101 - Kapitel 1

Questions and Answers

Welche der folgenden Disziplinen konzentriert sich auf die Anwendung wissenschaftlicher Methoden im Kontext des Rechtssystems?

Kriminologie

Forensik (correct)

Soziologie

Kriminalistik

Was ist der Hauptunterschied zwischen Spureninformationen und Spurenträgern?

Spureninformationen sind immer physischer Natur, während Spurenträger digital sein können.

Spureninformationen beschreiben die Bedeutung der Spur, während Spurenträger das Material sind, welches die Spur beinhaltet. (correct)

Spureninformationen beziehen sich nur auf den Inhalt einer Spur, während Spurenträger das Dateiformat beschreiben.

Es gibt keinen relevanten Unterschied, beide sind austauschbar

Was ist im Kontext einer Spur mit 'Integrität' gemeint?

Die Art des Materials, mit dem die Spur erstellt wurde.

Die Verlässlichkeit der Personen, die mit der Sicherung und Analyse der Spur betraut sind.

Die Echtheit des Spurenträgers, d.h. dass keine Verwechslung vorliegt.

Die Unverändertheit der Spur seit ihrer Sicherstellung, insbesondere der Spureninformation. (correct)

Welche Aussage beschreibt die 'Authentizität' einer analogen Spur am besten?

Die Echtheit des Spurenträgers und die Abwesenheit von Verwechslungen.

Was ist ein typisches Beispiel für den Spurenträger einer digitalen Spur?

Ein Speichermedium wie eine Festplatte oder ein USB-Stick.

Welche Eigenschaft digitaler Spuren ermöglicht eine vollständige Duplizierung der Spureninformation?

Die schwache Bindung zwischen Spurenträger und Spureninformation

Wie kann die Integrität einer digitalen Spur überprüft werden?

Mit Hilfe von Hashfunktionen.

Was ist die Hauptfrage, die bei der Überprüfung der Authentizität einer digitalen Spur relevant ist?

Ist die Information die, die sie vorgibt zu sein?

Welche der folgenden Aussagen beschreibt nicht die Eigenschaften digitaler Spuren?

Digitale Spuren sind immer leicht zu finden und zu sichern.

Was ist im Kontext der digitalen Forensik die Bedeutung des Begriffs 'Flüchtigkeit'?

Die Möglichkeit von digitalen Spuren, leicht gelöscht oder überschrieben zu werden.

Welche Abstraktionsebene digitaler Spuren ist der untersten Ebene am nächsten?

Zeichenkodierung (z.B. UTF-8)

Welches Prinzip beschreibt den Austausch von Materie zwischen Tatort, Opfer und Täter?

Das Locards Austauschprinzip

Was versteht man unter dem Begriff 'technische Vermeidbarkeit' im Zusammenhang mit digitalen Spuren?

Die Tatsache, dass digitale Spuren durch technische Maßnahmen verhindert oder minimiert werden können.

Welche Art von Spuren sind besonders interessant, weil sie nur vom Nutzer manipuliert werden können?

Technisch unvermeidbare Spuren

Welche Aussage trifft auf die forensische Analyse von flüchtigen Spuren zu?

Sie wird meist im Rahmen einer Live-Analyse durchgeführt.

Was ist ein wichtiger Aspekt bei der forensischen Kopie von Daten?

Die Bewahrung der Integrität der Daten

Was versteht man unter einer 'Tot-Analyse' in der forensischen Informatik?

Analyse persistenter Spuren

Welche der folgenden Aktionen wird nicht als Teil des forensischen Prozesses nach Casey angesehen?

Zerstörung

Welche Rolle spielen Sekundärdaten im Kontext der digitalen Spuren?

Sie beschreiben den Inhalt von Primärdaten.

Was ist das Hauptziel der 'Erhaltung' Phase im forensischen Prozess?

Die Sicherung und der Schutz der Spuren

Welche der folgenden ist keine Übertragung von Information in der digitalen Welt?

Übertragung von Materie.

Warum ist es wichtig, digitale Spuren auf verschiedenen Abstraktionsebenen zu betrachten?

Um Interpretationsfehler zu vermeiden.

Was bedeutet der Begriff 'Semantik' im Kontext von digitalen Spuren?

Die Bedeutung digitaler Spuren im jeweiligen Kontext

Study Notes

Grundlagen der Forensischen Informatik

• Forensik: Anwendung wissenschaftlicher Methoden im Rechtssystem.
• Kriminalistik: Wissen über Methoden und Mittel von Straftaten (naturwissenschaftlich).
• Kriminologie: Erfahrungswissen über Straftaten und Täter (sozialwissenschaftlich).
• Spur: Hinterlassenes Zeichen, Beweismittel (variabel). Unterteilt in Spureninformation und Spurenträger. Eine Kombination aus Gegenstand und Behauptung/Annahme. Integrität und Authentizität sind essentiell.
• Spureninformation: Bedeutung der Spur (Inhalt und Format). Inhalt: Was die Spur aussagt. Format: Technische/physische Form.
• Spurenträger: Material, z.B. Brief und Tinte. Unterliegt der Vergänglichkeit.
• Integrität (Spur): Keine Veränderung seit Sicherung. Vergänglichkeit/Veränderung durch Sicherungsprozess beachten. Vor allem Spureninformation betreffend.
• Authentizität (Spur): Spur muss echt sein, keine Verwechslung. Vor allem Spurenträger betreffend.
• Digitale Spuren: Spuren basierend auf Daten in Computersystemen. Spurenträger: Speichermedium. Spureninformation: Inhalt und Format. Inhalt: z.B. Textdatei. Format: z.B. Dateiformat. Schwache Bindung zwischen Spurenträger und Spureninformation.
• Integrität (Digitale Spur): Änderungen seit Sicherung? Integritätsüberprüfung durch Hashfunktionen.
• Authentizität (Digitale Spur): Echte Information? Verlässlichkeit von Personen, Sicherheit von Hashfunktionen.
• Abstraktionsebenen (Digitale Spuren): Nicht direkt menschlich verständlich. Extraktion und Übersetzung nötig. Mögliche Interpretationsfehler auf jeder Ebene. (z.B. Magnetisierung, Zeichenkodierung, Dateisystem, Dateiinterpretation).
• Eigenschaften digitaler Spuren:
  • Flüchtigkeit: Löschen, Überschreiben, Verlust durch technische Prozesse (z.B. Neustart).
  • Technische Vermeidbarkeit: Verschlüsselung, Anonymisierung.
  • Manipulierbarkeit: Änderung, Fälschung, Rekonstruktion einfach.
  • Kopierbarkeit: Verlustfreie Vervielfältigung.
  • Semantik: Bedeutung abhängig vom Kontext und Interpretation.

Forensische Informatik

• Forensische Informatik im engeren und weiteren Sinne. Methoden und Fragestellungen. Rekonstruktion der Vorgehensweise erforderlich.
• Nachvollziehbarkeit der Beweisführung für weniger versierte Personen wichtig.

Locards Austauschprinzip

• Austausch von Materie zwischen Tatort, Opfer, Täter wird verursacht durch Kriminalität. Bestandteil der modernen Forensik.
• Übertragung von Materie/Mustern.
• Digitale Welt: Austausch von Informationen (Musterübertragung). Keine direkte Analogie zur Materie.

Digitale Spuren - Eigenschaften (fortgesetzt)

• Flüchtigkeit: Unterscheidung in persistente (Festplatte) und flüchtige Spuren (RAM, Netzwerkdaten). Sicherung von flüchtigen Spuren möglich (Live-Analyse, Protokolldateien).
• Technische Vermeidbarkeit: Unterscheidung in technisch vermeidbare (Log-Datei) und unvermeidbare Spuren (gelöschte Dateien). Unvermeidbare Spuren sind besonders wichtig, da vom Nutzer manipuliert.
• Manipulierbarkeit: Spureninformation leicht manipulierbar, absichtlich oder unabsichtlich. Manipulation nicht immer erkennbar. Beispiele: Festplattenmanipulation, Telefonat über VOIP.
• Kopierbarkeit: Perfekte Kopien durch binäre Daten möglich. Integrität der forensischen Kopie ist essentiell.
• Semantik: Primärdaten, Sekundärdaten, Programmdaten, Konfigurationsdaten, Logdaten betrachtet.

Forensische Informatik - Techniken

• Sicherung/Analyse persistenter Spuren (Tot-Analyse).
• Sicherung/Analyse flüchtiger Spuren (Live-Analyse).
• Sicherung/Analyse flüchtiger Spuren im Netzwerk (Netzwerkforensik).

Forensischer Prozess (nach Casey)

• Vorbereitung: Planung, Werkzeugbereitstellung, Untersuchungsstrategie.
• Übersicht/Identifikation: Tatortaufnahme, relevante Spuren und Beweismittel suchen.
• Erhaltung: Sicherung der Spuren, Integritätserhalt.
• Untersuchung/Analyse: Detaillierte Untersuchung gesicherter Beweise.
• Präsentation: Ergebnispräsentation in gerichtsfester Form.