Berufsbild Forensic Analyst

"Ich analysiere nicht das Blut am Tatort, sondern die Log-Dateien"

24.01.2020
Von 
Karen Funk ist freie IT-Fachjournalistin und Autorin. Bis Mai 2024 war sie Redakteurin beim CIO-Magazin und der COMPUTERWOCHE (von Foundry/IDG). Zudem leitete sie 17 Jahre lang den renommierten IT-Wettbewerb CIO des Jahres. Funk setzt sich seit vielen Jahren für mehr Frauen in der IT und für digitale Bildung ein. 2024 erschien ihr Buch "Hack the world a better place: So gestalten Unternehmen die Zukunft", das sie mit Julia Freudenberg, Geschäftsführerin der Hacker School, zum Thema Corporate Volunteering geschrieben hat.
Was haben digitale Forensiker mit Kriminalkommissaren gemeinsam? Wie sehen Ausbildung und beruflicher Alltag aus? Darüber hat Computerwoche-Redakteurin Karen Funk mit Vicky Eleser, Forensic Analyst bei DigiFors, gesprochen.

Vicky, Du bist IT-Forensikerin bzw. Forensic Analyst. Was ist das eigentlich?

Vicky Eleser: Ich sichere und untersuche Tatorte. Wie die Polizei auch, nur bezogen auf Computer und IT-Systeme.

Du bist bei der Firma DigiFors in Leipzig angestellt. Das ist ein Sachverständigenunternehmen, das unter anderem digitale Beweissicherung für Unternehmen, Behörden und Kanzleien anbietet. Was machst Du da genau?

Vicky Eleser: Ich erstelle IT-forensische Gutachten zum Beispiel für Staatsanwaltschaften. Das heißt, ich stelle zunächst Beweise auf den betreffenden digitalen Geräten sicher, suche nach Spuren, die die Täter hinterlassen haben, und schreibe dann Berichte. Ich analysiere nicht das Blut am Tatort sondern die Log-Dateien. Meinem sechsjährigen Neffen sage ich immer: Ich bin ein Detektiv am Computer.

Vicky Eleser ist Forensic Analyst bei DigiFors, ein hoch spezialisiertes Sachverständigenunternehmen für Digitale Forensik und IT-Sicherheit. Es wurde 2011 in Leipzig gegründet.
Vicky Eleser ist Forensic Analyst bei DigiFors, ein hoch spezialisiertes Sachverständigenunternehmen für Digitale Forensik und IT-Sicherheit. Es wurde 2011 in Leipzig gegründet.
Foto: DigiFors GmbH

Du und deine Kollegen werden also gerufen, wenn es zum Beispiel in Unternehmen Hackerangriffe gab ...

Vicky Eleser: Bei Hackerangriffen, bei Verdacht auf Malware oder wenn Rechner sonst irgendwie kompromittiert wurden. Dann untersuchen wir, ob es Fremdzugriffe gab. Wir werden aber auch angefragt, wenn Mitarbeiter das Unternehmen verlassen haben und der Verdacht besteht, dass sie firmeneigene Daten mitgenommen haben.

Und wie sieht das dann aus, fahrt ihr mit Blaulicht zum Tatort?

Vicky Eleser (lacht): Nicht ganz, aber wir haben einen Notfallkoffer dabei.

Im Notfallkoffer eines Digital Analyst ...

Was ist da drin?

Vicky Eleser: Ein Laptop mit Tool-Stack, ein Writeblocker, zahlreiche Adapter um z.B. Festplatten an den Writeblocker anzuschließen, USB-Festplatten, Mousejiggler und Steckdosenleisten aber auch Handschuhe, Zettel, Stifte und eine Taschenlampe.

Was passiert, wenn Ihr am Tatort ankommt?

Vicky Eleser: Wir nehmen erst einmal eine Live-Sicherung beziehungsweise eine Live-Analyse beim Auftraggeber vor Ort vor. Das heißt, wir führen diverse Programme auf den fraglichen Rechnern, mobilen Geräten oder IT-Systemen aus. Zudem akquirieren wir Daten wie zum Beispiel den RAM oder den Netzverkehr und wir machen ein vollständiges Speicherabbild. Das ist wichtig, denn wir analysieren immer das Image, damit das originale Beweisstück unverändert erhalten bleibt. Anschließend nehmen wir alle Daten, manchmal auch Rechner und andere Geräte mit ins Labor der DigiFors, wo dann die forensische Analyse stattfindet.

Wenn Ihr etwas findet, was dann?

Vicky Eleser: Wir halten alles in einem Bericht fest und erstellen gerichtsfeste Gutachten, die auch vor Gericht Bestand haben.

Du hast gesagt, die Polizei oder Staatsanwälte beauftragen Euch ebenfalls. Was sind das für Aufträge?

Vicky Eleser: Oft geht es um den Besitz oder die Verbreitung von Kinderpornografie. Wir prüfen dann, wer was worüber verbreitet hat. Neben Festplatten werten wir dafür zum Beispiel auch Mobiltelefone, Tablets und Spielekonsolen aus. - Manchmal erlebt man sehr lustige Dinge: Einmal hat mir die Polizei ein Objekt übergeben, das wie eine ungewöhnliche Leiterplatine aussah. Ich habe sie aufgeschraubt und auseinandergenommen. Es stellte sich heraus, dass es kein Computer, sondern ein Teil einer Dunstabzugshaube war.

Auch handwerkliches Geschick ist gefragt: IT-Forensiker analysieren nicht nur Daten, sie müssen ab und zu auch die Hardware verdächtiger Geräte auseinandernehmen.
Auch handwerkliches Geschick ist gefragt: IT-Forensiker analysieren nicht nur Daten, sie müssen ab und zu auch die Hardware verdächtiger Geräte auseinandernehmen.
Foto: DigiFors GmbH

Von Cloud Forensics bis Car Forensics

Das heißt, du musst dich immer wieder mit neuen Geräten und neuer Technik beschäftigen?

Vicky Eleser: Richtig, man muss mit der neuesten Technik Schritt halten, sich selbst weiterbilden und neugierig sein. Stichwort "Cloud Forensics" oder das vergleichsweise neue Feld "Car Forensics" - hier gibt es zum Beispiel noch keine etablierten Methoden. Aber auch mit alten Systemen muss man sich beschäftigen. Vor kurzem sollte ich beispielsweise einen alten Computer mit 3,5 Zoll-Diskettenlaufwerk untersuchen.

Was bietet deine Firma noch außer der digitalen Beweissicherung und gerichtsfester Gutachten?

Vicky Eleser: Wir analysieren im Auftrag von Unternehmen, ob sie sicher sind, also führen sogenanntes "Penetration Testing" oder kurz "Pen-Testing" durch. In diesem Fall greifen wir im Auftrag der Unternehmen deren Systeme wie Hacker an. Wir bieten aber auch Hilfestellung für Krisensituationen schon im Vorfeld und erstellen für Firmen eine "Forensic Readiness Policy", damit sie im Ernstfall vorbereitet sind. Dabei schulen wir auch, wie Beweise sichergestellt werden können und nichts vernichtet wird.

Um eine forensische Untersuchung durchzuführen, wird eine Festplatte an einen Whiteblocker angeschlossen. Er wird anschließend noch an einen Rechner angeschlossen, um ein Image einer Festplatte zu erstellen. Dabei handelt sich um eine Eins-zu-Eins Kopie.
Um eine forensische Untersuchung durchzuführen, wird eine Festplatte an einen Whiteblocker angeschlossen. Er wird anschließend noch an einen Rechner angeschlossen, um ein Image einer Festplatte zu erstellen. Dabei handelt sich um eine Eins-zu-Eins Kopie.
Foto: DigiFors GmbH

Forensic Analyst ist ein sehr junges Berufsbild. Wie bist du auf deinen Beruf gekommen?

Vicky Eleser: Ich habe nach dem Abi ein soziales Jahr in Tansania absolviert. Dort habe ich nachmittags Nachhilfe gegeben, eigentlich in Mathe und Physik. Am meisten hat die Kinder und vor allem auch die Mädchen mein Laptop interessiert, den ich immer dabei hatte. So hat es dann angefangen, dass ich versucht habe, ihnen IT näher zu bringen. Auch ich habe mich dadurch immer mehr mit diesem Thema auseinandergesetzt und dann als Teilgebiet die digitale Forensik für mich entdeckt. Da dieses Feld für mich nicht nur etwas mit IT zu tun hat, sondern auch mit Dingen, die ich mit und auch für Menschen machen kann.

Du wolltest also in die IT, weil du etwas mit Menschen machen willst?

Vicky Eleser: Mit Menschen und für Menschen. IT ist super spannend und man hat immer auch mit Menschen zu tun. Und ich wollte etwas Sinnvolles tun. Ich habe also geguckt, welche Ausbildungen es in Deutschland gibt. Da bin ich auf den Studiengang "Allgemeine und digitale Forensik" gestoßen, den die Hochschule Mittweida in Sachsen anbietet. Dort habe ich vor einem Jahr meinen Bachelor gemacht.

Was stand da auf dem Stundenplan?

Vicky Eleser: Mathematik, IT-Sicherheit, Einführung in die Programmierung, Rechnernetze, Betriebssysteme, Datenvirtualisierung, Text-Mining. Aber auch Kriminologie, Kriminalistik und Straf- und Strafprozessrecht. In allgemeiner Forensik haben wir einen Einblick in die Polizeiarbeit bekommen, also Tatortbegehung, Beweissicherung und Blutspurenanalyse.

Das Mobiltelefon war mit einer unbekannten Pin gesperrt. Aus diesem Grund werden invasivere Methoden, wie z.B. JTAG genutzt, um dennoch an die Daten zu gelangen.
Das Mobiltelefon war mit einer unbekannten Pin gesperrt. Aus diesem Grund werden invasivere Methoden, wie z.B. JTAG genutzt, um dennoch an die Daten zu gelangen.
Foto: DigiFors GmbH

Diese Skills braucht ein Forensic Analyst

Was sollte man denn deiner Meinung nach mitbringen, um digitaler Forensiker zu werden? Für wen eignet sich der Beruf?

Vicky Eleser: Das ist etwas für Menschen, die das Detektivspielen am Computer spannend finden, die Interesse an der Materie haben und den Willen, sich immer wieder mit Neuem zu beschäftigen.

Und handwerkliches Geschick ist auch nicht verkehrt, oder?

Vicky Eleser: Genau, denn oft genug muss man Geräte aufschrauben und hineinsehen. Ich frage mich zum Beispiel, wann man uns den ersten Kühlschrank bringt, den wir untersuchen sollen. Stichwort: Internet of Things. Da kann ja auch viel manipuliert werden.

Braucht man auch Soft Skills?

Vicky Eleser: Ohne die geht es nicht, denn IT oder Digitale Forensik heißt nicht, dass man im stillen Kämmerlein sitzt. Nehmen wir einmal Fälle, wo es um Social Engineering geht. Also dann, wenn Personen sich über kommunikative Tricks Zugang zu Firmendaten verschaffen oder sich als Putzfrau einschleichen und die Passwörter aus den Schreibtischschubladen klauen. Einfühlungsvermögen und psychologische Kenntnisse sind sehr hilfreich.

Neugierde?

Vicky Eleser: Unbedingt! Außerdem logisches Denken und Durchhaltevermögen. Denn wenn man eine Spur hat, dann muss man sich fragen, wie es weitergeht. Jeder Fall ist anders: Ob jetzt Systeme unter Windows 7 oder Windows 10 laufen, es gibt dabei so viele Unterschiede, in die man sich immer erst hineinfinden, die man recherchieren und wo man lernen muss. Das wird nie langweilig.

Also learning on the job?

Vicky Eleser: Ja, da reicht auch ein Studium nicht aus. Die Welt ist größer.

Das ist im Notfallkoffer einer digitalen Forensikerin:

• Laptop mit Toolstack
• Writeblocker
• zahlreiche Adapter, um z.B. Festplatten an den Writeblocker anzuschließen
• USB-Festplatten
• Mousejiggler
• Faraday-Bags
• UFED-Koffer für Sicherung von mobilen Geräten
• Switch, Netzwerkkabel
• LTE-Router
• Werkzeug
• Steckdosenleisten
• Handschuhe
• Zettel/Stifte
• Taschenlampe

Mehr zum Thema Berufsbilder in der IT:

Von der Kulturwirtin zur Scrum-Masterin
IT-Managerin im Gesundheitswesen
Big Data Berufsbilder: Wer macht was?