Go to Top

Was unterscheidet den Datenretter vom Computer-Forensiker?

Es gibt große Unterschiede zwischen dem Beruf des Datenretters und dem Beruf des Computer-Forensikers – aber auch viele Gemeinsamkeiten. Beide sind auf der Suche nach Daten, die aus Versehen oder durch eigenes Zutun nicht mehr direkt abrufbar sind.

Der Datenretter erhält vom Auftraggeber ein Speichermedium (bei größeren RAID-Verbänden muss er möglicherweise via Internet oder direkt vor Ort arbeiten) mit der Bitte, verlorene Daten wiederherzustellen. Im ersten Schritt wird eine Analyse durchgeführt, um herauszufinden, welche Chancen für eine Datenwiederherstellung bestehen.  Nach diesem Schritt kann gesagt werden, ob die Daten wiederhergestellt werden können – und zu welchem Preis. Ein detaillierter Diagnosebericht enthält dabei eine vollständige Liste der wiederherstellbaren Dateien mit ihrem jeweiligen Zustand.

Gibt der Kunde grünes Licht, kann mit der eigentlichen Datenrettung begonnen werden. Je nach dem, was der Auslöser für den Datenverlust war und welches Speichermedium betroffen ist, ist die Arbeitsweise zur Rettung der Informationen unterschiedlich. Wenn es möglich ist, einen Hardwareschaden durch den Tausch des betroffenen Bauteils zu eliminieren, ist die Wiederinbetriebnahme des Speichermediums relativ unkompliziert. Professionelle Datenretter haben nicht nur einen großen Vorrat an gängigen Controllern und Schreib-/Leseköpfen, sie haben auch hervorragende Kontakte zu den Herstellern, was sich unter anderem dadurch zeigt, dass eine eventuell noch vorhandene Herstellergarantie nicht erlischt.

SSDs können problematisch sein – HDDs auch

Bei SSDs ist es allerdings nicht immer ganz einfach, mit Hardwareersatz aus derselben Baureihe zum Erfolg zu kommen, da die Hersteller bei diesem Speichermedium in derselben Baureihe durchaus auch unterschiedliche Hardware verbaut haben. Wenn eine HDD geöffnet werden muss, um an die Speicherscheiben zu gelangen, muss das im Reinraum geschehen. Es darf sich kein noch so kleines Körnchen Staub auf den Platten absetzen, sonst würde dieses winzige Stück Material zwischen die rasend schnell rotierende Scheibe und den nur eine Winzigkeit darüber schwebenden Schreib-/Lesekopf gelangen, was die Platte mit größter Sicherheit zerkratzen würde. Zum Vergleich: Wäre der Schreib-/Lesekopf ein Airbus, würde er mit Höchstgeschwindigkeit in einem Meter Höhe dahinrasen. Ein Staubkorn hätte hier die Dimensionen eines ausgewachsenen Findlings…

Ein Datenretter muss mit einer Menge von Programmen und – zum Teil selbst entwickelten – Tools umgehen können. Denn auch auf Softwareseite kann einiges im Argen liegen, was geradegerückt werden muss. Seien es korrumpierte Metadaten, oder falsche Low-Level-Informationen, die für den grundlegenden Betrieb der Festplatte nötig sind. Hochproblematisch wird es bei einer SSD mit verschlüsselndem Controller. Wenn hier der nötige Schlüssel fehlt, ist meist auch der Profi nicht in der Lage, Daten zu retten.

Normalerweise ist der Datenretter in der kommoden Lage – ganz im Gegensatz zum Computer-Forensiker – dass sein Auftraggeber hochkooperativ ist und alle Zugangsdaten bereitstellt. Geht es um ein Verbrechen ist das normalerweise nicht der Fall. Hier muss auch schon mal mit Hackermethoden der Zugang zum Speichermedium geöffnet werden. Und neben den Methoden des Datenretters – den schlussendlich der Inhalt der geretteten Daten nicht interessiert – muss der Forensiker eine strukturierte Untersuchung durchzuführen und dabei Beweise dokumentieren, durch die man gerichtsverwertbar feststellen kann, welche Vorgänge auf einem IT-System stattgefunden haben – und wer dafür verantwortlich ist. Ein IT-Forensikbericht könnte beispielsweise beinhalten: Angaben zur Identität oder Identifizierung des Täters, den Zeitraum und Umfang des Verbrechens sowie Informationen zur Motivation und Durchführung der Tat.

Wie wird man Cyber-Forensiker?

An der Hochschule Albstadt-Sigmaringen kann der Online-Master-Studiengang “Digitale Forensik” belegt werden – Informatik, Methodik und Jura werden gelehrt. Ein IT-Studium ist Voraussetzung, um den Master berufsbegleitend zu studieren, wobei es in erste Linie um gerichtsverwertbare Erhebung und Aufbereitung von Beweismaterial geht. Die Hälfte der Studenten sind Strafermittler, die in den Bereichen Urheberrechtsverletzung, Kinderpornografie oder Rauschmitteldelikte arbeiten.

Bei Gerichtsprozessen muss ein Forensiker als Gutachter auftreten können, wozu es auch gehört, dass er seine Arbeit verständlich beschreiben kann. Allerdings wird die Justiz von hilfesuchenden Unternehmen meistens nicht eingeschaltet, in aller Regel werden zunächst die Sicherheitsvorgaben der IT-Abteilung geprüft und in der Konsequenz verbessert.

Heutige Chef-Forensiker sind meist als Quereinsteiger zu ihrem Beruf gekommen. Viele haben schon in ihrer Studienzeit Hacker gejagt – eine Aufgabe, die sie nicht mehr losgelassen hat. Als Cyber-Forensiker muss man um mehrere Ecken denken können, man muss in riesigen Mengen von Code Muster entdecken können und kreativ sein.

Ein Sicherheitsexperte sagt dazu lapidar: „Wir brauchen Künstler.”

Bildnachweis: geralt/pixabay.com

CC0 Lizenz