Zum Inhalt springen Zur Navigation springen
Die Beweissicherung im Fokus der digitalen Forensik

Die Beweissicherung im Fokus der digitalen Forensik

Artikel von Dr. Datenschutz·10. Dezember 2021

Die Arbeit in der digitalen Forensik erfordert nicht nur die Einhaltung von technischen und rechtlichen Vorgaben, sondern auch die Einhaltung spezifischer Prinzipien und Arbeitsweisen in Bezug auf die Sicherung von Beweisen.

Der Anfangsverdacht

Zunächst bedarf es eines begründeten Anfangsverdachts oder eines konkreten Vorfalls, um eine missbräuchliche Beauftragung forensischer Arbeit und somit eine rechtswidrige Mitarbeiterüberwachung auszuschließen. Mehr dazu finden Sie im Beitrag „Recht im Fokus der digitalen Forensik“.

Vom Original zur Arbeitskopie

Liegt ein solcher Anfangsverdacht vor, beginnt die eigentliche Arbeit: die Sicherung der Beweismittel. Bei der Sicherung von Beweisen im Rahmen einer IT-forensischen Untersuchung muss ein IT-Forensiker genauestens darauf achten, die Datenträgerabbilder (Images) richtig zu erstellen. Hierbei gibt es unterschiedliche Arten von Images:

  • Live-Images
  • Dead-Images
  • Custom Content Image

Um die Unterschiede zu verdeutlichen, bei einem Live-Image befindet sich das zu sichernde Gerät im eingeschalteten Zustand. So lassen sich zusätzliche Informationen, wie die Daten des Arbeitsspeichers in einem Memory Dump sichern. Bei einem Custom Content Image werden vom zu sichernden Gerät, welches aktuell in Betrieb ist, nur bestimmte Artefakte zur Sicherung ausgewählt.

Bei einem Dead-Image befindet sich das Gerät im ausgeschalteten Zustand und es wird eine 1:1 Kopie des Datenträgers erstellt. Unter gewissen Umständen ist die Erstellung eines Dead-Images eines Servers nicht ohne weiteres oder ohne zusätzliche Systeme möglich. Hierfür kann es unterschiedliche Gründe geben wie die Konfiguration eines RAID’s auf dem System. Somit ist auch hier die Erstellung eines Live-Images notwendig.

Wieder anders ist es bei der Erstellung eines Images einer Festplatte mit aktivierter Festplattenverschlüsselung. Hierbei kann zum Beispiel ein Live-Image erstellt werden, da hierfür das Kennwort zum Entsperren der Festplatte benötigt wird. Natürlich ist auch eine nachträgliche Entschlüsselung möglich, sofern die Verschlüsselung nicht an die Hardware geknüpft ist. Zusätzlich erschwert wird dies, wenn kein Kennwort vorliegt, denn so lässt sich die Verschlüsselung nicht ohne weiteres aufheben.

Das 4-Augen-Prinzip

Damit die Beweise besonders in Hinblick auf die Gerichtsverwertbarkeit richtig gesichert werden, gilt im Rahmen jeder IT-forensischen Beweissicherung das 4-Augen-Prinzip.

Das 4-Augen-Prinzip dient hierbei dem primären Aspekt der Gerichtsfestigkeit. Dabei soll durch die präventive Kontrolle bestimmter Aufgaben dafür gesorgt werden, dass Fehler während der IT-forensischen Arbeit vermieden werden. Prinzipiell dient dies dazu, dass gesammelte Beweise vor Gericht standhalten. Hier mag sich einem die Frage stellen, warum sollten die Beweise vor Gericht nicht standhalten? Hierzu ein kleines Beispiel:

Angenommen eine IT-forensische Analyse soll durchgeführt werden, so dient hier jeweils der zweite IT-Forensiker als Zeuge. Er kann somit die Ergebnisse nicht nur bezeugen, sondern auch den Umstand, dass die Analyse nach den einzuhaltenden Vorgaben und Richtlinien durchgeführt wurde.

Dies führt dazu, dass die Ergebnisse auch im Nachhinein reproduzierbar sind. Denn für den Fall, dass vor Gericht ein unabhängiger Gutachter hinzugezogen wird, müssen dessen Ergebnisse mit den bereits dokumentierten übereinstimmen. Des Weiteren müssen die Ergebnisse von dem Gutachter auf dieselbe dokumentierte Art und Weise zu finden sein und auch so gefunden werden.

Das Locard’sche Prinzip

Das Locard’sche Prinzip besagt, dass niemand eine Straftat begehen kann, ohne zahlreiche Spuren zu hinterlassen. Dies geschieht entweder dadurch, dass Spuren am Tatort hinzukommen, also hinterlassen werden oder etwas vom Tatort entfernt wird. Während einer IT-forensischen Analyse ist dementsprechend besonders wichtig darauf zu achten, keine Spuren zu verwischen, sowie alle Beweise im Originalzustand zu erhalten. Hierfür werden spezielle Tools und Software genutzt, um keine der vorhandenen Spuren zu zerstören.

Je nachdem, ob es sich um ein Live- oder Dead-Image handelt, kommen dabei andere Werkzeuge zum Einsatz. Besonders sollte darauf geachtet werden, den Originalzustand des Gerätes nicht zu verändern. In Gerichtsverfahren kann dies schlussendlich einen entscheidenden Unterschied bei der Aufklärung eines Falls liefern. Wenn jedoch nicht im Detail darauf geachtet wird, möglichst keine Spuren zu verändern oder gar zu hinterlassen, kann dies im schlimmsten Fall sogar Spuren zerstören. Nur weil man vorsichtig ist, heißt es nicht, dass keine Spuren hinterlassen werden. Auch hier bietet das 4-Augen-Prinzip einen zusätzlichen Schutz.

Die Chain of Custody

Für die Gerichtsfestigkeit ist nicht nur das 4-Augen-Prinzip ausschlaggebend, sondern auch die sog. Chain of Custody. Doch was ist die Chain of Custody, auch „Kette der Obhut“ genannt, eigentlich? Sie sorgt für eine lückenlose Dokumentation, damit im Nachhinein jeder Umgang mit einem Beweismittel und der Verbleib eines Beweismittels zu jeder Zeit objektiv nachvollziehbar ist. Hierbei helfen auch die 7 goldenen W’s der Kriminalistik:

  • Wer hat
  • Was (Beweismittel),
  • Wann,
  • Wo,
  • Wie,
  • Womit und
  • Warum

gefunden, gesichert, asserviert, transportiert, untersucht, analysiert und begutachtet?

Indem man sich diese Frage immer wieder während der Tätigkeit als IT-Forensiker stellt und diese auch genauestens dokumentiert, ist der gerichtsfeste Umgang mit Beweismitteln gewährleistet.

Dabei ist es immer wichtig im Hinterkopf zu behalten, dass der Umgang mit und vorgenommene Untersuchungen an Beweismitteln immer authentisch und integer sein müssen.

Falsch gesichert, ist gar nicht gesichert

Warum ist es nun wichtig diese Informationen zu kennen und sich an die genannten Prinzipien zu halten?

Es ist von großer Bedeutung für die IT-forensische Untersuchung klar, strukturiert und detailliert seiner Arbeit nachzukommen. Nur durch regelmäßige Kontrolle und die Einhaltung dieser Prinzipien ist die Arbeit mit und an Beweismitteln erst gesichert und bietet auch so die Möglichkeit die Ergebnisse einer IT-forensischen Untersuchung vor Gericht nutzen zu können. Ist nämlich der Umgang mit Beweismitteln nicht ausreichend oder nicht klar genug dokumentiert, weichen die Ergebnisse von dem was ein unabhängiger Gutachter aus einer IT-forensischen Analyse erhalten hat von den vorliegenden Ergebnissen ab oder wurde bereits zu Beginn eine unpassende Art der Sicherung der Daten eingeleitet, können Beweise vor Gericht verworfen werden und sind somit nicht gerichtsfest.

All diese Faktoren sind ausschlaggebend für die Arbeit als IT-Forensiker, dementsprechend bedarf es einer besonderen Genauigkeit bei der Sicherung und der Bearbeitung von Beweismitteln, dabei stellen die oben genannten Aspekte nur einen Teil der IT-forensischen Arbeit dar. Abschließend lässt sich also festhalten, dass bei Nichteinhaltung der genannten Aspekte, die gesamte Arbeit des IT-Forensikers nicht verwertbar ist, denn Falsch gesichert, ist gar nicht gesichert und führt im Regelfall dazu, dass Beweise als nicht gerichtsfest gelten.

Mehr zum Thema
Informieren Sie sich über unsere praxisnahen Webinare
  • »Microsoft 365 sicher gestalten«
  • »Informationspflichten nach DSGVO«
  • »Auftragsverarbeitung in der Praxis«
  • »DSGVO-konformes Löschen«
  • »IT-Notfall Ransomware«
  • »Bewerber- und Beschäftigtendatenschutz«
Webinare entdecken
Mit dem Code „Webinar2024B“ erhalten Sie 10% Rabatt, gültig bis zum 30.06.2024.
Beitrag kommentieren
Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.
Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.