Gerichtsverwertbares Gutachten

Gerichtverwertbarer Nachweis eines Datendiebstahls

Auswertung der Eieignisprotokolle

In diesem Artikel soll dargestellt werden, in welchen Schritten ein solches Gutachten erstellt wird und was dabei an Ergebnissen zu erwarten ist.

  1. Im ersten Schritt wenden wir uns den für die Gutachtenerstellung benötigten Eingangsvoraussetzungen zu. Damit die erzielten Ergebnisse später auch gerichtsverwertbar sind, darf das Ausgangsdatenmaterial nicht verändert werden. Das führt dazu, dass der zu analysierende Computer nicht gestartet werden darf.
  2. Der in Ihm enthaltene Datenträger wird stattdessen ausgebaut und vom Festplatten-Speicher ein RAW Image erstellt. Bei der Erstellung dieses RAW-Image muss unbedingt ein Schreibschutz verwendet werden.
  3. Es wird eine Prüfziffer auf das Image gezogen, sodass man auch später noch beweisen kann, dass das Ausgangsdatenmaterial, welches der Analyse zugrunde gelegt wurde unverfälscht bzw. nicht verändert wurde.

Unter diesen wichtigen Voraussetzungen ist der erste Schritt in einer forensischen Untersuchung die Überprüfung der Regestry der Systemdatenbank von Windows vorzunehmen. In der Regestry sind alle Informationen über die Systemkonfiguration und der Systemnutzung zusammengefasst. In Bezug auf einen möglichen Datendiebstahl lassen sich alle wichtigen Informationen gewinnen wie zum Beispiel: wer wann an welchem System angemeldet gewesen war. Welche Programme und Dokumente wurden benutz, welche USB Geräte waren angeschlossen und auf welchen Drucker wurden gedruckt.

Im Zusammenhang der Regestry Analyse geht auch die Auswertung der Ereignisprotokollierung, welche in einem gesonderten Beitrag genauer betrachtet werden soll hervor. Die Regestry umfasst eine Vielzahl von Informationen um sie gezielt auswerten zu können werden Werkzeuge eingesetzt, welche für die unterschiedlichsten Analyseziehle verschiedene Filter und Profile vorgeben und diese auch ggf. zu erweitern sind um die große Datenmenge einzugrenzen.

  1. Als nächster Schritt erfolgt die Festplattenforensik, eine Volltextsuche auf dem gesamten Datenträger einschließlich gelöschter und veränderter Dateiobjekte. Zu diesem Zweck müssen gelöschte Dateien wiederhergestellt werden was man mit Hilfe von Carving Technik auf Basis von Dateisignaturen bewerkstelligt.
  2. In einem weiteren Schritt werden Dateiobjekte indiziert. D.h. mit der Überlegung von relevanten Suchbegriffen durchsucht man den Inhalt sämtlicher Dateien. Da es bei einer solchen Suche zu einer sehr hohen Treffermenge kommen wird, spricht man Filtertechniken eine große Bedeutung zu. Diese erlauben es Suchtreffer einzeln oder in Kombination und in Kombination mit weiteren Merkmalen zB: Dateinamen, Dateitypen, Dateigrößen, Attributen etc. so weit einzugrenzen, dass man im kommenden Schritt Sinnvoll eine Inhaltliche Analyse der relevanten Funde vorlegen kann.

Bei einer solchen Analyse trifft man auch auf kennwortgeschützte Datenbanken oder auch ein Smartphone Backup denen man sich mit gesonderten Untersuchungsmetoden annehmen muss.

Großes Interesse ist die Auswertung dienstlicher und auch privater E-Mails, wobei das Erkennen vom E-mail eine wesentliche Voraussetzung im Rahmen der Browser-Diagnose die Benutzung von privater Mail nachzuweisen ist.

Bei der Browser-Forensik trifft man in der Regel auf wiederhergestellte oder auch vorhandene Historien Daten des Browsers. Damit ist auch das Surfverhalten des Nutzers ganz allgemein möglich ob zB: während der Dienstzeit private Aktivitäten nachweisbar sind.

Im Kontext zu Datendiebstahl ist von Interesse, ob private E-Mail Adressen benutzt und wann welche Daten versendet und auch empfangen worden sind. Da es auch hier zwangsläufig zu umfangreich Datenmaterial kommen muss, sind auch hier umfangreiche Filterungstechniken notwendig.

Es sollte möglich sein, die Zusammenfassung der Verläufe aller benutzter Browser in einem einzigen Workspace darzustellen. Ebenso muss die Darstellung aller Typen von Historien in ihrer zeitlichen Abfolge möglich sein. Über eine eigene Datenbank welche man mit Hilfe der Abfragesprache SQL bearbeitet sind somit sehr Komplexe und umfassende Auswertungen möglich.

Betrachtet werden müssen aber immer die Rahmenbedingungen für solch ein Gutachten. Neben der Auswertung eines Computers oder Notebook auch die für den dienstlichen Gebrauch auch die eingesetzten Server. So lassen sich auf dem Exchange Server sehr Umfangreiche Analysen erstellen und auch gelöschte E-Mails wiederherstellen. Auch Logdateien geben Auskunft über Zugriffe von Benutzern auf bestimmte Netzwerke.

Wenn es Hinweise auf iPhone Backup gibt, kommt die mobile Forensik zur Anwendung, welches in einen weiteren Beitrag Thema sein wird. Somit gilt, Gerichtsverwertbare Gutachten beruhen auf Tatsachen die fachlich fundiert belegt werden müssen.