inhalt der gespeicherten Daten geht, muss der Forensiker eine strukturierte Untersuchung durchführen und Beweise dokumentieren, die es dem Gericht ermöglichen festzustellen, was auf einem IT-System passiert ist. Ein IT-Forensik-Bericht kann zum Beispiel Informationen über die Identität oder Identifizierung des Täters, den Zeitraum und das Ausmaß der Straftat sowie Informationen über die Motivation und Ausführung enthalten.


Computer Forensik an Hochschulen und als Lehrgang

In vielen europäischen und außereuropäischen Ländern gibt es bereits viele Universitäten und Hochschulen, die entweder zahlreiche Kurse in Computerforensik anbieten oder sogar ein ganzes Semester lang im Rahmen einer Ausbildung als  IT-Mitarbeiter. Obwohl es sich um eine hochtechnische Aufgabe handelt, wird von Anfängern in diesem Bereich zumindest ein Bachelor-Abschluss in Informatik oder Ingenieurwesen mit einem soliden Schwerpunkt auf Cybersicherheit, digitale Forensik oder einem verwandten Bereich erwartet. Einige der Experten, die heute in diesem Bereich tätig sind, kommen jedoch aus dem Bereich der Strafverfolgung und hatten bereits Kontakt mit Internetkriminalität. Universitäten und Hochschulen, die entweder Computer Forensik Seminare anbieten oder ein ganzes Semester im Rahmen des IT-Studiums der Computer Forensik widmen.   

Lesen Sie auch: Festplatte oder Solid State Drive - was hält länger

Ein Forensik-Experte tritt vor Gericht oft auch als Sachverständiger auf, übernimmt aber zu keiner Zeit die Rechtsberatung für das ihn beauftragende Unternehmen. In der Regel werden die Sicherheitsanforderungen der IT-Abteilung überprüft und in der Folge verbessert.

Laufbahnwechsel zum Chef der Computer Forensik-Abteilung

Die heutigen Chef-Forensiker sind meist als Quereinsteiger aus ihrem ursprünglichen Beruf in dieses Gebiet gekommen. Viele haben schon während ihres Studiums Jagd auf Hacker gemacht - eine Aufgabe, von der sie nicht loskamen.  Als Cyber-Forensiker muss man um viele Ecken denken, man muss in der Lage sein, Muster in riesigen Mengen von Code zu entdecken und kreativ zu sein.  Ein Sicherheitsexperte bringt es auf den Punkt: "Wir brauchen Künstler".


 

 

Load more comments


Neuer Code



Ontrack Datenrettungsblog

Das sagen unsere Kunden: