Um digitale Beweise auswerten zu können, müssen die Beweisstücke korrekt bearbeitet werden, damit sie ihre Bewertbarkeit vor Gericht nicht verlieren. Illegal beschaffte Beweise können vor Gericht ausgeschlossen werden. Im folgenden Text möchten wir die 5 wichtigsten Schritte zum Erfolg in der digitalen Beweissicherung aufzeigen. Tiefergehende Informationen finden sie auch in unseren Fallbeschreibungen.

AUSGANGSLAGE:

Sie haben Beweise für einen Vorfall bereits sichergestellt. Die Beweise können als Kopie (z.B. Spiegelung einer Festplatte) oder einfach ein sichergestelter Datenträger (z.B. Handy, USB Stick) sein.

Sie haben bereits digitale Beweise IT-forensisch sichern lassen?

Handy Platine in der Chipforensik

Nun möchten Sie diese Beweisstücke für die nachfolgende Auswertung u durch IT-Forensiker technisch aufbereiten lassen. Die sachverständige Beurteilung soll anschliessend erfolgen.

Daher ist es wichtig digitale Beweise auswerten zu lassen, bevor sie an Glaubwürdigkeit verlieren.

5 Schritte zur Beweissicherung und Auswertung

Folgende 5 Schritte zur Beweissicherung müssen IT Forensiker durchführen:

  • 1) Beratung zum geeigneten Umgang mit digitalen Daten bzw. Beweisen
  • 2.1) Erkennen von vorhandenen bzw. gesicherten Daten
    • in welcher Art und in welchen Formaten diese Daten vorliegen
    • welche EDV-Systeme und Personen diese betreffen
  • 2.2) Erstellung von Übersichten über gesicherte Datenbestände, sowie
    • Extraktion von Metadaten,
    • Erstellung von Datenbanken mit diesen Informationen
  • 2.3) Überprüfung von IT-forensischen Datensicherungen:
    • ob Veränderungen stattfanden
    • ob alle Quellen laut Sicherungsplan gesichert wurden
    • ob für sämtliche Sicherungen Daten vorliegen
    • ob diese Sicherungen erfolgreich waren
    • ob die Dokumentation vollständig und korrekt ist
  • 3.1) Entschlüsseln und entsperren geschützter Datenträger, Dateisysteme und Dateien
    • falls die Zugangsdaten (Username, Passwort, PIN) zur Entschlüsselung bekannt sind
    • falls keine Zugangsdaten vorhanden sind, kann versucht werden solche Daten zu entschlüsseln oder das Kennwort zu erkennen
    • wobei dies rechtlich zulässig sein muss
  • 3.2) Wiederherstellung gelöschter Dateien, mit den Mitteln der Datenrettung und IT Forensik
  • 3.3) Extraktion von Daten aus
    • Dateicontainern (z.B. Truecrypt Container)
    • Archiven oder
    • Maildatenbanken (outlook edb/pst, Thunderbird, Lotus notes, mailserver)
  • 4.1) Einträge aus proprietären Formaten für die Beweisauswertung lesbar machen
  • 4.2) Export von Daten aus Datenbanken (z.b. MS SQL, MySQL, Oracle DB Enterprise, dBase)
  • 5) Erstellung von forensischen Berichten