In der ersten Phase eines Digital-Forensics-Einsatzes, der Identification-Phase, verschaffen sich unsere Forensiker einen ersten Überblick über den Security Incident. Hierfür stimmen sie sich eng mit dem Auftraggeber ab, führen erste Befragungen durch und suchen nach potentiellen Quellen für relevante Beweise.

Die Preservation-Phase bildet die zweite Phase eines Digital-Forensics-Einsatzes. Während der Preservation-Phase stellen unsere Forensiker sicher, dass Beweise, die in den späteren Phasen aufgenommen und analysiert werden, eine jederzeit nachvollziehbare und nicht manipulierbare Beweismittelkette (chain of custody) bilden. Dies ist zum einen zwingend notwendig für eine etwaige Inanspruchnahme von Versicherungsleistungen, Schadenersatzforderungen oder der Strafverfolgung, zum anderen kann nur so der genaue Tathergang rekonstruiert werden und im Nachgang eine Verbesserung der Cyber Resilience erarbeitet werden.

Während der Collection Phase, der dritten Phase eines Digital Forensics Einsatzes, sammeln unsere Forensiker Beweise zur späteren Auswertung ein. Diese können, je nach Security Incident, unterschiedlichste Beweismittel sein. Unter anderem infizierte Laptops, Festplatten, Systemimages, Telefone, Logdaten, Downloads, Mitschnitte von Netzwerkverkehr oder Inhalte von Mailboxen. Diese Phase kann sich, genauso wie die Analysis-Phase, mehrmals wiederholen, falls sich bei der Analyse der Beweismittel Indizien auf weitere Quellen für relevante Beweise erschließen.

In der Analysis Phase eines Digital Forensics Einsatzes werden die gesammelten Beweismittel eingehend und systematisch analysiert. Gefundene Beweise werden anschließend bewertet und Schlussfolgerungen auf Grundlage der gefundenen Beweise gezogen. Durch das Auffinden von Beweisen kann es vorkommen, dass weitere Beweismittel eingesammelt werden müssen, um die gezogenen Schlussfolgerungen zu bestätigen bzw. zu widerlegen.

Die Dokumentation ist ein kontinuierlicher Prozess während des gesamten Digital Forensics Einsatzes. Die kontinuierliche Dokumentation stellt sicher, dass der gesamte forensische Einsatz bis ins Detail nachvollzogen werden kann. Angefangen von der Aufnahme des Falls über die Ergebnisse der ersten Befragungen, die Aufnahme und Analyse der Beweismittel und die daraus resultierenden Schlussfolgerungen bis hin zur finalen Rekonstruktion des Tathergangs. Nur durch die detaillierte und lückenlose Dokumentation kann eine nachvollziehbare Beweismittelkette (chain of custody) gebildet werden.

Während der finalen Phase des Digital-Forensics-Einsatzes, der Presentation Phase, wird auf Grundlage der gefundenen Beweise und der daraus resultierenden Schlussfolgerungen der Tathergang möglichst genau rekonstruiert. Hierbei achten unsere Forensiker darauf, eine unumstößliche Beweismittelkette (chain of custody) zu erstellen und wenn gewünscht, Verbesserungsvorschläge zur späteren Stärkung der Cyber Resilience zu unterbreiten.