101 - Kapitel 1

Questions and Answers

Welche der folgenden Disziplinen konzentriert sich auf die Anwendung wissenschaftlicher Methoden im Kontext des Rechtssystems?

• Kriminologie
• Forensik (correct)
• Soziologie
• Kriminalistik

Was ist der Hauptunterschied zwischen Spureninformationen und Spurenträgern?

• Spureninformationen sind immer physischer Natur, während Spurenträger digital sein können.
• Spureninformationen beschreiben die Bedeutung der Spur, während Spurenträger das Material sind, welches die Spur beinhaltet. (correct)
• Spureninformationen beziehen sich nur auf den Inhalt einer Spur, während Spurenträger das Dateiformat beschreiben.
• Es gibt keinen relevanten Unterschied, beide sind austauschbar

Was ist im Kontext einer Spur mit 'Integrität' gemeint?

• Die Art des Materials, mit dem die Spur erstellt wurde.
• Die Verlässlichkeit der Personen, die mit der Sicherung und Analyse der Spur betraut sind.
• Die Echtheit des Spurenträgers, d.h. dass keine Verwechslung vorliegt.
• Die Unverändertheit der Spur seit ihrer Sicherstellung, insbesondere der Spureninformation. (correct)

Welche Aussage beschreibt die 'Authentizität' einer analogen Spur am besten?

Die Echtheit des Spurenträgers und die Abwesenheit von Verwechslungen. (D)

Was ist ein typisches Beispiel für den Spurenträger einer digitalen Spur?

Ein Speichermedium wie eine Festplatte oder ein USB-Stick. (C)

Welche Eigenschaft digitaler Spuren ermöglicht eine vollständige Duplizierung der Spureninformation?

Die schwache Bindung zwischen Spurenträger und Spureninformation (A)

Wie kann die Integrität einer digitalen Spur überprüft werden?

Mit Hilfe von Hashfunktionen. (B)

Was ist die Hauptfrage, die bei der Überprüfung der Authentizität einer digitalen Spur relevant ist?

Ist die Information die, die sie vorgibt zu sein? (C)

Welche der folgenden Aussagen beschreibt nicht die Eigenschaften digitaler Spuren?

Digitale Spuren sind immer leicht zu finden und zu sichern. (B)

Was ist im Kontext der digitalen Forensik die Bedeutung des Begriffs 'Flüchtigkeit'?

Die Möglichkeit von digitalen Spuren, leicht gelöscht oder überschrieben zu werden. (B)

Welche Abstraktionsebene digitaler Spuren ist der untersten Ebene am nächsten?

Zeichenkodierung (z.B. UTF-8) (B)

Welches Prinzip beschreibt den Austausch von Materie zwischen Tatort, Opfer und Täter?

Das Locards Austauschprinzip (C)

Was versteht man unter dem Begriff 'technische Vermeidbarkeit' im Zusammenhang mit digitalen Spuren?

Die Tatsache, dass digitale Spuren durch technische Maßnahmen verhindert oder minimiert werden können. (A)

Welche Art von Spuren sind besonders interessant, weil sie nur vom Nutzer manipuliert werden können?

Technisch unvermeidbare Spuren (A)

Welche Aussage trifft auf die forensische Analyse von flüchtigen Spuren zu?

Sie wird meist im Rahmen einer Live-Analyse durchgeführt. (C)

Was ist ein wichtiger Aspekt bei der forensischen Kopie von Daten?

Die Bewahrung der Integrität der Daten (D)

Was versteht man unter einer 'Tot-Analyse' in der forensischen Informatik?

Analyse persistenter Spuren (D)

Welche der folgenden Aktionen wird nicht als Teil des forensischen Prozesses nach Casey angesehen?

Zerstörung (B)

Welche Rolle spielen Sekundärdaten im Kontext der digitalen Spuren?

Sie beschreiben den Inhalt von Primärdaten. (C)

Was ist das Hauptziel der 'Erhaltung' Phase im forensischen Prozess?

Die Sicherung und der Schutz der Spuren (B)

Welche der folgenden ist keine Übertragung von Information in der digitalen Welt?

Übertragung von Materie. (B)

Warum ist es wichtig, digitale Spuren auf verschiedenen Abstraktionsebenen zu betrachten?

Um Interpretationsfehler zu vermeiden. (A)

Was bedeutet der Begriff 'Semantik' im Kontext von digitalen Spuren?

Die Bedeutung digitaler Spuren im jeweiligen Kontext (D)

Flashcards

Forensik

Die Anwendung wissenschaftlicher Methoden auf Fragen des Rechtsystems.

Kriminalistik

Wissen über die Mittel und Methoden verschiedener Aspekte von Straftaten, insbesondere mit naturwissenschaftlichem Fokus. Dieses Wissen wird vermittelt.

Kriminologie

Gesamtes Erfahrungswissen über Straftaten und -täter, mit sozialwissenschaftlichem Fokus.

Spur

Ein hinterlassenes Zeichen, Beweismittel. Es kann nahezu alles sein.

Spureninformation

Die Bedeutung der Spur, sowohl im Bezug auf ihren Inhalt als auch das Format der Informationen.

Spurenträger

Das Material, auf dem die Spur gefunden wurde.

Integrität (Spur)

Die Spur hat sich seit der Sicherung nicht verändert. Dies ist wichtig, um die Zuverlässigkeit der Spur zu gewährleisten.

Authentizität (Spur)

Die Spur ist authentisch und stammt tatsächlich von dem Objekt oder der Person, von dem/der sie stammt.

Abstraktionsebenen

Die digitale Spur liegt nicht in einer für den Menschen zugänglichen Form vor. Daher muss sie zuerst extrahiert und dann in eine verständliche Form übersetzt werden.

Abstraktionsebenen: Beispiele

Daten können auf verschiedenen Abstraktionsebenen dargestellt werden, z. B. als magnetische Zustände auf einer Festplatte (Bit Ebene) oder als Dateien in einem Dateisystem.

Flüchtigkeit

Digitale Spuren können leicht gelöscht, überschrieben oder durch technische Prozesse (z.B. Neustart des Systems) verloren gehen.

Technische Vermeidbarkeit

Digitale Spuren können durch Verschlüsselung, Anonymisierung oder andere Schutzmaßnahmen bewusst vermieden oder minimiert werden.

Manipulierbarkeit

Digitale Daten lassen sich vergleichsweise einfach verändern, fälschen oder rekonstruieren, oft ohne sichtbare Spuren zu hinterlassen.

Kopierbarkeit

Digitale Spuren können verlustfrei und unbegrenzt vervielfältigt werden, wodurch eine exakte Reproduktion möglich ist.

Semantik

Die Bedeutung digitaler Spuren hängt vom Kontext ab, in dem sie entstanden sind, und kann durch Interpretation oder Metadaten beeinflusst werden.

Locards Austauschprinzip

Ein wesentlicher Bestandteil der modernen forensischen Wissenschaft. Jedes Verbrechen hinterlässt Spuren, die einen Austausch zwischen Täter, Opfer und Tatort belegen.

Locards Austauschprinzip: Digitale Welt

In der digitalen Welt findet kein Austausch von Materie statt, sondern von Informationen.

Persistente Spuren

Digitale Daten, die auch nach längerer Zeit ohne Stromzufuhr vorhanden sind.

Flüchtige Spuren

Digitale Daten, die nur bei Stromzufuhr vorhanden sind.

Technisch unvermeidbare Spuren

Digitale Spuren, die nur durch den Nutzer manipuliert werden können, da sie nicht vom Betriebssystem verändert werden können.

Manipulierbarkeit: Beispiele

Digitale Daten lassen sich leicht manipulieren, oft ohne Spuren zu hinterlassen.

Forensische Informatik

Forensische Informatik befasst sich mit der Sicherung, Analyse und Interpretation digitaler Spuren.

Netzwerkforensik

Forensische Informatik: Die Untersuchung und Interpretation von Daten aus Netzwerken.

Study Notes

Grundlagen der Forensischen Informatik

• Forensik: Anwendung wissenschaftlicher Methoden im Rechtssystem.
• Kriminalistik: Wissen über Methoden und Mittel von Straftaten (naturwissenschaftlich).
• Kriminologie: Erfahrungswissen über Straftaten und Täter (sozialwissenschaftlich).
• Spur: Hinterlassenes Zeichen, Beweismittel (variabel). Unterteilt in Spureninformation und Spurenträger. Eine Kombination aus Gegenstand und Behauptung/Annahme. Integrität und Authentizität sind essentiell.
• Spureninformation: Bedeutung der Spur (Inhalt und Format). Inhalt: Was die Spur aussagt. Format: Technische/physische Form.
• Spurenträger: Material, z.B. Brief und Tinte. Unterliegt der Vergänglichkeit.
• Integrität (Spur): Keine Veränderung seit Sicherung. Vergänglichkeit/Veränderung durch Sicherungsprozess beachten. Vor allem Spureninformation betreffend.
• Authentizität (Spur): Spur muss echt sein, keine Verwechslung. Vor allem Spurenträger betreffend.
• Digitale Spuren: Spuren basierend auf Daten in Computersystemen. Spurenträger: Speichermedium. Spureninformation: Inhalt und Format. Inhalt: z.B. Textdatei. Format: z.B. Dateiformat. Schwache Bindung zwischen Spurenträger und Spureninformation.
• Integrität (Digitale Spur): Änderungen seit Sicherung? Integritätsüberprüfung durch Hashfunktionen.
• Authentizität (Digitale Spur): Echte Information? Verlässlichkeit von Personen, Sicherheit von Hashfunktionen.
• Abstraktionsebenen (Digitale Spuren): Nicht direkt menschlich verständlich. Extraktion und Übersetzung nötig. Mögliche Interpretationsfehler auf jeder Ebene. (z.B. Magnetisierung, Zeichenkodierung, Dateisystem, Dateiinterpretation).
• Eigenschaften digitaler Spuren:
  • Flüchtigkeit: Löschen, Überschreiben, Verlust durch technische Prozesse (z.B. Neustart).
  • Technische Vermeidbarkeit: Verschlüsselung, Anonymisierung.
  • Manipulierbarkeit: Änderung, Fälschung, Rekonstruktion einfach.
  • Kopierbarkeit: Verlustfreie Vervielfältigung.
  • Semantik: Bedeutung abhängig vom Kontext und Interpretation.

Forensische Informatik

• Forensische Informatik im engeren und weiteren Sinne. Methoden und Fragestellungen. Rekonstruktion der Vorgehensweise erforderlich.
• Nachvollziehbarkeit der Beweisführung für weniger versierte Personen wichtig.

Locards Austauschprinzip

• Austausch von Materie zwischen Tatort, Opfer, Täter wird verursacht durch Kriminalität. Bestandteil der modernen Forensik.
• Übertragung von Materie/Mustern.
• Digitale Welt: Austausch von Informationen (Musterübertragung). Keine direkte Analogie zur Materie.

Digitale Spuren - Eigenschaften (fortgesetzt)

• Flüchtigkeit: Unterscheidung in persistente (Festplatte) und flüchtige Spuren (RAM, Netzwerkdaten). Sicherung von flüchtigen Spuren möglich (Live-Analyse, Protokolldateien).
• Technische Vermeidbarkeit: Unterscheidung in technisch vermeidbare (Log-Datei) und unvermeidbare Spuren (gelöschte Dateien). Unvermeidbare Spuren sind besonders wichtig, da vom Nutzer manipuliert.
• Manipulierbarkeit: Spureninformation leicht manipulierbar, absichtlich oder unabsichtlich. Manipulation nicht immer erkennbar. Beispiele: Festplattenmanipulation, Telefonat über VOIP.
• Kopierbarkeit: Perfekte Kopien durch binäre Daten möglich. Integrität der forensischen Kopie ist essentiell.
• Semantik: Primärdaten, Sekundärdaten, Programmdaten, Konfigurationsdaten, Logdaten betrachtet.

Forensische Informatik - Techniken

• Sicherung/Analyse persistenter Spuren (Tot-Analyse).
• Sicherung/Analyse flüchtiger Spuren (Live-Analyse).
• Sicherung/Analyse flüchtiger Spuren im Netzwerk (Netzwerkforensik).

Forensischer Prozess (nach Casey)

• Vorbereitung: Planung, Werkzeugbereitstellung, Untersuchungsstrategie.
• Übersicht/Identifikation: Tatortaufnahme, relevante Spuren und Beweismittel suchen.
• Erhaltung: Sicherung der Spuren, Integritätserhalt.
• Untersuchung/Analyse: Detaillierte Untersuchung gesicherter Beweise.
• Präsentation: Ergebnispräsentation in gerichtsfester Form.