Technik

 

Eine korrekte Begutachtung besteht aus dem Zusammenspiel IT-forensischer Prozesse, geeigneten Technologien und einer umfassenden Dokumentation. Abhängig von der konkreten Fragestellung an den Sachverständigen und den technischen Rahmenbedingungen, ergeben sich die notwendigen Schritte, um eine logische Beweisverkettung ableiten zu können. Jede Untersuchung hat ihre prozessuale, technische und auch menschliche Einmaligkeit und verlangt ein korrektes, aber auch der jeweiligen Situation angemessenes Vorgehen. Es gibt zwei wesentliche Quellen für digitale Beweise auf einem Computer:

  • permanent gespeicherte Daten,auf der eingebauten Festplatte
  • flüchtige Daten im Arbeitsspeicher (RAM)

Dateien auf Festplatten sind nach einem Neustart des Rechners (oder des Smartphones) noch vorhanden und permanent auf dem Datenträger gespeichert. Die Auswertung von Festplatten, USB Sticks und Speicherkarten ist seit Jahrzehnten etablierter Standard in der digitalen Forensik.

Die Daten im Arbeitsspeicher sind allerdings mit dem Ausschalten des Gerätes verloren und werden daher als volatile oder flüchtige Daten bezeichnet. Die volatilen Daten eines PC enthalten wichtige Informationen für einen Ermittler, da einige für die Aufklärung des Vorfalls notwendigen Informationen nur im RAM und nicht auf der Festplatte zu finden sind. Daher sollte auf keinen Fall das betroffene Gerät vorschnell ausgeschaltet werden.

Verwendung zertifizierter Software und Hardware

Für die Suche nach digitalen Beweisen und ihre anschließende Auswertung kommt sowohl IT-Forensik Software führender Hersteller wie Mandiant, X-Ways und AccessData, als auch Open Source Software wie Volatility oder das Sleuth Kit zur Anwendung. Je nach Aufgabenstellung und technischer Herausforderung greife ich auf eine Vielzahl unterschiedlicher Software, Hardware und technischen Dokumentationen zurück. Für die Erstellung der exakten Duplikate von Festplatten, USB Sticks und Speicherkarten nutze ich Write Blocker der Unternehmen CRU Wiebetech und Addonics. Diese Geräte erlauben ausschließlich einen lesenden Zugriff auf die jeweiligen Datenträger und können keine Veränderungen durch Schreibvorgänge bewirken. Somit bleibt die Integrität von Beweismitteln in jedem Fall gewährleistet. Die genutzten Write Blocker sind selbstverständlich für die Verwendung als Beweismittel vor Gericht geeignet, anerkannt und zertifiziert.