Was macht ein IT-Forensiker?

Kriminaltechnische Ermittlung im World Wide Web

Bylle Bauer
Handy-Display

I’ve seen things you people wouldn’t believe. Files deleted and wiped coming back to life. I watched hard drive heads glitter in the dark of cleanrooms. All those data will never be lost. In time, we can get it all back.

Phishing, Hacking, Scamming: Ist ein Unternehmen Opfer eines Cyberangriffs geworden, bist Du als Computer- oder IT-Forensiker:in zur Stelle. Du analysierst den Vorfall, ermittelst den Schaden und sicherst Daten und somit Beweise, die auf die Person, die die Tat begangen hat, schließen lassen. Doch das ist nicht Dein einziges Einsatzgebiet. In der IT-Forensik bei der Polizei gewinnst und analysierst Du digitale Spuren, um Straftaten aufzuklären, die jenseits des Internets stattgefunden haben. Wie Du in diesem spannenden und besonderen Feld der IT-Security Fuß fassen kannst, erzählen wir Dir hier!

Was sind Deine Aufgaben als IT-Forensiker:in?

Wenn es in einem Unternehmen oder einer staatlichen Behörde zu einem Cyberangriff gekommen ist, trittst Du auf den Plan. Du gehst dem Vorfall analytisch und systematisch auf den Grund und ermittelst, wie es dazu kommen konnte. Du ordnest die Attacke ein und sicherst Daten. Das Bundesamt für Sicherheit und Informationstechnik (BSI) ist die deutsche IT-Sicherheitsbehörde und unterscheidet 8 forensische Datenarten: Hardwaredaten, Rohdateninhalte, Details über Daten, Konfigurationsdaten, Kommunikationsprotokolldaten, Prozess-, Sitzungs- und Anwenderdaten.

Bei der Datensicherung gehst Du in drei Phasen vor:

  1. Secure: Du identifizierst die relevanten Daten in möglichst unveränderter Form.

  2. Analyse: Du analysierst die Daten und wertest sie aus, untersuchst das System und ermittelst die Verantwortlichen für den Angriff.

  3. Present: Du stellst die Ergebnisse nachvollziehbar dar, skizzierst den Tatvorgang, präsentierst bekannte Fakten über den oder die Angreifenden und bewertest den Schaden.

In allen Phasen dieses "S-A-P-Modells" ist eine sorgfältige Dokumentation unerlässlich. Du sammelst gerichtsverwertbare Beweise, die sich für die Ermittlungen und eine anschließende Strafverfolgung nutzen lassen. Dabei beantwortest Du folgende Fragen, die im IT-Forensik-Leitfaden des BSI festgehalten sind:

  • Was ist passiert?
  • Wo ist es passiert?
  • Wann ist es passiert?
  • Wie ist es passiert?
  • Wer hat es getan?
  • Was kann unternommen werden, damit es in Zukunft nicht mehr passiert?

Im Rahmen der Incident Response stoppst Du Attacken und rettest, was zu retten ist. Manchmal ist der Schaden so groß, dass ein System vorübergehend abgeschaltet werden muss. Dies versuchst Du natürlich zu verhindern. Wenn Du bei einem Unternehmen fest angestellt bist, wirst Du nicht erst dann gerufen, wenn etwas passiert ist. Der Schwerpunkt Deiner Arbeit besteht dann darin, es den Täter:innen besonders schwer zu machen und Cybercrimes vorzubeugen. Hier gehst Du wie eine IT-Security Analyst:in vor, spürst Schwachstellen im System auf, ehe die "dunkle Seite" es tut und entwickelst Methoden zur Verteidigung und Erkennung von Angriffsmustern, die auf das System des Unternehmens zugeschnitten sind.

Aber Dein Aufgabengebiet kann auch weit über die Aufklärung von Cybercrimes hinausgehen. Heutzutage hinterlässt fast jeder Mensch digitale Spuren. Bei der Polizei sind IT-Forensiker:innen damit beschäftigt, diese aufzuspüren, um Verbrechen aller Art aufzuklären: Terroranschläge, Entführungen, Überfälle, Drogen- und Morddelikte. Um den Kriminellen auf die Schliche zu kommen, wertest Du zum Beispiel Endgeräte aus und spürst soziale Interaktionen von Opfern, Tätern und potenziellen Informant:innen im Netz auf. Dafür musst Du auch hardwareseitig Hand anlegen. Du lötest zum Beispiel den Chip aus einem Handy oder PC und sicherst die darauf befindlichen Daten. Der Weg in die Computer-Forensik geht für viele Deiner Teammitglieder auch über eine Ausbildung bei der Polizei und eine darauf aufbauende IT-Fortbildung. Beim Bundeskriminalamt (BKA) beschäftigst Du Dich mit der Entwicklung und dem Test von Methoden und Werkzeugen zur Sicherung, Untersuchung, Sichtbarmachung, Aufbereitung und Bereitstellung digitaler Daten mit dem Ziel der Auswertung durch die beauftragenden Ermittlungsbereiche.

Spielfiguren an einem Tatort

Wo kannst Du arbeiten?

Da Cyberangriffe zu den größten Bedrohungen für Unternehmen zählen, findet in den letzten Jahren eine stärkere Hinwendung zum Thema IT-Sicherheit statt. Länder wie die USA, Singapur und Malaysia sind hier Vorreiter, wir hinken noch ein gutes Stück hinterher. Aber der Trend ist eindeutig: Viele große Unternehmen, Banken und Versicherungen, aber auch Ministerien beschäftigen inzwischen ein ganzes IT-Security-Team, bestehend aus IT-Security Consultants und Analystinnen, Penetration Testern und IT-Forensikerinnen. Hier liegt das Hauptaugenmerk darauf, zukünftige Attacken zu verhindern, und Ihr arbeitet im Sec-Team täglich auf dieses Ziel hin.

Daneben gibt es auf Cybercrimes spezialisierte Dienstleistungsunternehmen, die andere Unternehmen zum Thema Cybersicherheit beraten, aber auch zur Tat schreiten, indem sie digitale Beweismittel sichern und aufbereiten, Daten analysieren und vieles mehr. Hier kannst Du als IT-Forensiker:in mit den unterschiedlichsten Situationen in Berührung kommen und herausfordernde Abwechslung ist garantiert!

Als IT-Forensiker:in kannst Du Dich außerdem bei vielen öffentlichen Arbeitgebern wie dem TÜV, der Bundeswehr und Ministerien wie dem Bundesamt für Verfassungsschutz, dem Bundeskriminalamt oder dem BSI für die Aufklärung von Verbrechen einzusetzen. Hier kannst Du ebenso wie bei der Polizei eine Zusatzausbildung absolvieren, wenn Du ein IT-Studium in der Tasche hast. Ein makelloses Führungszeugnis ist dafür natürlich Voraussetzung.

Worauf kannst Du Dich spezialisieren?

Die IT-Forensik lässt sich grob in 2 Bereiche unterteilen: Die Computer-Forensik beschäftigt sich mit der Analyse von Endgeräten, während sich die forensische Datenanalyse (FDA) auf die Untersuchung von Datenbanken und Datenbeständen konzentriert. IT-Forensiker:innen arbeiten mit unstrukturierten Daten, die sie aus Endgeräten und Kommunikationsanwendungen gewinnen. Als forensischer Data Analyst untersuchst Du strukturierte Daten aus Datenbanken und dem System. Dafür nutzt Du eigene Datenbanken wie SQLite queries, Lotus Notes oder Paraben.

Viele IT-Forensiker:innen machen beides, aber in Teams werden diese Aufgaben häufig aufgeteilt. Je nach Teamgröße kann es weiter in die Tiefe gehen. So gibt es z.B. IT-Forensiker:innen, die sich auf Betriebssystem-, Cloud-, Malware-, Netzwerk- oder Smartphone-Forensik spezialisieren. In der Digitalen Multimediaforensik wertest Du Bild-, Audio- und Videodateien aus und überprüfst sie auf Authentizität.

Zahl der eingehenden Beschwerden beim Investigation Internet Crime Complaint Center des FBI

Quelle: Statista.com

Bist Du eine IT-Forensiker:in?

Mit einem Bachelor in Informatik und idealerweise ein wenig Praxiserfahrung kannst Du Dich als Junior in den Job hinein entwickeln oder aber den Masterstudiengang Digitale Forensik absolvieren. In der Initiative Open C3S bieten verschiedene Unis und Hochschulen berufsbegleitende Online-Studiengänge im Bereich Cybersicherheit an, Zertifizierungen inklusive. Es existieren außerdem Weiterbildungen, die man abseits des Studiums absolvieren kann. Der Regelfall für IT-Sicherheitsspezialist:innen ist allerdings die akademische Laufbahn. Auch Privatschulen wie die Hochschule Wismar bieten ein Bachelor-Fernstudium in IT-Forensik an, das natürlich seinen Preis hat. Deshalb ist es nicht weniger sinnvoll, sich erst im zweiten Schritt in die Forensik einzuarbeiten und etwa als IT-Security Analyst oder Penetrationstesterin in die Arbeitswelt zu starten.

In der IT-Forensik brauchst Du gute Kenntnisse in Netzwerktechnologien wie TCP/IP inklusive entsprechender Protokolle, solltest mit den Grundzügen der gängigen Programmiersprachen vertraut sein und Dich in Betriebssystemen wie Windows, MacOS und Linux/UNIX sowie Android und iOS zurechtfinden.

Grundsätzlich solltest Du souverän mit Analysetools umgehen können. Besonders gut kommt es natürlich an, wenn Du Dich schon mal mit spezieller Forensik-Software wie zum Beispiel CAINE Autopsy, X-Ways Forensics oder den CERT Triage Tools befasst hast.

Darüber hinaus brauchst Du in der IT-Forensik juristisches Knowhow. Du musst genau wissen, was einen Beweis vor Gericht verwertbar macht und wie Du bei der Spurensicherung gesetzeskonform vorgehst.

Auf der Softskill-Seite bringst Du am besten eine gehörige Portion Geduld mit, da die Beweissicherung zäh sein kann. Umso cooler ist es dann, einen Fall zu lösen! Dabei hilft Dir Deine Marktkenntnis und Dein Interesse an neuen Tools und Methoden. Last but not least solltest Du ein formidabler interdisziplinärer Teamplayer sein, denn wie wir seit TKKG und den Fünf Freunden wissen: Dem Verbrechen kommt man am besten gemeinsam auf die Spur!

Was kannst Du als IT-Forensiker:in verdienen?

Dein Einstiegsgehalt in der IT-Forensik bewegt sich irgendwo zwischen 45.400 Euro und 67.800 Euro. Die große Spanne erklärt sich dadurch, dass es natürlich ein Unterschied ist, ob Du in der freien Marktwirtschaft zugange oder für eine staatliche Institution beschäftigt bist. Als Professional in einem großen Unternehmen verdienst Du im Durchschnitt gut und gerne 75.000 Euro, nach oben sind kaum Grenzen gesetzt. Auch wenn es beim BSI oder der Polizei vielleicht nicht dasselbe Gehalt gibt wie in einem Großkonzern, so kommst Du dort mit wirklich spannenden Fällen in Berührung und kannst helfen, Kapitalverbrechen aufzuklären.

TL;DR:
  • Als IT-Forensiker:in klärst Du entweder Cyberangriffe auf ein IT-System auf oder löst mithilfe von digitaler Spurensuche echte Straftaten.
  • Da dieses Berufsfeld sehr anspruchsvoll ist und die Anforderungen hoch sind, kannst Du hier, wenn Du die entsprechenden Erfahrungen gesammelt hast und richtig gut bist, überdurchschnittlich viel verdienen.
  • Du gehst bei Deinen Analysen immer nach dem gleichen Muster vor: Datensicherung, Analyse, Dokumentation und Präsentation – schließlich musst Du Spuren und Beweise finden, die vor Gericht verwertbar sind.
  • Große Unternehmen beschäftigen eigene Computer-Forensiker:innen ebenso wie staatliche Behörden, Ministerien, die Bundeswehr oder die Polizei.