Digitale Forensik ist aus dem Unternehmensumfeld nicht mehr wegzudenken: rechtliche Vorgaben und Wissensaufbau sowie Rekonstruktion von Tathergängen, aber auch die Prävention krimineller Aktivitäten spielen hier eine Rolle. Aufgrund der Veränderung von technologischen Rahmenbedingungen in den vergangenen Jahren hat die sogenannte „Live-Forensik“ zunehmend an Bedeutung gewonnen.

Live-Forensik

Dieser Begriff bezeichnet die Analyse von flüchtigen Daten eines laufenden Computersystems während oder kurz nach dem Eintritt eines sicherheitskritischen Systemereignisses. Flüchtige Daten sind Informationen, die bei Unterbrechung der Stromversorgung verloren gehen, weil sie nicht auf einem langlebigen Datenträger, z. B. eine Festplatte, gespeichert werden. Darunter fallen beispielsweise Inhalte des Arbeitsspeichers, aktive Prozesse und Informationen zu bestehenden Netzwerkverbindungen.

Live-Forensik kann auch in Szenarien in denen traditionelle digitalforensische Methoden nicht effektiv sind, sehr ergiebig sein und in weiterer Folge andere Analysemethoden ermöglichen. Auf Systemen mit Datenträger-Vollverschlüsselung kann etwa aus dem Inhalt des Arbeitsspeichers der kryptographische Schlüssel extrahiert werden, der dann für eine spätere Analyse des Systems zur Verfügung steht. Dem gegenüber stehen jedoch Richtlinien zur Erstellung digitalforensischer Prozesse (NIST, Sans, BSI etc.), die nicht den aktuellen Stand der Technik widerspiegeln, da die technologische Entwicklung der Anpassung der Richtlinien in der Regel voraus ist.

Ziel des Qualifizierungsnetzes ist es, den Unternehmen eigene Forschungsaktivitäten auf dem Gebiet der Live-Forensik zu ermöglichen, sowie den Aufbau eines Unternehmensnetzwerks und somit den Wissenstransfer von Konzepten der Live-Forensik – die von aktuellen digitalforensischen Richtlinien nicht abgedeckt werden – zu forcieren.