Notiz an mein Tagebuch: keine Aufnahmen meines Hinterkopfs mehr zulassen oder lustige Mütze aufsetzen.

Update: Jetzt ist es quasi amtlich. Das vermeintliche Posting mit der Tatankündigung im Internet ist eine Fälschung. So leicht kann man Ermittler und die liebe Öffentlichkeit auf die falsche Fährte führen.  Soetwas nennt man landläufig auch Trugspuren.

Zuerst natürlich der übliche Disclaimer, dass es sich hier meine private Meinung handelt.

Was ist geschehen? Ein Unternehmen, dass häufiger große Aufträge zu vergeben hat und allein durch seine Größe rein statistisch einem gewissen Korruptionsriskio unterliegt, möchte gerne seiner Pflicht gegenüber dem Eigentümer und auch den gesetzlichen Bestimmungen nachkommen, um Bestechung, Korruption und andere kriminelle Handlungen aufzudecken. Denn hierbei kann dem Unternehmen und damit seinen Eigentümern ein größerer Schaden entstehen. Es gibt ein Standardvorgehen, wie man sich schnell einen Überblick über diesbezügliche Sachverhalte gerade bei großen Datenmengen verschafft. Man nimmt sich die vorhandenen (legal erhobenen Daten aus Kreditoren- und Debitorenbuchhaltung, sowie die Personalstammdaten) und schaut sich Auffälligkeiten an. Vom Grundsatz her sollte dies bei Personaldaten pseudonymisiert geschehen. Gibt es eine Auffälligkeit – wir sagen dazu Red Flag – wird eine Tiefenprüfung durchgeführt – wie sonst auch – und dem Verdacht dann nachgegangen. Es ist also keine Datenspionage, sondern eine standardmäßige Prüfungshandlung. Die Frage ist dabei, wo kommen die Daten her und welche weiteren Erkenntnisse fließen in die Analyse ein?

Welche Dinge schaut man sich bei einer Forensischen Datenanalyse normalerweise an? (ganz kurzer und unsortierter Auszug eines Prüfplans)

• Prüfung auf doppelte Einträge bei Namen
• Prüfung auf doppelte Einträge bei Adressen
• Prüfung auf doppelte Einträge bei Telefonnummern
• Prüfung auf doppelte Einträge bei Bankverbindungen
• Prüfung auf doppelte Felder wie Geburtsdaten, Bemerkungen und Eintrittsdaten etc.
• Prüfung auf Zahlungen an inaktive Angestellte
• Prüfung auf bekannte Namen von Mitarbeitern (Abgleich Personalstammdaten)
• Prüfung auf bekannte Adressen von Mitarbeitern (Abgleich Personalstammdaten)
• Prüfung auf bekannte Telefonnummern von Mitarbeitern (Abgleich Personalstammdaten)
• Prüfung auf bekannte Kontonummern/Bankverbindungen von Mitarbeitern (Abgleich mit Personalstammdaten)
• Freigabe von Bestellungen durch den Ersteller
• Freigabe von Bestellungen durch den Ersteller der Banf
• Freigabe von Bestellungen durch nicht-autorisierte Mitarbeiter
• Freigabe von Bestellungen innerhalb eines kurzen Zeitintervalls nach der Erstellung
• Freigabe von Bestellungen an Wochenenden und zu ungewöhnlichen Tageszeiten
• Prüfung auf Wareneingänge ohne Bezug zu einem Bestellungvorgang / Banf
• usw.

Wie dem auch sei, die Forensische Datenanalyse ist ein sehr wichtiges Instrument in großen Unternehmen oder über längere Zeiträume, Anhaltspunkte für dolose Handlungen zu finden. Gibt es einen Treffer für ein Red Flag, bedeutet dies nicht, dass letztendlich auch wirklich etwas dran ist. Die eigentliche Ermittlungsarbeit folgt dann auf den produzierten Ergebnissen. Allerdings müssen auch hier die gesetzlichen Grenzen eingehalten werden. Weiterhin sollte der Auftraggeber einer solchen Forensischen Datenanalyse genau überlegen, wer mit einer solchen Analyse beauftragt wird und aus welchen Quellen die zu untersuchenden Daten stammen.

Zum Schluss möchte ich noch darauf hinweisen, dass es dem Auftraggeber bewusst sein sollte, welchen Analysen auf welcher Datenbasis durchgeführt werden, damit jederzeit dazu auch Auskunft gegeben werden kann.

Ich habe in diesem Zusammenhang eine kleine Umfrage gestartet, die aber eher technischer Natur ist (siehe Rechts unten in der Sidebar).

Auch wenn an verschiedener Stelle ein Trauermarsch auf die Cebit geblasen wird, werde ich auch in diesem Jahr wieder einen Vortrag auf dem c’t Heise-Stand im Rahmen des Forums “Sicherheit und IT-Recht” halten. Thema des diesjährigen Vortragswird “RAM Forensics – forensische Analyse von Hauptspeicherinhalten” sein.

Donnerstag, 5.3.2009, 16:00-17:00, Halle 5, Stand E38

Die neuen Features von Mount Image im Überblick (aus den Release Notes):

• Mounten logischer Image-Dateien: Mount Image Pro 3 mountet logische Image-Dateien, die in EnCase (.L01) oder Access Data ForensicToolKit (.AD1) erstellt wurden.
• Mounten physikalischer Laufwerke: Mount Image Pro 3 nutzt Mount Points physikalischer Geräte. Den physikalischen Laufwerken muss kein Laufwerksbuchstabe mehr zugewiesen werden. Andere Anwendungen können direkt auf das physikalische Gerät verweisen.
• Mounten von GPT-Laufwerken: Mount Image Pro 3 bindet nun auch GPT-Laufwerke ein (GPT: GUID Partitionstabelle). Mit GPT steht ein flexiblerer Mechanismus zur Festplattenpartitionierung zur Verfügung als mit seinem Vorgänger Master Boot Record (MBR), dem bisherigen Partitionierungsschema für PCs.
• Mounten von Laufwerken mit einer Kapazität, die von 512 Bytes pro Sektor abweicht Einige der neueren Laufwerke, insbesondere Speichergeräte für MP3-Player, iPods und andere bewegliche Medien, setzen vermehrt auf neue Größen (etwa 2048 Bytes pro Sektor) und nicht mehr auf die herkömmlichen 512 Bytes pro Sektor. Mit Mount Image Pro 3 ist nun auch das Mounten von Laufwerken mit abweichenden Größen möglich.
• Mounten erweiterter Partitionen: Erweiterte Partitionen können nun im Ganzen eingehängt und mit einem Laufwerksbuchstaben verknüpft werden, um den Direktzugriff auf eventuell nicht zugewiesenen Speicher innerhalb der erweiterten Partition zu ermöglichen.
• Überspringen fehlender Image-Dateien: Mount Image Pro 3 ermöglicht das Mounten von Images auch in Fällen, in denen Image-Teile fehlen.
• Erhalt forensischer Integrität von Laufwerken: Mount Image Pro 3 sorgt für den vollständigen Erhalt der MD5 Hash-Integrität. Dies kann durch eine erneute Ausführung des gemounteten Laufwerks sowie den Vergleich der MD5-Prüfsummen getestet werden.
• Neue Mounting-Engine: Die neue Mounting-Engine von Mount Image Pro 3 versetzt GetData in die Lage, in den kommenden Monaten weitere neue Funktionen hinzuzufügen.

Link zum Hersteller

* Hauptspeicheranalyse. Erfordert eine forensische Lizenz.
Die Analyse ist verfügbar für lokalen RAM (geöffnet über Extras
| RAM öffnen) und für Memory-Dumps. Unterstützt die 32-Bit-
Versionen von Windows 2000, Windows XP, Windows 2003 Server,
Windows Vista und Windows 2008 Server.

Prozesse werden im Verzeichnis-Browser aufgelistet, mit ihren
Zeitstempeln und Prozeß-IDs, und ihr jeweiliger Speicheradreß-
raum kann individuell im Modus “Process” eingesehen werden,
wobei die Seiten in korrekter logischer Reihenfolge hinter-
einander dargestellt werden, wie sie aus Sicht jedes Prozesses
angeordnet sind. Die “intensiven Dateisystem-Datenstruktur-
Suche” ist signaturbasiert, dauert ein bißchen länger als das
Erstellen des standardmäßigen Datei-Überblicks und kann Spuren
von weiteren beendeten Prozessen sowie Rootkits aufdecken.

Der technische Detailbericht gibt wichtige systemweite Parameter
aus sowie die aktuellen Adressen wichtiger Kernel-Datenstrukturen.
Im Details-Modus finden sich zu jedem Prozeß die Adressen von
prozeßbezogenen Datenstrukturen und jeweils die ID des über-
geordneten Prozesses. Im RAM-Modus wird zu jeder Speicherseite
in der Informationsspalte ggf. ein zugehöriger Prozess und der
Verwaltungszustand angezeigt.

Mit dem entsprechenden Hintergrundwissen kann die neue Funk-
tionalität benutzt werden, um mehr zu erfahren über den
aktuellen Zustand der Maschine und der Prozesse, Sockets,
geöffnete Dateien, geladene Treiber und angeschlossene Daten-
träger, um Schadsoftware zu identifizieren, um die entschlüsselte
Version von verschlüsselten Daten zu finden, um etwa in der
Vorfallsanalyse Netzwerk-Spuren zu analysieren, und um weitere
Erkenntnisse im Bereich der Speicherforensik zu gewinnen.

* Arbeitsspeicher kann mit X-Ways Forensics auch über ein
Netzwerk hinweg gesichert werden, mit Hilfe von F-Response 2.x,
seit v15.1 SR-5 (Extras | Datenträger öffnen).

* Der Befehl “Speichern unter” steht nun auch für Datenträger
bzw. über F-Response geöffnetes RAM zur Verfügung (noch eine
weitere Möglichkeit, ein Image zu erzeugen).

* Wenn mehr als 1 GB Hauptspeicher verfügbar ist, nutzt die
Index-Optimierung den Speicher nun besser aus, was zu einer
beträchtlichen Beschleunigung dieses Schritts für große Indexe
führen kann.

* Es gibt nun zwei verschiedene Kontrollkästchen im Fenster
“Suche im Index”. Das Ankreuzen des ersteren hilft, Wörter
innerhalb von Verbünden zu finden (z. B. “Konto” in “Bankkonto”
und “Unterkonto”). Wie schon in früheren Versionen, ist das
Ergebnis ist allerdings unvollständig und langsam, wenn der
Index nicht schon speziell für Teilwortsuchen präpariert wurde.
Das Ankreuzen des zweiten Kontrollkästchens erlaubt Wort-
verlängerungen (findet z. B. “Drogen” bei der Suche nach
“Droge” und  ”Bankkonto” bei der Suche nach “Bank”). Das
Finden von Wortverlängerungen war in früheren Versionen die
Standardeinstellung. Jetzt ist es optional. Wenn beide Kontroll-
kästchen *nicht* angekreuzt sind, werden nur ganze Wörter
gefunden.

* Hash-Sets können nun nach Wichtigkeit eingestuft werden.
Das ist nützlich, weil beim Abgleich von Hash-Werten mit
der Hash-Datenbank immer nur maximal 1 Treffer zurückgegeben
wird, auch wenn derselbe Hash-Wert in mehreren Hash-Sets
enthalten ist. Jetzt können Sie sicherstellen, daß Sie in
einem solchen Fall das für Sie relevanteste Hash-Set gemeldet
bekommen, z. B. ein Hash-Set, das Kipo-Bilder ohne Zweifel
identiziert und nicht ein anderes Hash-Set aus einer anderen
Quelle, in dem auch die Hash-Werte von weniger eindeutig dem
Bereich Kipo zuzuordnenden Bilddateien enthalten sind.
Ebenfalls neu ist, daß im Fall von mehreren Treffern in der
Hash-Set-Spalte hinter dem Namen des jeweils zurückgemeldeten
Hash-Sets nun ein “+”-Zeichen angezeigt wird.

* Sie können nun Unicode-Zeichen bei der Benennung von
Hash-Sets verwenden.

* Zur Erhöhung der Bequemlichkeit erinnern sich WinHex und
X-Ways Forensics nun an das zuletzt ausgewählte Objekt und
weitere Einstellungen des Verzeichnis-Browsers und stellen
sie wieder her, wenn Sie Datenfenster und Asservate erneut
öffnen. Das erleichtert es, die eigene Arbeit (die Begutachtung
von Dateien) nach einer Pause oder Unterbrechung an gleicher
Stelle fortzusetzen.

* Datei-Container, die mit der neuen Version erstellt wurden,
speichern nun auch die Hash-Kategorie von Dateien und den
Hautfarbenanteil von Bildern.

* X-Ways Forensics kann nun Hash-Werte vom Typ SHA-1 von .e01
Evidence-Files importieren, wie sie neuerdings optional von
EnCase 6.12 bereitgestellt werden. (Beachten Sie, daß Sie in
X-Ways Forensics niemals auf MD5 beschränkt waren.)

* Es ist nun möglich, ein Asservat durch einem neuen Datenträger
zu ersetzen (Laufwerksbuchstabe oder physischer Datenträger).
Nützlich, wenn Sie mit Originalplatten und nicht mit Images
arbeiten, und der Laufwerksbuchstabe oder die Plattennummer
sich in Windows geändert hat.

* Die Grafikbibliothek wurde aktualisiert. Einige Probleme
mit der Anzeige von Bildern wurden damit behoben.

* Möglichkeit zum Interpretieren von ISO-CD-Images im Mode 1
mit 2.352 Bytes pro Sektor, sofern diese Images nicht segmentiert
sind.

* Es ist jetzt möglich, existierende und gelöschte Dateien
in separaten Ausgabeverzeichnissen zu gruppieren, wenn Sie
den Befehl Wiederherstellen/Kopieren verwenden. Erfordert,
daß Sie X-Ways Forensics auch den Originalpfad wiederherstellen
lassen.

* Möglichkeit, Dateien wiederherzustellen, deren Originalpfad
Verzeichnisnamen mit Leerzeichen am Ende enthält, obwohl
Windows dies nicht erlaubt, indem diese Leerzeichen entfernt
werden.

* Für intern rekonstruierte RAIDs wird nun in der Informations-
spalte die Nummer der Komponentenplatte angezeigt, von der
der aktuelle Sektor (der Sektor mit dem blinkenden Cursor)
gelesen wurde, zusammen mit der relativen Nummer, die der
Sektor auf dieser Komponentenplatte hat.

* Es ist jetzt möglich, auch in einer Suchtrefferliste Dateien
zu unterdrücken. Solche Dateien werden tatsächlich heraus-
gefiltert, wenn Sie unterdrückte Objekte nicht auflisten
lassen, sobald Sie den Enter-Schalter im Suchbegriffsfenster
anklicken, um die Suchtrefferliste neu zu füllen.

* Beim Identifizieren und Unterdrücken von doppelten Dateien
war es bisher möglich, daß Verbünde von E-Mails und Attachments
aufgespalten wurden, weil das übergeordnete Objekt (die
E-Mail) von einem Verbund und das Unterobjekt (der Dateianhang)
eines anderen anderen Verbunds unterdrückt wurde. Der Algorithmus
wurde verbessert, um die Qualität der Untersuchung zu verbessern,
indem diese nicht wünschenswerte Situation nun vermieden wird.
Identische E-Mails mit unterschiedlichen Dateianhängen (Unter-
objekten) werden als Duplikate gekennzeichnet, aber nicht mehr
unterdrückt. Identische Anhänge (Unterobjekte) werden als
Duplikate gekennzeichnet, aber nur dann indirekt unterdrückt,
wenn sie Teil von identischen E-Mails sind und diese auch
unterdrückt werden.

* Nach der Verarbeitung von E-Mail zeigt X-Ways Forensics nun
Datei-Anhänge als Unterobjekte von E-Mails statt in einem
virtuellen Verzeichnis namens “Attach” an, in einigen wenigen
Fällen, in denen dies bisher noch nicht so geschah.

* Ein Benennungsproblem wurde behoben, für E-Mails, die aus
msg-Dateien extrahiert wurden, welche dem Datei-Überblick
als virtuelle Dateien von extern angehängt worden waren.

* Es ist jetzt möglich, alle Dateien eines ganzen Verzeichnisses
auf einmal an einen Daten-Überblick anzuhängen, nicht nur
einzelne Dateien, wenn Sie die Strg-Taste beim Aufruf des
Befehls im Kontextmenü des Verzeichnis-Browsers gedrückt
halten. Nützlich z. B., nachdem Sie Tausende von .msg-Dateien
aus einem .pst- oder .ost-E-Mail-Archiv mit der Viewer-
Komponente extrahiert haben, um sie zurück in X-Ways Forensics
zur weiteren Verarbeitung zu importieren.

* Ein Fehler in der Funktion “Unterdrücktes ganz entfernen”,
der seit v14.8 existierte, wurde behoben.

* Icons von unterdrückten Dateien werden nun in Grau statt
blau angezeigt. Icons von verdächtigen Dateien werden nun in
Rot statt blau angezeigt.

* Beim Hinzufügen einer Datei zu einer Berichtstabelle ist es
nun möglich, gleichzeitig auch rekursiv all deren Unterobjekte
zu derselben Tabelle hinzuzufügen, nicht nur direkte Unterobjekte.

* Möglichkeit, wtmp- und utmp-Log-In-Datensätze von Unix/Linux
einzusehen.

* Erkennt das Dateisystem TFAT als solches.

* Wenn Sie die empfehlenswerte Datenreduktion für logische
Suchen einschalten, werden Dateien, die als verschoben/umbenannt
gekennzeichnet sind, nicht mehr durchsucht, da dieselben Daten
bereits durchsucht werden, wenn die betreffende Datei in ihrem
neuen Verzeichnis/unter ihrem neuen Namen an die Reihe kommt.

* Diverse kleinere Verbesserungen.

* Ein Ausnahmefehler vom Typ 216 bei Offset 00550348 beim
Erstellen eines Datei-Überblicks in der ursprünglichen Version
15.2 wurde mit SR-1 behoben.

* Ein Ausnahmefehler, der in seltenen Fällen beim Optimieren
eines Indexes auftreten konnte, wurde ebenfalls mit v15.2
SR-1 behoben.

* Es gibt nun zwei Interpretationen von $LogFile im Vorschau-
Modus und für den Einsehen-Befehl. Die neue Interpretation
gibt Ihnen einen leicht verständlichen Überblick über gelöschte
Dateien mit Löschzeitpunkt (bis dato nicht verfügbar und
ein weiteres Alleinstellungsmerkmal von X-Ways Forensics).
In Fällen, in denen der Löschzeitpunkt fehlt, kann zumindest
manuelle ein Zeitrahmen, in dem die Löschung erfolgt sein
muß, abgeleitet werden. Die alte Interpretion, eine weitaus
vollständigere und detailliertere Ansicht von $LogFile, ist
noch immer verfügbar, wenn Sie den Roh-Modus aktivieren.
(seit v15.1 SR-1)

* Eine Ausnahmesituation, die während einer Suche im Index
auftreten konnte, wurde behoben. (seit v15.1 SR-1)

* Das Markieren von Dateien in einer rekursiven Ansicht hatte
nicht immer den richtigen Effekt auf Verzeichnisse. Dies wurde
korrigiert. (seit v15.1 SR-1)

* Ein Ressourcen-Leck wurde behoben, das zutage trat, wenn
man versuchte, aus Tausenden von Dateien E-Mails zu extrahieren.
(seit v15.1 SR-1)

* Verschobene oder umbenannte Dateien in NTFS-Partitionen,
von denen nur Index-Records verfügbar sind und deren Dateigröße
unbekannt ist, werden nun auch in der Galerie, nicht nur im
Vorschau-Modus angezeigt. (Allerdings beides nur, wenn der
neue Zustand der Datei, wie er in einem FILE-Record definiert
ist, das Öffnen der Datei erlaubt.) (seit v15.1 SR-2)

* Wenn E-Mail aus paßwortgeschützten Outlook-PST-Archiven
extrahiert werden soll und der Benutzer nicht innerhalb von
30 Sekunden reagiert und zustimmt, ein Paßwort einzugeben,
fährt X-Ways Forensics mit der nächsten Datei fort. (seit
v15.1 SR-2)

* Datei-Container können nun nach dem Befüllen beim Schließen
nicht nur in einer .e01-Datei verpackt, sondern optional in
ihrem aktuellen Zustand auch “eingefroren” werden, so daß sie
nicht noch weiter befüllt werden können (selbst nach Rück-
konvertierung in ein Roh-Image). Solche Container werden im
technischen Detailbericht als schreibgeschützt beschrieben.
(seit v15.1 SR-2)

* Möglichkeit, Hybride von RAR mit JPEG oder Bitmap-Dateien
zu erkennen, bei der Extraktion von Metadaten sowie im Details-
Modus. (seit v15.1 SR-2)

* Mehr Informationen über RAR-Dateien im Details-Modus. (seit
v15.1 SR-2)

* Instabilität des Registry-Viewers unter Windows Vista
beseitigt. (seit v15.1 SR-2)

* Eine Instabilität wurde korrigiert, die beim Dekomprimieren
bestimmter hiberfil.sys-Dateien auftreten konnte. (seit v15.1
SR-2)

* Ein Problem beim Verarbeiten von signierten E-Mails
(x-pkcs7-Signatur) von Eudora wurde behoben. (seit v15.1 SR-2)

* Erhöhte Genauigkeit bei der Konvertierung bestimmter E-Mails
von Office Outlook. (since v15.1 SR-2)

* Einige weitere kleinere Verbesserungen und Fehlerkorrekturen
bei der E-Mail-Verarbeitung. (seit v15.1 SR-2)

* Ein Fehler, der die Anzeige von GIF-Bildern für den Rest einer
Sitzung nach Anzeige des bestimmten GIF-Bildes verhinderte, ist
behoben worden. (seit v15.1 SR-3)

* Die von Windows auf Festplatten hinterlassene Signatur wird
nun im technischen Detailbericht mit ausgegeben. (seit v15.1
SR-4)

* Zip-Dateien, die OpenOffice-Dokumente sind, werden nun bei
der Signatursuche normalerweise wieder mit der korrekten
Dateigröße dargestellt. (seit v15.1 SR-4)

* Nach dem Abgleich von Hash-Werten mit der Hash-Datenbank,
wenn eine andere Hash-Datenbank geladen wird und die Hash-
Werte nicht wieder mit der neuen Datenbank abgeglichen werden,
werden Bezüge auf Hash-Sets in der alten Datenbank nicht mehr
als gültig anerkannt, was verhindert, daß ein falsches
Hash-Sets in der Hash-Set-Spalte angezeigt wird. Die Hash-
Kategorie hingegen war immer unabhängig von der Hash-Datenbank
gespeichert worden. (seit v15.1 SR-4)

* Die Fortschrittsanzeige für den Wiederherstellen/Kopieren-
Befehl wurde korrigiert. (seit v15.1 SR-4)

* Die Anzeige zweier Meldungsfenster wurde vermieden, die
in sehr speziellen Situationen beim Erweitern des Datei-Über-
blicks Benutzerinteraktion erzwangen. (seit v15.1 SR-4)

* Das Abwählen der Option “Unterobjekte gewählter Dateien
kopieren” hatte nicht immer den gewünschten Effekt. Das wurde
behoben. (seit v15.1 SR-5)

* Der GREP-Anker “$” funktionierte nicht richtig für größere
Dateien. Das wurde korrigiert. (seit v15.1 SR-5)

* Das Unvermögen der Funktion Bearbeiten | Daten modifizieren,
größere Dateien zu verarbeiten, wurde behoben. (seit v15.1 SR-6)

* Einige Ausnahmefehler wurden verhindert. (seit v15.1 SR-6)

* Ein Fehler im Wiederherstellen/Kopieren-

Frage:
Kapitel 5.2 – Analyse des File-Slacks (S. 106)
Warum gibt es im MFT-Slack keinen File-Slack? Sie schreiben folgendes ” (…) Wenn die Daten allerdings kleiner als die 1.024 Byte eines Record sind, kann der überschüssige Bereich Fragmente von alten Dateien enthalten. (…)” Wenn an dieser Stelle eine neue Datei gespeichert wird, stellt dies doch ebenfalls File- respektive Drive-Slack dar?

Antwort:
Die MFT ist keine Datei im klassischen Sinne, wie wir sie von einem NTFS her kennen. Die MFT ist eine Art Datenbank und ist mit Bordmitteln nicht sichtbar, erst die Analyse mit Spezialwerkzeugen oder einem Hex-Editor fördert die Inhalte von $MFT zu Tage. Bei der Veränderung der MFT entsteht somit kein File-Slack, wie wir ihn von regulären Daten her kennen. Der MFT-Slack ist lediglich innerhalb der der einzelnen MFT-Records zu finden. Dieser Slack ist vollkommen unabhängig vom File- bzw. Drive-Slack.

Das Buch liest sich trotz längerer theoretischer und juristischer Passagen durchwegs spannend, obwohl es überhaupt nicht zur Unterhaltung geschrieben ist. Der Informationsgewinn sowohl für Nichttechniker als auch für IT-Spezialisten dürfte durchwegs hoch sein. Wer in Unternehmen oder Behörden in irgendeiner Weise mit IT-Sicherheit und mit dem Funktionieren der IT-Infrastruktur befasst ist oder unternehmerische Verantwortung trägt, sollte dieses Buch lesen. Aber auch Privatanwender lernen viel über Datenwiederherstellung und Spurensicherung – ein Wissen, dass man durchaus auch für die Sicherheit des eigenen Rechners oder des eigenen kleinen Heimnetzwerkes gewinnbringend einsetzen kann. Ein gewisses Maß an fortgeschrittenen Kenntnissen von Betriebssystemen, insbesondere von Kommandozeilenbefehlen, sollte aber vorhanden sein, um der Lektüre folgen zu können.

Hier der Link auf die gesamte Rezension.

http://www.accessdata.com/downloads/media/Acquisition_Press_Release.pdf