Die Anwendungsbereiche der IT-Forensik oder auch Digitalen Forensik werden immer vielfältiger und auch die Angriffe auf Computersysteme und Netzwerkinformationsstrukturen nehmen weiterhin sprunghaft zu. Somit ist es nur logisch, dass auch der Markt für hardware- und softwareseitige Produkte im Bereich der Computerforensik zunehmend an Dynamik gewinnt. Dieser ist nicht nur allein durch den Wettbewerb getrieben, sondern auch durch die Tatsache der Diversifikation in der Wahl der zur Verfügung stehenden Kommunkationsmittel, die nicht zuletzt durch den Einsatz von Smartphones und "Bring-Your-Own-Device"-Szenarien, sich fortwährend weiterentwickelt.

Die Möglichkeit digitale Spuren aus Datenträgern auszulesen ist nicht nur in der Kriminalistik gefragt, sondern auch im Unternehmensumfeld, wenn es um die Nachweiserbringung von IT-gestützten Delikten geht. In der unternehmerischen Praxis  geht es hierbei noch nicht einmal ausschließlich um Industriespionage, sondern oftmals um wesentlich profanere Vorfälle wie bspw.:

• Kopieren von Datensätzen wie Kundenstammdaten seitens eines Mitarbeiters
• Verrat von Unternehmensgeheimnissen
• Übertriebenes privates Surfen oder Erledigung von privaten Nebentätigkeiten während der Arbeitszeit.
• Mobbing
• Manipulation von Unternehmensdaten / Datensätzen oder einer Vielzahl weiterer Delikte

Die Gründe und die eigentliche Motivation eines Mitarbeiters dem Unternehmen zu schaden für das man tätig ist, können vielfältig sein und müssen nicht immer einen vorsätzlichen oder mutwilligen Hintergrund haben. Motivationen spielen in der IT-Forensik jedoch nicht die ausschlaggebende Rolle. IT-Forensik verfolgt einen wissenschaftlichen Ansatz, der sich ausschließlich auf die Beweisführung oder Beweisentkräftung konzentriert.

Beleuchtet man die IT-Forensik genau, so ist das Wissensspektrum was für einen IT-Forensiker erforderlich ist, sehr breit abgesteckt. Neben den zahlreichen unterschiedlichen Datenträgern und Dateisystemen, die ein regelmäßiger Bestandteil von forensischen Analysen sind, zählen hierzu auch umfangreiche Kenntnisse im Bereich der Datenrekonstruktion und Datenrettung, IT-Netzwerkstrukturen, Virtuellen Maschinen, vertiefte Kenntnisse in der IP- und Domainnamensauflösung sowie juristische Aspekte im Bereich des Datenschutzes und der Mitarbeiterrechte. Anhand des letztgenannten Punktes erkennt man einen guten IT-Forensiker quasi schon beim Beratungsgespräch, denn er eroiert gemeinsam mit dem Kunden die Ausgangslage und gibt im besten Falle schon hier wertvolle Hinweise zur Vorgehensweise, z.B. Handlungsempfehlungen in Absprache mit dem Betriebsrat, Einbindung des internen Datenschutzbeauftragten und Ratschläge zur Vorgehensweise vor Sicherstellung eines Geräts.

Alle oben benannten Punkte sind elementare Punkte, denn sie entscheiden schon vor der IT-forensischen Analyse über die Gerichtsfestigkeit- und spätere Verwertbarkeit der Beweisführung und selbst ein sattelfester erbrachter Beweis für ein IT-Delikt seitens eines Mitarbeiters kann nichtig sein, wenn den Beteiligten im Vorfeld der Sicherstellung eines Gerätes ein Verfahrensfehler unterläuft.

Die IT-Forensik gliedert sich von daher in folgende Bereiche:

• Beratung
• Identifizierung
• Sicherstellung
• Analyse
• Aufbereitung und Präsentation der forensischen Ergebnisse

Das Ziel der Computer-Forensik ist hierbei die Beantwortung folgender Fragen:

• Wer - hat Daten gelöscht, verändert oder manipuliert, bzw. kopiert ?
• Wann - wurde diese Tat begangen (Datum / Uhrzeit)
• Warum - wurden Daten gelöscht, verändert, manipuliert oder kopiert ?
• Wo - wurde die Tat genau begangen
• Was - ist genau vorgefallen / geschehen und welche Daten wurden exakt manipuliert bzw. betroffen.
• Wie - welche soft- oder hardwaremäßigen Hilfsmittel wurden eingesetzt um die Tat zu begehen.