Die IT-Forensik kommt immer zum Einsatz, um Straftaten in Computersystemen systematisch aufzuklären und den festgestellten Sachverhalt gerichtsverwertbar und zielgruppengerecht aufzubereiten. Zielgruppengerecht deshalb, weil Verfahrensbeteiligte meist keinen Hintergrund im IT-Bereich mitbringen und daher die Formulierungen im Gutachten auch für IT-Laien nachvollziehbar sein müssen.
Bestandteile der Forensik sind u.a. die digitale Spurensicherung, d.h. die Sicherung von Datenbeständen sowie die Erzeugung von Systemkopien (1:1 Kopie) für die spätere forensische Auswertung. Auch die Nachbereitung von Vorfällen (Trojanerangriff), Schadensanalysen und Maßnahmenempfehlungen für die Bewertung und Weiterentwicklung bestehender Sicherheitskonzepte sind Bestandteile der IT-Forensik. Aus den gewonnenen Erkenntnissen ergeben sich Rückschlüsse für weitere Sicherheitsmaßnahmen um Vorfälle zukünftig zu vermeiden.
Die IT-Forensik nutzt verschiedene Analyse-, Ermittlungs- und Beweissicherungstechniken, um verdächtige Vorgänge auf IT-Systemen zu untersuchen, zu dokumentieren und die Ergebnisse in einem forensischen Bericht oder gerichtsfestem Gutachten zu dokumentieren.