Forensische Datenanalyse

aus Wikipedia, der freien Enzyklopädie
Wechseln zu: Navigation, Suche

Die Forensische Datenanalyse (FDA) ist ein Teilgebiet der IT-Forensik. Sie untersucht strukturierte Daten nach Vorfällen wirtschaftskrimineller Handlungen. Ziel ist die Aufdeckung bzw. der Nachweis und die Analyse der Handlungsmuster. Daten aus Anwendungssystemen beziehungsweise aus deren zugrunde liegenden Datenbanken werden als strukturierte Daten bezeichnet.

Im Gegensatz dazu stammen unstrukturierte Daten in der Regel aus Kommunikations- oder Büroanwendungen oder aus mobilen Geräten. Diese Daten haben keine übergreifende Struktur und werden mit Mitteln der Computer-Forensik hinsichtlich Stichwörtern oder Kommunikationsvorgängen analysiert.

Verfahren[Bearbeiten]

Die Analyse der zumeist großen Datenbestände erfolgt typischerweise in einem separaten Datenbanksystem des Analystenteams. Einerseits sind die Originalsysteme meist nicht so dimensioniert, dass umfangreiche, individuelle Analysen ohne Beeinträchtigung der regulären Anwender möglich sind. Andererseits ist es methodisch vorzuziehen, Kopien von Daten auf separaten Systemen zu analysieren und so das Analyseteam vor dem Vorwurf der Veränderung der Originaldaten zu schützen.

Zur Analyse großer strukturierter Datenbestände mit dem Ziel der Aufdeckung wirtschaftskrimineller Handlungen werden mindestens drei verschiedene Fachexpertisen im Analyseteam benötigt: Ein Datenanalyst, der die technische Bearbeitung der Daten vornehmen und die eigentlichen Abfragen schreiben kann, ein Teammitglied mit genauen Kenntnissen über die Prozessabläufe und internen Kontrollen im fraglichen Bereich des untersuchten Unternehmens und ein Forensiker, der unternehmensschädliche (dolose) Handlungsmuster kennt.

Nach einer Erstanalyse mit den Methoden der explorativen Datenanalyse erfolgt der eigentliche Ablauf der Forensischen Datenanalyse meist iterativ. Es wird zunächst eine Hypothese gebildet, mit welchem Handlungsmuster sich der Täter einen Vorteil verschafft haben kann. Dann werden die dabei im System verbleibenden Spuren gesucht. Danach wird die Hypothese verfeinert oder verworfen.

Besonders nützlich ist die Verknüpfung unterschiedlicher Datenbestände, insbesondere von Daten aus verschiedenen Systemen oder Quellen. Diese sind meist dem Täter nicht bekannt oder können vom ihn nicht nachträglich beeinflusst werden.

Zur Darstellung der Ergebnisse kommen häufig Methoden der Datenvisualisierung zum Einsatz.

Literatur[Bearbeiten]

  • Jörg Meyer: Forensische Datenanalyse. 1. Auflage. Erich Schmidt Verlag, Berlin 2012, ISBN 978-3-50313-847-0.