• Dokumente

• E-Mails

• Bilder

• Videos

• Metadaten

Metadaten werden oft als verborgener Satz in digitalen Dateien bezeichnet.

Sie enthalten Informationen über:

• Die Erstellung

• Änderung

• und Zugriffsverlauf einer Datei

Bei Fotos:

• Informationen über das verwendete Gerät

• Das Aufnahmedatum

• die Uhrzeit

• GPS Koordinaten des Aufnahmeorts

• Unmittelbare Beweise

• Indizienbeweise

• Sie lassen wenig Raum für Interpretationen

Zum Beispiel:

• Email

• Fotos, Videos

• Sie sind da wichtig wo unmittelbare Beweise fehlen

• Sie bilden einen Rahmen in dem Rückschlüsse auf Schuld oder Unschuld gezogen werden können

Zum Beispiel:

• Fingerabdrücke am Tatort

• Ein Bild eines Verdächtigen in der Nähe eines Tatortes

In Fällen von Cyberkriminalität stützt man sich weitgehend auf Indizienbeweise.

• die Analyse von Datei-Metadaten,

• Datei-Hashing,

• Daten-Carving und forensische Tools,

  die dabei helfen, relevante Daten in einer riesigen Menge digitaler Information auszumachen.

Sicherung:

• Erfassung digitaler Beweismittel aus verschiedenen Quellen, z.B. Computern, Mobilgeräten oder Netzwerkprotokollen

1. Identifikation:

   • Ermittlung darüber welche Geräte oder Quellen Informationen enthalten können

2. Erfassung:

   • Gewährleisung das die Daten intakt bleiben.

   • Zum Beispiel eine Schreibsperre damit die Daten unverändert bleiben

3. Beweissicherung:

   • Schutz der Beweismittel vor unbefugtem Zugriff, Manipulation oder Verlust.

   • Erstellung von Sicherungskopien.

• Sie ist ein chronologisch aufgebauter und dokumentierter Nachweis darüber Wo sich das digitale Beweismittel befand und wer es genutzt hat.

• Sie dient der Wahrung der Integrietät und Vertrauenswürdigkeit von Beweismitteln als Beweis dafür das diese unverändert sind.

• Statische Erfassung

• Live Erfassung

• Das ursprüngliche digitale Beweismittel wir während des Prozesses nicht verändert

• Es werden Bit-für-Bit-Kopien erstellt um die Datenintegrität zu gewährleisten

• Wird bei juristischen Untersuchungen genutzt.

• Es werden Daten von einem laufenden Computer oder System erfasst.

• Liefert Echtzeitinformationen über die Systemaktivität, aktiver Prozesse, Netzwerkverbindungen und flüchtiger Speicherinhalte.

• Allerdings werden neue Dateninstanzen geschaffen

• Es sind daher keine wiederholbaren Prozesse möglich, was für die Validierung digitaler Beweismittel unerlässlich ist.

• Computer und Server:

  • Festplatten, RAM

• Mobilgeräte:

  • Mobiltelefone, Tablets

• Externe Speichermedien:

  • USB-Laufwerke, externe Festplatten und Speicherkarten

• Netzwerke:

  • Daten aus Neztwerkverkehr, von Routern, Switches

• Rohformat

• Advanced Forensic Format (AFF)

• Proprietäre Formate

• Älteste Version des Datenformats

• Dabei wird ein Duplikat eines Datenträgers erstellt

• Bietet hohe Datenübertragungsrate zwischen den Medien

• Nachteil ist die ineffiziente Speichernutzung

• Bei schwachen Datenmedien kann es zu Effizienzproblemen kommen

• Dieses Format ist Open-Source (Frei verfügbar)

• Dient der Speicherung und Analyse forensischer Festplattenabbildern

Vorteile:

• Komprimierung von Festplattenabbildern

• Speicherung von Metadaten

• Kann beschädigte Sektoren markieren

• Dateiformate die von einer bestimmten Firma entwickelt wurden und nicht Opten-Source sind

• Nachteil: Problematische Kompatibilität mit anderen Forensik-Tools

1. Identigikation:

   • Feststellung welche Geräte sachdienliche Informationen enthalten können

2. Erfassung:

   • Datenerfassung mit speziellen Tools und Techniken

   • Sicherstellen dass die Daten unverändert bleiben

3. Beweissicherung:

   • Schutz der Beweismittel vor unbefugten Zugriff, Manipulation oder Verlust

1. Disk-to-Image-Datei

2. Disk-to-Disk-Kopie

3. Logische Disk-to-Disk-Kopie

4. Kopie eines Ordners oder einer Datei mit geringer Dichte

• Sie ist die gängigste und vielseitigste Untersuchungsansatz

• Es können mehrere Kopien von Datenmedien mithilfe von Bit-für-Bit-Replikationsmechanismen erstellt werden.

• Es können verschiedene forensische Tools genutzt werden um die Disk-to-Image-Dateien zu lesen

• Eine Magnetbandspeichertechnologie mit hoher Kapazität, die für die Datensicherung und Archivierung verwendet wird

• Probleme mit der Hardware- oder Softwarekompatibilität

• Oft bei älteren Datenträgern

• In solchen Fällen kann man eine Disk-to-Disk-Kopie anstelle einer Disk-to-Image-Kopie erstellen.

• EnCase

• SafeBack

Selektion der Daten:

• Wenn nur bestimmte Abschnitte des Laufwerks untersucht werden

Komprimierungsverfahren:

• Dateigröße verringern

  • WinRAR, PKZip, WinZip

• Um Datenverlust zu vermeiden kann ein Hashing-Verfahren wie SHA-2 verwendet werden.

• Digital AudioTape/Digital Data Storage

• #Eine Magnetbandspeichertechnologie, die für die Speicherung und Sicherung digitaler Daten verwendet wird.

• Es ist ratsam mindestens zwei identische Images der gesammelten Beweismittel zu erstellen.

• Es kann sinvoll sein, die erste Kopie mit einem Tool und die zweite mit einem anderem Tool zu erstellen.

• Der Zeitstempel kann dazu genutzt werden die Abfolge von Ereignissen im Zusammenhang mit den Beweismitteln zu rekonstruieren.

• Das Erstellungsdatum gibt an wann das Dokument verfasst wurde.

• Das Änderungsdatum gibt Aufschluss darüber wann es zuletzt bearbeitet wurde.

• Bewertung der Glaubwürdigkeit

• Die Einhaltung von Rechtsprinzipien:

  • für die Gewährleistung der Genauigkeit

  • und Integrität von Daten umfasst

• Federal Rules of Evidence in den USA

• eIDAS-Verodnungen in Europa

• Signaturgesetz (SigG) und Signaturverordnung (SigV) in Deutschland

• Der Atragsteller muss ausreichende Beweise dafür vorlegen, um zu Beweisen dass der Gegenstand tatsächlich das ist, was er vorgeblich ist.

• Diese Vorschrift unterstreicht die Bedeutung des Nachweises der Echtheit digitaler Beweismittel

• Digitale Signaturen

• Kryptografisches Hashing

• Sichere Speichermethoden

• Ungenaue oder verfälschte Daten können die Glaubwürdigkeit und Beweiskraft der Beweismittel stark beeinträchtigen.

• Mit verwendung von Hash-Algorithmen:

  • Erzeugen eindeutige Prüfsummen für digitale Dateien

  • Jede änderung der Datei führt zu anderen Prüfsummen (Manipulation)

• Die Verwendung von Zeitstempeln und digitalen Zertifikaten

  • Hilft bei der Bestätigung der zeitlichen Gültigkeit und Vertrauenswürdigkeit digitaler Daten.

• Technische Standards beziehen sich auf die von Experten für digitale Forensik verwendeten Methoden und bewährten Verfahren. Ein Beispiel ist die NIST Special Publication 800-101 für digitale Forensik.

• Verwendung von anschaulichem Beweismaterial:

  • Zeitleisten, Tabellen, Diagramme, um komplexe Informationen zu vereinfachen

• Dynamische Präsentationen:

  • Multimedia-Präsentationen, Animationen, Simulationen

  • Z.B. Verkehrsunfall: Animierte Nachstellung dank Fahrzeugsensoren als Beweismittel

• Es muss sichergestellt werden, dass Personen ohne Technisches Know-How die Präsentation verstehen

Wie Beweismittel:

• gesammelt

• gesichert

• und analysiert wurden

Sowie über die Qualifikationen der Sachverständigen.

Organisationen wie:

• NIST

• ISO

Geben empfehlungen darüber welche standardisierte und anerkannte Berichtsformate genutzt werden sollen.

Bei einem Fall von digitaler Belästigung

• Dabei muss der ursprüngliche Nachrichteninhalt samt Beleidigungen oder Drohungen in seiner ursprünglichen Form gewahrt sein.

Objektivität ist ein grundlegendes Prinzip

• Die vorlegende Person muss unpartaiisch sein.