Untersuchungen zur Computerkriminalität versuchen, die Art einer Straftat zu bestimmen und Beweise zu sammeln, die zu einer Verurteilung führen. Unterwegs können Ermittler Informationen aufdecken, die sie verwenden können, um in Zukunft ähnliche Straftaten vorherzusagen und zu verhindern. Sie könnten beispielsweise eine Lücke in einem Programm bemerken, die Eindringversuche ermöglicht, und sich an den Hersteller wenden, um einen Patch zur Behebung des Problems zu empfehlen. Für diese Art von Arbeit ist eine Ausbildung in Informationstechnologie sowie Erfahrung in der Sammlung und Handhabung von Beweismitteln erforderlich, um das Risiko der Sammlung von Informationen zu verringern, die nicht legal verwendet werden können.
Der Prozess beginnt, wenn jemand anruft, um eine Straftat zu melden, oder eine Überwachungsbehörde Beweise für eine Straftat entdeckt. Ermittlungsteams müssen Computer, Netzwerke und Komponenten sichern, die mit dem Vorfall in Verbindung stehen können. Dies kann Dinge wie Finanznetzwerke umfassen, die mit Betrug in Verbindung stehen, oder Computernetzwerke, die mit böswilligen Hacks angegriffen werden, um Daten offenzulegen und zu kompromittieren. Untersuchungen zur Computerkriminalität können aufgrund der flüchtigen Natur der Beweise eine Herausforderung darstellen. Daher ist es wichtig, die Computer zu sichern und unter Kontrolle zu bringen, bevor eine Untersuchung eingeleitet wird.
Ermittler können das System klonen, um es zu erkunden, ohne das Original zu beeinträchtigen. Untersuchungen zur Computerkriminalität können eine detaillierte Prüfung eines Computersystems beinhalten, um nach bösartigem Code, Sicherheitslücken und anderen Problemen zu suchen. Die Ermittler können nach kompromittierenden Dateien und Programmen suchen, einschließlich Material, das Personen zu löschen, zu ändern oder zu verbergen versucht haben. Die Einzelheiten der Ermittlungen hängen von der Art der untersuchten Straftat ab. Bei Hackerangriffen müssen beispielsweise Ermittlungen zur Computerkriminalität Beweise für das Eindringen aufdecken und diese mit einer Quelle verknüpfen.
Die Aufrechterhaltung der Beweiskette bei Ermittlungen zur Computerkriminalität ist eine Herausforderung. Ermittler müssen alles, was sie tun, sorgfältig dokumentieren und können auf Video aufnehmen, Tastenanschläge aufzeichnen und andere Maßnahmen ergreifen, um ihre Aktivitäten zu verfolgen. Falls Beweise vor Gericht angefochten werden, muss das Team nachweisen können, dass die Beweise original sind, ohne Änderungen, die ihre Gültigkeit beeinträchtigen könnten. Mitglieder dieses Bereichs überarbeiten und aktualisieren ständig die Beweisrichtlinien, um mit den Ermittlungen gegen Computerkriminalität Schritt zu halten und einen Standard für Ermittler festzulegen, den sie überall befolgen müssen.
Sobald die Beweise vollständig gesammelt und katalogisiert wurden, kann das Team beschließen, die beschlagnahmten Geräte bis zur gerichtlichen Verhandlung und Verhandlung aufzubewahren. Dadurch wird sichergestellt, dass sie während der Testphase Zugriff haben, wenn sie ihn benötigen. Andernfalls könnten Computer und andere Geräte an ihre Besitzer zurückgegeben werden, was letztendlich alle verbleibenden Beweise gefährden könnte.