IT-Forensik ist die wissenschaftliche Untersuchung und Analyse digitaler Spuren nach einem Sicherheitsvorfall. Ziel ist es, den Tathergang zu rekonstruieren, Beweise gerichtsfest zu sichern und den Umfang der Kompromittierung zu bestimmen.
Der forensische Prozess folgt festen Grundsätzen: Beweisstücke werden nie am Original verändert, jede Aktion wird dokumentiert, und die Beweiskette (Chain of Custody) bleibt lückenlos nachvollziehbar. Werkzeuge wie EnCase, Autopsy oder Volatility ermöglichen die Analyse von Festplatten-Images, Arbeitsspeicher-Dumps und Netzwerkmitschnitten. Im Incident-Response-Plan sollte festgelegt sein, wann und wie Forensik eingeleitet wird — frühzeitige Beweissicherung ist entscheidend, da flüchtige Daten im Arbeitsspeicher schnell verloren gehen.