Host- Und Softwareforensik PDF

HOST- UND SOFTWAREFORENSIK DLBCSEHSF01_D HOST- UND SOFTWAREFORENSIK IMPRESSUM Herausgeber: IU Internationale Hochschule GmbH IU International University of Applied Sciences Juri-Gagarin-Ring 152 D-99084 Erfurt Postanschrift: Albert-Proeller-Straße 15-19 D-86675 Buchdorf [email protected] www.iu.de DLBCSEHSF01_D Versionsnr.: 001-2024-0412 Konzept: IU Internationale Hochschule GmbH Übersetzung Coverbild: Erstellt mit Midjourney im Auftrag der IU, 2024, unter der Nutzung des Prompts: „digital forensics, magnifying glass on binary code --ar 16:9 --v 6.0“ © 2024 IU Internationale Hochschule GmbH Dieses Lernskript ist urheberrechtlich geschützt. Alle Rechte vorbehalten. Dieses Lernskript darf in jeglicher Form ohne vorherige schriftliche Genehmigung der IU Internationale Hochschule GmbH (im Folgenden „IU“) nicht reproduziert und/oder unter Verwendung elektronischer Systeme verarbeitet, vervielfältigt oder verbreitet wer- den. Die Autor:innen/Herausgeber:innen haben sich nach bestem Wissen und Gewissen bemüht, die Urheber:innen und Quellen der verwendeten Abbildungen zu bestimmen. Sollte es dennoch zu irrtümlichen Angaben gekommen sein, bitten wir um eine dement- sprechende Nachricht. 2 INHALTSVERZEICHNIS HOST- UND SOFTWAREFORENSIK Einleitung Wegweiser durch das Lernskript.................................................... 6 Literaturempfehlungen............................................................ 7 Übergeordnete Lernziele.......................................................... 9 Lektion 1 Prinzipien der Computerforensik 11 1.1 Grundlagen der Untersuchung: Strafrecht oder Unternehmensrichtlinien......... 12 1.2 Richtlinien, rechtliche Rahmenbedingungen und Standards..................... 13 1.3 Sachverständige............................................................. 15 Lektion 2 Digitale Beweise 19 2.1 Arten von Beweisen.......................................................... 20 2.2 Sicherung und Chain of Custody............................................... 23 2.3 Identifikation................................................................ 26 2.4 Bewertung.................................................................. 28 2.5 Präsentation................................................................ 29 Lektion 3 Zusammenstellung der Beweise aus den Systemen 33 3.1 Software-Tools und Hardware-Unterstützung................................... 34 3.2 Kryptografische Methoden zur Sicherstellung der Integrität und der Chain of Custody................................................................................. 38 3.3 Schritte bei der Durchsuchung eines Tatorts.................................... 43 3.4 Cloud Computing und mobile Endgeräte....................................... 44 3.5 Mobilgeräte................................................................. 48 3.6 Festplatten und SSD......................................................... 49 Lektion 4 Systemforensik 53 4.1 Speicheranalyse............................................................. 54 4.2 Auszug und Analyse der Prozesse.............................................. 58 4.3 Forensik auf der Ebene der Betriebssysteme.................................... 62 4.4 Forensik in Cloud-Umgebungen............................................... 69 3 Lektion 5 Sandboxing von Schadsoftware 75 5.1 Arten von Schadsoftware..................................................... 76 5.2 Kommerzielle und Open-Source-Tools......................................... 79 5.3 Betrachtungen im Gastsystem................................................. 85 5.4 Ausführung von inaktiver, langsamer oder verzögerter Malware.................. 87 5.5 Interpretation von Berichten der Sandbox...................................... 89 Lektion 6 Prinzipien des Reverse Engineering 97 6.1 Reinraumumgebung......................................................... 98 6.2 Prinzipien der Disassemblierung............................................. 100 6.3 Maschinencode............................................................. 104 6.4 Dekompilierung............................................................ 105 Lektion 7 Auswertung 109 7.1 Zusammenhänge herstellen................................................. 110 7.2 Ursachenanalyse........................................................... 111 7.3 Zuordnung zu MITRE ATT&CK® Techniken, Taktiken und Verfahren............... 114 7.4 Vermeidung vorschneller Schlüsse........................................... 116 Lektion 8 Präsentation 119 8.1 Verfassen des Berichts...................................................... 120 8.2 Zusammenarbeit mit den Strafverfolgungsbehörden........................... 122 8.3 Vorbereitung für die Präsentation vor Gericht.................................. 124 8.4 Vorbereitung der Präsentation für Führungskräfte............................. 127 Verzeichnisse Literaturverzeichnis............................................................. 130 Tabellen- und Abbildungsverzeichnis............................................. 132 4 EINLEITUNG HERZLICH WILLKOMMEN WEGWEISER DURCH DAS LERNSKRIPT Dieses Lernskript bildet die Grundlage Deines Kurses. Ergänzend zum Lernskript stehen Dir weitere Medien aus unserer Online-Bibliothek sowie Videos zur Verfügung, mit deren Hilfe Du Dir Deinen individuellen Lern-Mix zusammenstellen kannst. Auf diese Weise kannst Du Dir den Stoff in Deinem eigenen Tempo aneignen und dabei auf lerntypspezifi- sche Anforderungen Rücksicht nehmen. Die Inhalte sind nach didaktischen Kriterien in Lektionen aufgeteilt, wobei jede Lektion aus mehreren Lernzyklen besteht. Jeder Lernzyklus enthält jeweils nur einen neuen inhaltlichen Schwerpunkt. So kannst Du neuen Lernstoff schnell und effektiv zu Deinem bereits vorhandenen Wissen hinzufügen. In der IU Learn App befinden sich am Ende eines jeden Lernzyklus die Interactive Quizzes. Mithilfe dieser Fragen kannst Du eigenständig und ohne jeden Druck überprüfen, ob Du die neuen Inhalte schon verinnerlicht hast. Sobald Du eine Lektion komplett bearbeitet hast, kannst Du Dein Wissen auf der Lernplatt- form unter Beweis stellen. Über automatisch auswertbare Fragen erhältst Du ein direktes Feedback zu Deinen Lernfortschritten. Die Wissenskontrolle gilt als bestanden, wenn Du mindestens 80 % der Fragen richtig beantwortet hast. Sollte das einmal nicht auf Anhieb klappen, kannst Du die Tests beliebig oft wiederholen. Wenn Du die Wissenskontrolle für sämtliche Lektionen gemeistert hast, führe bitte die abschließende Evaluierung des Kurses durch. Die IU Internationale Hochschule ist bestrebt, in ihren Lernskripten eine gendersensible und inklusive Sprache zu verwenden. Wir möchten jedoch hervorheben, dass auch in den Lernskripten, in denen das generische Maskulinum verwendet wird, immer Frauen und Männer, Inter- und Trans-Personen gemeint sind sowie auch jene, die sich keinem Geschlecht zuordnen wollen oder können. 6 LITERATUREMPFEHLUNGEN ALLGEMEIN Kävrestad, J. (2020). Fundamentals of Digital Forensics: Theory, Methods, and Real-Life Applications. Springer. https://search.ebscohost.com/login.aspx?direct=true&AuthTyp e=sso&db=edsvle&AN=edsvle.AH37527756&site=eds-live&scope=site&custid=s606857 9 Nelson, B., Phillips, A. & Steuart, C. (2014). Guide to computer forensics and investigations. Cengage Learning. Holt, T., Bossler, A. & Seigfried-Spellar, K. (2022). Cybercrime and digital forensics: An intro- duction. Routledge. Javed, A. R., Ahmed, W., Alazab, M., Jalil, Z., Kifayat K. & Gadekallu, T. R. (2022). A compre- hensive survey on computer forensics: State-of-theart, tools, techniques, challenges, and future directions. IEEE Access, 10, 11.065-11.089. Casino, F. et. al. (2022). Research trends, challenges, and emerging topics in digital foren- sics: A review of reviews. IEEE Access, 10, 25.464-25.493. LEKTION 1 Nelson, B., Phillips, A. & Steuart, C. (2014). Guide to computer forensics and investigations. Cengage Learning. Kap. 1 Holt, T., Bossler, A. & Seigfried-Spellar, K. (2022). Cybercrime and digital forensics: An intro- duction. Routledge. Kap. 1 LEKTION 2 Nelson, B., Phillips, A. & Steuart, C. (2014). Guide to computer forensics and investigations. Cengage Learning. Kap. 3. LEKTION 3 Alenezi, A. M. (2023). Digital and Cloud Forensic Challenges. arXiv preprint arXiv:2305.03059. Bhat, W., AlZahrani, A. & Wani, M. (28. Oktober 2020). Can computer forensic tools be trus- ted in digital investigations?. Science & Justice, 61(2), 198-203. 7 LEKTION 4 Wani, M., AlZahrani, A. & Bhat, W. (01. März 2020). File system anti-forensics–types, techni- ques and tools. Computer Fraud & Security, (3), 14-19. Nelson, B., Phillips, A. & Steuart, C. (2014). Guide to computer forensics and investigations. Cengage Learning. Kap. 6, 8. LEKTION 5 Vasilescu, M., Gheorghe, L. & Tapus, N. (13. November 2014). Practical malware analysis based on sandboxing. 2014 RoEduNet Conference 13th Edition: Networking in Education and Research Joint Event RENAM 8th Conference, 1-6. Afianian, A., Niksefat, S., Sadeghiyan, B. & Baptiste, D. (14. November 2019). Malware dyna- mic analysis evasion techniques: A survey. ACM Computing Surveys (CSUR), 52(6), 1-28. LEKTION 6 Caviglione, L., Wendzel, S. & Mazurczyk, W. (November/Dezember 2017). The future of digi- tal forensics: Challenges and the road ahead. IEEE Security & Privacy, 15(6), 12-17. Jones, K., Bejtlich, R. & Rose, C. (2006). Real digital forensics: computer security and inci- dent response. Addison-Wesley Professional. LEKTION 7 Al-Shaer, R., Spring, J. & Christou, E. (12. Mai 2020). Learning the associations of mitre att & ck adversarial techniques. 2020 IEEE Conference on Communications and Network Security (CNS), 1-9. LEKTION 8 Reddy, N. (2019). Practical cyber forensics: an incident-based approach to forensic investi- gations. Apress. 8 ÜBERGEORDNETE LERNZIELE Sicherheitsbeauftragte werden heutzutage regelmäßig mit Sicherheitsvorfällen konfron- tiert und werden aufgefordert, Schäden zu untersuchen. Im Kurs Host- und Softwarefo- rensik werden sowohl kriminelle Vorfälle als auch Verletzungen der geschäftspolitischen Vorgaben untersucht. Insbesondere geht es darum, wie man Beweise sammelt und aus- wertet. Wir untersuchen verschiedene Arten unerwünschter Aktivitäten und wie sich diese in den von uns gesammelten Daten manifestieren. Mit den entsprechenden Werkzeugen können Hinweise gesammelt und gegebenenfalls eine Beweismittelkette mit geeigneten kryptografischen Methoden sichergestellt werden. Das Erfassen der Dateien auf einem Datenträger ist gängige Praxis in der Computerforensik. Ein Teil des Beweiserhebungs- prozesses ist jedoch auch die Erfassung von Informationen aus dem laufenden System, wozu auch die Speicher- und Prozesserfassung gehört. Die gesammelten Hinweise müs- sen angemessen ausgewertet und logische Schlussfolgerungen daraus gezogen werden. Häufig wird mögliche Schadsoftware auf dem Opfersystem gefunden. Wir betrachten zwei Methoden zur Analyse der Schadsoftware: Sandboxing und Reverse Engineering. Die Ergebnisse werden in einem Bericht festgehalten, wobei zu berücksichtigen ist, wer das Zielpublikum des Berichts und der möglichen Präsentation sein wird. Gute Kommunika- tion ist hier von entscheidender Bedeutung. 9 LEKTION 1 PRINZIPIEN DER COMPUTERFORENSIK LERNZIELE Nach der Bearbeitung dieser Lektion wirst Du in der Lage sein,... – Wirtschaftskriminalität und Straftatbestand zu definieren. – die Unterschiede zwischen Unternehmens- und Rechtskriminalität zu beschreiben. – die wichtigsten Maßnahmen, die bei der Untersuchung eines IT-Verbrechens ergriffen werden sollten, zu listen. – die Grundlagen der IT-Forensik zur Bekämpfung digitaler Verbrechen zu verstehen. 1. PRINZIPIEN DER COMPUTERFORENSIK Einführung In der sich ständig weiterentwickelnden Welt der Technologie hat die Integration von Computern unser tägliches Leben wesentlich verändert. Ursprünglich zur Steigerung von Komfort und Effizienz gedacht, hat der Missbrauch der Technologie durch bestimmte Per- sonen und Gruppen das Konzept des Komforts neu definiert, indem Systemschwächen für unrechtmäßige Vorteile ausgenutzt wurden. Die Computerforensik, die Praxis der Unter- suchung digitaler Vorgänge, ist von zentraler Bedeutung für das Aufspüren und Zerlegen böswilliger Akteure mithilfe spezieller Tools und Fachkenntnisse. Es ist wichtig zu wissen, dass nicht jede Untersuchung auf kriminelle Absichten hinweist; manchmal können Vor- fälle auf Systemunregelmäßigkeiten oder Konfigurationsfehler zurückzuführen sein. Folg- lich muss ein forensischer Ermittler ein tiefgreifendes Verständnis der Systemfunktionen und Betriebssysteme besitzen. Im heutigen digitalen Zeitalter sind praktisch alle Formen kriminellen Verhaltens mit digi- talen Medien verbunden. Ermittlungsprofis sind dafür verantwortlich, Beweise zu finden, die nicht nur rechtlich zulässig sind, sondern auch unparteiisch und auf Tatsachen beru- hen. Diese Lektion befasst sich mit bekannten computerforensischen Untersuchungen, die in zwei Hauptkategorien eingeteilt werden können: Strafsachen, die in den Zuständigkeits- bereich der Strafverfolgungsbehörden fallen, und andere, die sich auf Unternehmenser- mittlungen beziehen, die häufig von privaten Ermittlern oder Unternehmen durchgeführt werden. Es ist erwähnenswert, dass Ermittlungen in Unternehmen je nach den konkreten Umständen möglicherweise in Strafsachen übergehen können (Oettinger, 2020). 1.1 Grundlagen der Untersuchung: Strafrecht oder Unternehmensrichtlinien Für beide Arten von Ermittlungen, ob sie nun strafrechtlicher oder unternehmensinterner Natur sind, ist ein spezifisches Know-how eine grundlegende und zentrale Voraussetzung. In beiden Fällen müssen die Ermittler:innen über die erforderlichen Fähigkeiten zur Verfol- gung von Computerkriminalität verfügen. Dazu gehört die Beherrschung der richtigen Ver- fahren zur Sammlung digitaler Beweismittel, die Einhaltung von Protokollen zur Sicherung dieser Beweise, die Fähigkeit, die Beweismittel effektiv zu analysieren, und die Fähigkeit, die Beweise vor Gericht oder vor einem Entscheidungsgremium zu präsentieren. Bei der Erörterung digitaler Beweismittel ist die Sicherstellung ihrer Rechtmäßigkeit eines der wichtigsten Elemente. Die Validierung der Erkenntnisse ist von größter Bedeutung, da sie sicherstellt, dass die gesammelten Beweise tatsächlich echt sind und in direktem Zusam- menhang mit dem jeweiligen Fall stehen. 12 Der Prozess der Beweiserhebung in der IT-Forensik umfasst zwei verschiedene Phasen, die während der gesamten Dauer eines Falles von entscheidender Bedeutung sind. In der Anfangsphase geht es darum, die rechtlichen Voraussetzungen für die Beweiserhebung zu schaffen. In Strafverfahren bedeutet dies die Beschaffung eines gerichtlichen Bescheids – ein Durchsuchungsbefehl. Die Strafverfolgungsbehörden müssen für den Zugriff auf die digitalen Geräte einer verdächtigen Person einen gerichtlichen Durchsuchungsbefehl Durchsuchungsbefehl einholen. Bei Ermittlungen in einem Unternehmen hängt der Prozess entscheidend von Ein vom/von der Rich- ter:in ausgestelltes juristi- der Richtlinien der Organisation ab. Wenn das Unternehmen seinen Mitarbeitenden einen sches Dokument, das es Laptop zur Verfügung gestellt hat, sind die Mitarbeitenden in der Regel dazu verpflichtet, den Strafverfolgungsbe- das Gerät gemäß den Unternehmensrichtlinien zur Untersuchung herauszugeben. hörden erlaubt, Eigentum zu durchsuchen und zu beschlagnahmen. Die zweite Phase kommt dann zum Tragen, wenn ein Unternehmen eine „Bring Your Own Device“-(BYOD)-Richtlinie anwendet (d. h. die Mitarbeitenden nutzen ihre privaten Geräte), wodurch die Situation möglicherweise noch komplizierter macht. In solchen Fäl- len hängt die Beweiserhebung in hohem Maße von der Zustimmung der Mitarbeitenden und den konkreten Unternehmensrichtlinien ab. Wenn die Unternehmensrichtlinie vor- schreibt, dass die Mitarbeitenden ihre Geräte freiwillig zur Untersuchung zur Verfügung stellen müssen, sind die Mitarbeitenden verpflichtet, ihre Laptops entsprechend zur Verfü- gung zu stellen. Die beiden Phasen zusammen bilden die Grundlage für die Beweiserhe- bung in der IT-Forensik und umfassen sowohl den rechtlichen Rahmen als auch die Kom- plexität, die bei BYOD-Szenarien auftreten kann. Neben dem gesetzlichen Auftrag zur Beweissicherung gibt es in der digitalen Forensik eine strenge technische Vorschrift: Alle digitalen Beweismittel müssen durch ein Verfahren gesammelt werden, das als Bit-by-Bit-Imaging bezeichnet wird. Diese Methode ist von ent- scheidender Bedeutung, da sie die Validierung von Beweisen ermöglicht. Nach Abschluss des Imaging-Vorgangs wird ein eindeutiger mathematischer Wert, ein sogenannter Hash, generiert (siehe Lektion 3). Hashes spielen eine entscheidende Rolle bei der Validierung von Beweisen. Jede Datenerfassung aus einer computergestützten Quelle muss einen ein- deutigen Hash-Wert aufweisen. 1.2 Richtlinien, rechtliche Rahmenbedingungen und Standards Die Verdunklungsgefahr ist ein kritisches Problem im Bereich der Host- und Systemforen- sik. Es bezieht sich auf die absichtliche Veränderung, Vernichtung oder Manipulation potenzieller Beweismittel in einer Weise, die deren Echtheit und Vertrauenswürdigkeit beeinträchtigt. Um den nachteiligen Auswirkungen der Vernichtung entgegenzuwirken und die Integrität digitaler Beweismittel zu wahren, wurden verschiedene Strategien, rechtliche Rahmenbedingungen und Normen entwickelt. 13 Richtlinien Richtlinien sind ein zentraler Bestandteil von Unternehmensuntersuchungen und geben nicht nur Arbeitnehmer:innen, sondern auch Arbeitgeber:innen eine Reihe von Leitlinien und Weisungen vor. Unter diesen Richtlinien kommt der Datenschutzrichtlinie eine beson- dere Bedeutung im Ermittlungsverfahren zu. Wenn beispielsweise die Datenschutzrichtli- nie eines Unternehmens den Mitarbeiter:innen die Freiheit einräumt, eine Herausgabe ihrer Firmenlaptops für Ermittlungszwecke zu verweigern, ist das Unternehmen verpflich- tet, sich an diese Richtlinie zu halten. Obwohl der Firmenlaptop Eigentum des Unterneh- mens ist, werden die darauf befindlichen Daten in diesem Fall als persönliches Eigentum der Mitarbeiter:innen betrachtet. Richtlinien gestalten demnach die Bedingungen für Untersuchungen auf grundlegende und entscheidende Weise. Demgegenüber gibt es Unternehmen mit strengen Richtlinien, die vorschreiben, dass Firmengeräte einschließlich Laptops und Handys ausschließlich für Firmenzwecke verwendet werden dürfen. In die- sem Fall sind die Mitarbeiter:innen verpflichtet, ihre Geräte auf Verlangen des Unterneh- mens herauszugeben. Rechtlicher Rahmen Bei strafrechtlichen Ermittlungen ist die strikte Einhaltung des rechtlichen Rahmens, der im jeweiligen Rechtsraum gilt, von größter Bedeutung. In Deutschland beispielsweise wird die Cybersicherheit durch eine Vielzahl von Gesetzen geregelt, die von den konkreten Umständen des jeweiligen Falles abhängen. Die Datenschutz-Grundverordnung (DSGVO) (Europäisches Parlament, 2016) ist oft der Eckpfeiler, begleitet von Vorschriften wie dem Bundesdatenschutzgesetz und dem Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSIG) (BT, ohne Datum), die in verschiedenen Cybersicherheitsfällen häufig herangezogen werden. Darüber hinaus umfasst dieser rechtliche Rahmen eine Reihe weiterer Gesetze, darunter das Telekommunikations-Telemedien-Datenschutzge- setz (TTDSG) (Klein, 2022), das Telekommunikationsgesetz, das Kreditwesengesetz, das Energiewirtschaftsgesetz und das Wertpapierhandelsgesetz. Die Einbeziehung dieser ver- schiedenen Gesetze in die Ermittlungen zur Cyberkriminalität ist zwingend erforderlich, da Straftaten in unserer Zeit stets, wenn auch in unterschiedlichem Maße, eine digitale Kom- ponente aufweisen. Normen Die Internationale Organisation für Normung (ISO) und die Internationale Elektrotechni- sche Kommission (IEC) arbeiten gemeinsam an der Festlegung internationaler Normen zur Harmonisierung der Praktiken in den verschiedenen Ländern. Im Jahr 2012 wurde die Norm ISO/IEC 27037 (Techniques, 2012), mit dem Titel „Guidelines for Identification, Col- lection, Acquisition, and Preservation of Digital Evidence (Leitfaden für die Identifikation, Mitnahme, Sicherung und Erhaltung digitaler Beweismittel) eingeführt. Diese Norm beschreibt Verfahren zur Identifikation, Erfassung, Sicherung und Erhaltung digitaler forensischer Beweismittel, um deren Beweiskraft in Gerichtsverfahren zu gewährleisten. Ihr Hauptziel ist die Förderung bewährter Verfahren und die Standardisierung von Metho- den zur Erfassung und Untersuchung digitaler Beweismittel. Diese Standardisierung 14 erleichtert eine internationale Konsistenz und erleichtert den Vergleich und die Kombina- tion von Ergebnissen aus verschiedenen Untersuchungen in unterschiedlichen Rechtsord- nungen. Vor der Einführung von ISO/IEC 27037 gab es keine globalen Standards für die Sicherung digitaler Beweismittel, was zu Problemen führen konnte, wenn Beweise aus einem Land vor den Gerichten eines anderen Landes vorgelegt wurden. Das Fehlen angemessener Sicherheitsvorkehrungen konnte dazu führen, dass Beweise rechtlich unzulässig waren. Neben den ISO-Normen werden in Deutschland auch das BSI-Handbuch für den IT-Grund- schutz und Normen für die Qualitätssicherung im Cyberspace wie ISO/IEC 15408 (Techni- ques, 2022) und ISO 27000 für die Informationssicherheit befolgt. Auch die COBIT-Stan- dards (Control Objective for Information and Technology) sind in der Praxis verbreitet. Als EU-Mitglied verlässt sich Deutschland bei Zertifizierungen auf die ENISA (die Cybersicher- heitsagentur der Europäischen Union) und hält Cybersicherheitsstandards gemäß den ENISA-Leitlinien ein (Ridley, Young, & Carroll, 2004). Im Falle einer Sicherheitsverletzung oder eines Cyberangriffs sollten Unternehmen, die in Deutschland tätig sind, sich an die ENISA als erste Anlaufstelle wenden. 1.3 Sachverständige Sachverständige für IT-Forensik sind hochqualifizierte und erfahrene Fachpersonen, die über spezielle Kenntnisse in digitaler Forensik, Cybersicherheit und verwandten Berei- chen verfügen. Sie spielen eine zentrale Rolle in Gerichtsverfahren, bei denen digitale Beweismittel von entscheidender Bedeutung sind, z. B. bei strafrechtlichen Ermittlungen, zivilrechtlichen Streitfällen und bei der Beurteilung der Einhaltung behördlicher Vorschrif- ten. Sachverständige werden hinzugezogen, um ihr Fachwissen, ihre Analysen und Gut- achten zu den in einem Fall vorgelegten digitalen Beweismitteln darzulegen, und ihre Aus- sagen können die Entscheidung des Gerichts erheblich beeinflussen. 1. Technische Kenntnisse: Von Sachverständigen wird ein umfassendes Verständnis von Computersystemen, digitalen Geräten, Betriebssystemen, Dateistrukturen und forensischen Tools erwartet. Sie sollten die Wiederherstellung von Daten, die Analyse und die Identifikation von digitalen Artefakten beherrschen. 2. Unparteilichkeit: Sachverständige sind zur Objektivität und Unparteilichkeit ver- pflichtet. Sie sind in erster Linie dem Gericht und dem Streben nach Gerechtigkeit ver- pflichtet und ergreifen nicht Partei in einem Rechtsstreit. Sie sollten Fakten und Analy- sen unvoreingenommen präsentieren. 3. Vorbereitung von Zeugenaussagen: Sachverständige unterstützen Rechtsbeistände bei der Vorbereitung von Prozessen und Anhörungen. Sie können dabei helfen, Fragen zu formulieren, Strategien entwickeln und Anleitungen geben, wie man komplexe technische Konzepte den Richter:innen und Schöff:innen am besten präsentiert. 4. Authentifizierung von Beweismitteln: Sachverständige spielen eine entscheidende Rolle bei der Überprüfung der Echtheit und Integrität digitaler Beweismittel. 5. Verfassen von Berichten: Sachverständige erstellen in der Regel umfassende Berichte, in denen sie ihre Feststellungen, ihre Methodik und die Bedeutung ihrer Ana- lyse zusammenfassen. Diese Berichte dienen als Grundlage für ihre 15 6. Kommunikationsfähigkeiten: Um komplexe technische Informationen einem nicht- technischen Publikum wirksam vermitteln zu können, müssen Sachverständige über gute Kommunikations- und Präsentationsfähigkeiten verfügen. Sie sollten in der Lage sein, ihre Feststellungen klar und verständlich zu erläutern. 7. Juristische Kenntnisse: Sachverständige für IT-Forensik müssen zwar keine Rechts- expert:innen sein, sollten aber mit den einschlägigen Gesetzen und Vorschriften ver- traut sein, da ihre Aussagen mit den Rechtsprinzipien übereinstimmen müssen. 8. Vorbereitung auf Kreuzverhöre: Sachverständige sollten auf ein Kreuzverhör durch den Anwalt oder der Anwältin der Gegenpartei vorbereitet sein. Sie müssen in der Lage sein, ihre Methoden, Feststellungen und Gutachten zu verteidigen, wenn sie auf dem Prüfstand stehen. 9. Kontinuierliche Weiterbildung: Der Bereich der IT-Forensik entwickelt sich aufgrund der Fortschritte bei Technik und Cyber-Bedrohungen ständig weiter. Sachverständige müssen sich ständig über neue Techniken, Tools und entstehende Herausforderungen informieren. 10. Anfechtung der Zulässigkeit: Sachverständige können herangezogen werden, um die Zulässigkeit digitaler Beweismittel vor Gericht zu belegen und zu analysieren. Dazu gehört auch die Auseinandersetzung mit Rechtsprinzipien für die Vorlage von Beweismitteln. Sachverständige für IT-Forensik spielen eine entscheidende Rolle bei der gerechten und angemessenen Lösung von Fällen, bei denen digitale Beweismittel eine Rolle spielen. Ihre Glaubwürdigkeit und Kompetenz sind für das Rechtssystem von entscheidender Bedeu- tung, wenn es darum geht, Technologie bei der Rechtsverfolgung wirksam zu nutzen. Darüber hinaus tragen sie dazu bei, die Integrität der digitalen Beweiskette aufrechtzuer- halten, die Verlässlichkeit forensischer Untersuchungen zu fördern und die Rechtsstaat- lichkeit im digitalen Zeitalter aufrechtzuerhalten. ZUSAMMENFASSUNG Die IT-Forensik umfasst eine Reihe von Grundprinzipien und Praktiken zur Untersuchung digitaler Vorfälle. In diesem Zusammenhang werden drei grundlegende Aspekte untersucht. Zunächst befasst sich die Lektion mit den Grundlagen der Untersuchung: Strafrecht oder Unternehmens- richtlinien, wobei zwischen strafrechtlichen und unternehmensinternen Ermittlungen unterschieden wird und die unterschiedlichen Ansätze und Ziele im jeweiligen Szenario betont werden. Als Nächstes wird die Bedeutung von Richtlinien, rechtlichem Rahmen und Normen erörtert, wobei die entscheidende Rolle von Vorschriften und Leitlinien für die Durchführung digitaler Ermittlungen hervorgehoben wird. Schließlich wird der Begriff des Sachverständigen eingeführt, um die Bedeutung qualifizierter Sachverständiger bei der Leistung von Zeugenaussagen und Lieferung von Beweismitteln in Gerichtsverfahren zu unterstreichen. 16 Diese Prinzipien bilden zusammen das Fundament der IT-Forensik und gewährleisten einen systematischen und rechtlich einwandfreien Ansatz für digitale Ermittlungen. 17 LEKTION 2 DIGITALE BEWEISE LERNZIELE Nach der Bearbeitung dieser Lektion wirst Du in der Lage sein,.... – den Unterschied zwischen unmittelbaren und Indizienbeweisen im digitalen Kontext zu beschreiben. – den Prozess der Sicherung digitaler Beweismittel unter Aufrechterhaltung der Chain of Custody (Überwachungskette) zu definieren. – die Methoden zur Identifikation und Extraktion von digitalen Beweismitteln zu listen. – die Rechtsprinzipien für die Zulässigkeit und Vertrauenswürdigkeit von digitalen Beweismitteln zu verstehen. 2. DIGITALE BEWEISE Einführung Digitale Beweismittel sind zu einem grundlegenden Element bei Ermittlungen, Rechts- streitigkeiten und verschiedenen Aspekten des modernen Lebens in unserer heutigen Welt geworden, die stark vernetzt und von Technologie bestimmt ist. Digitale Beweismittel umfassen alle Informationen und Daten, die in elektronischen oder digitalen Formaten gespeichert, übertragen oder verarbeitet werden. Sie spielen eine zentrale Rolle bei der Aufdeckung der Wahrheit, der Aufklärung von Kriminalfällen und der Glaubwürdigkeit von Behauptungen. Da unsere Abhängigkeit von digitalen Geräten und Online-Plattformen weiter zunimmt, ist es für Jurist:innen, Strafverfolgungsbehörden, Cybersicherheitsex- pert:innen und alle, die Wert auf die Genauigkeit und Vertrauenswürdigkeit von Informati- onen in diesem digitalen Zeitalter legen, unerlässlich, die Eigenschaft und Bedeutung digi- taler Beweismittel zu verstehen. In dieser Lektion werden die verschiedenen Aspekte digitaler Beweismittel, ihre Katego- rien, ihre Funktionen in rechtlichen und ermittlungstechnischen Kontexten, die mit ihnen einhergehenden Herausforderungen und ihre Bedeutung in der heutigen Gesellschaft untersucht. 2.1 Arten von Beweisen Digitale Beweismittel gibt es in vielen Formen, von denen jede einzigartige Eigenschaften und Bedeutung für Ermittlungen und Gerichtsverfahren besitzt. Verstehen der Vielfalt digitaler Beweismittel Digitale Beweismittel umfassen ein breites Spektrum von Datentypen, von denen jeder seine eigenen Eigenschaften und seine eigene Bedeutung hat. Zu den wichtigsten Katego- rien digitaler Beweismittel gehören Dokumente, E-Mails, Bilder, Videos und Metadaten: Dokumente sind eine allgegenwärtige Form digitaler Beweismittel. Diese Kategorie umfasst verschiedene Dateitypen, wie z. B. Textdokumente, Tabellenkalkulationen, Prä- sentationen und Datenbanken. Dokumente enthalten oft schriftliche Aufzeichnungen mit wichtigen Informationen und sind daher von zentraler Bedeutung für Ermittlungen. In einem Fall von Unterschlagung in einem Unternehmen kann beispielsweise eine Finanztabelle als Beweis für betrügerische Transaktionen dienen und den Geldfluss und illegale Aktivitäten aufdecken. E-Mails stehen für elektronische Korrespondenz und Kommunikation. Sie spielen eine wichtige Rolle bei Ermittlungen, da sie die Rückverfolgung des Informationsaustauschs und von Gesprächen ermöglichen. E-Mail-Beweise können Motive, Verschwörungen 20 oder die Absicht hinter Handlungen aufdecken. Der E-Mail-Verkehr zwischen Mitarbei- ter:innen kann in einem Fall von Diebstahl geistigen Eigentums Pläne zum Diebstahl vertraulicher Daten enthüllen. Bilder und Videos verleihen digitalen Beweismitteln eine visuelle Dimension. Sie halten Ereignisse, Personen, Gegenstände oder Szenen fest und bieten Einblicke in bestimmte Situationen. Diese Arten von Beweisen sind von unschätzbarem Wert für die Rekon- struktion von Tatorten, die Identifikation von verdächtigen Personen oder das Verständ- nis von Ereigniszusammenhängen. In einem Fall von Vandalismus können Überwa- chungsaufnahmen Hinweise auf die Täter:innen und das Ausmaß des Schadens liefern. Metadaten werden oft als der verborgene Schatz in digitalen Dateien bezeichnet. Sie enthalten Informationen über die Erstellung, Änderung und den Zugriffsverlauf einer Datei. Auch wenn sie nicht sofort sichtbar sind, können Metadaten eine Goldgrube für digitale Ermittler:innen sein. Sie enthüllen wichtige Details über den Ursprung einer Datei, ihre Urheberschaft und Änderungen im zeitlichen Verlauf. Die Metadaten eines Fotos geben beispielsweise Aufschluss über das verwendete Gerät, das Aufnahmeda- tum und die Uhrzeit sowie die GPS-Koordinaten des Aufnahmeortes. Bedeutung der verschiedenen Beweisarten Digitale Beweismittel gibt es in verschiedenen Formen, und jede Art ist bei Ermittlungen und Gerichtsverfahren von Bedeutung. Für Jurist:innen, Ermittler:innen und forensische Analyst:innen ist es von entscheidender Bedeutung, die Unterschiede zwischen den ver- schiedenen Arten von Beweisen, insbesondere den unmittelbaren und Indizienbeweisen, zu verstehen. Lassen Sie uns die Bedeutung dieser Beweisarten genauer untersuchen. Unmittelbare Beweise Unmittelbare Beweise stellen oft einen unmissverständlichen Bezug zum Sachverhalt her. Sie können ein wirkungsvolles Instrument zur Wahrheitsfindung sein, da sie wenig Raum für Interpretationen lassen. So ist beispielsweise eine E-Mail mit ausdrücklichen Angaben zum Verbrechen oder ein Geständnis ein zwingender unmittelbarer Beweis. In solchen Fäl- len kann sie zu schnellen Verurteilungen und endgültigen Ergebnissen von Gerichtsverfah- ren führen. Ein weiteres Beispiel: Ein digitales Foto oder eine Videoaufzeichnung der Aus- führung einer Straftat würde einen unmittelbaren Beweis darstellen. Die Echtheit und Zuverlässigkeit solcher Beweise lässt sich relativ leicht nachweisen, was sie zu einem wir- kungsvollen Instrument in Gerichtsverfahren macht. Aufgrund ihrer Unkompliziertheit können unmittelbare Beweise erhebliche Auswirkungen auf einen Fall haben. Sie beweisen unmittelbar eine fragliche Tatsache und lassen wenig Raum für Interpretationen. Sie liefern oft klare Antworten. So ist beispielsweise eine E- Mail, in der ein Plan zur Begehung einer Straftat geäußert wird, ein unmittelbarer Beweis für den Vorsatz. Ebenso ist ein Dokument, das ein Geständnis einer Straftat enthält, ein unmittelbarer Beweis für die Schuld des Täters oder der Täterin. Unmittelbare Beweise gelten als unerlässlich und können den Fallausgang wesentlich beeinflussen. 21 Im Allgemeinen messen Gerichte unmittelbaren Beweisen bei der Entscheidung über die Zulässigkeit Gewicht bei. Unmittelbare Beweise werden vor Gericht eher zugelassen, wenn sie hinreichend authentifiziert und relevant sind. Sie müssen jedoch die gesetzlichen Anforderungen an die Zuverlässigkeit und Authentizität erfüllen, um akzeptiert zu werden. Indizienbeweise Indizienbeweise spielen eine wichtige Rolle in Fällen, in denen unmittelbare Beweise feh- len oder wenn eine überzeugende Schilderung benötigt wird. Indizienbeweise bilden einen Rahmen, in dem Rückschlüsse auf Schuld oder Unschuld gezogen werden können. Betrachten Sie Indizienbeweise als einzelne Puzzleteile, die zusammengesetzt ein kohä- rentes und sinnvolles Ganzes ergeben. In vielen Fällen bestätigen und untermauern Indizienbeweise die unmittelbaren Beweise. Sie beweisen eine Tatsache nicht direkt, sondern stützen sich auf eine Kette von Rück- schlüssen, um zu einer Schlussfolgerung zu gelangen. Sie liefern zusätzliche Beweise, die einen Fall untermauern können. In einem Mordprozess beispielsweise kann das Vorhan- densein von Fingerabdrücken des Angeklagten oder der Angeklagten am Tatort (unmittel- barer Beweis) durch Indizienbeweise, wie die gemeinsame Vergangenheit des Angeklag- ten oder der Angeklagten und des Opfers, ergänzt werden. Sie beweisen also nicht direkt eine Tatsache, sondern schaffen Umstände, aus denen auf Schuld oder Unschuld geschlossen werden kann. Ein weiteres Beispiel ist ein Bild, das einen Verdächtigen oder eine Verdächtige in der Nähe eines Tatorts zeigt. Es beweist vielleicht nicht direkt seine oder ihre Beteiligung an der Straftat, schafft aber einen Umstand, aus dem man auf seine oder ihre Anwesenheit und mögliche Beteiligung schließen kann. In komplexen Fällen, in denen direkte Beweise selten oder nur schwer zu beschaffen sind, werden Indizienbeweise für die Rechtsfindung unerlässlich. In Fällen von Finanzbetrug, Cyberkriminalität oder Ereignissen in der Vergan- genheit stützt man sich weitgehend auf Indizienbeweise. Daher werden Indizienbeweise häufig verwendet, um einen Fall zu konstruieren, wenn unmittelbare Beweise fehlen, die sich auf logische Verbindungen zwischen den vorgeleg- ten Beweismitteln und den fraglichen Fakten stützen. Abwägung von unmittelbaren und Indizienbeweisen Es ist wichtig zu wissen, dass in vielen Fällen unmittelbare Beweise und Indizienbeweise kombiniert werden, um einen soliden Fall zu konstruieren. Die Bedeutung der einzelnen Arten hängt oft von den besonderen Umständen des Falles und der Qualität der vorgeleg- ten Beweise ab. Juristen müssen die Relevanz, Zulässigkeit und Beweiskraft jedes einzel- nen Beweismittels sorgfältig prüfen, um eine überzeugende Argumentation zu entwickeln. Wie bei herkömmlichen Beweismitteln ist auch in der digitalen Forensik das Verständnis des Zusammenspiels zwischen unmittelbaren Beweisen und Indizienbeweisen entschei- dend. Die Bedeutung der verschiedenen Arten von Beweisen verdeutlicht die Komplexität des Rechtssystems und die Notwendigkeit eines differenzierten Ansatzes bei Ermittlungen und Gerichtsverfahren. 22 In den folgenden Lernzyklen dieser Lektion werden wir uns mit den Techniken befassen, mit denen digitale Beweismittel gesichert, erhalten und analysiert werden und dabei sichergestellt wird, dass deren Integrität während des gesamten Ermittlungsprozesses aufrechterhalten bleibt. 2.2 Sicherung und Chain of Custody Die Analyse von digitalem Beweismaterial stellt forensische Ermittler vor große Herausfor- derungen. Die Arbeit mit digitalen Medien und elektronischen Daten ist ein entscheiden- der Teil einer erfolgreichen Fallbearbeitung. Dieses Unterkapitel befasst sich mit den wesentlichen Aspekten der Sicherung und Aufrechterhaltung der Chain of Custody (Über- wachungskette) bei digitalen Ermittlungen, einschließlich ihrer Definitionen, Bedeutung und Techniken. Darüber hinaus werden die Instrumente für die forensische Erfassung digi- taler Daten und die Bedeutung des Schutzes der Integrität und Sicherheit digitaler Beweis- mittel untersucht. EXKURS Sicherung: Erfassung digitaler Beweismittel aus verschiedenen Quellen, z. B. Computern, Mobilgeräten oder Netzwerkprotokollen. Definition der Begriffe „Sicherung“ und „Chain of Custody“ Die Sicherung in der digitalen Forensik umfasst die Erfassung digitaler Beweismittel aus verschiedenen Quellen, wie z. B. Computern, Mobilgeräten oder Netzwerkprotokollen. Sie besteht darin, Daten zu identifizieren, zu kopieren und forensisch zu sichern. Anders aus- gedrückt, handelt es sich um den Prozess der Erfassung digitaler Beweismittel von elekt- ronischen Medien durch die Erstellung mehrerer Kopien der zu untersuchenden Daten. Durch die Sicherung wird sichergestellt, dass die ursprünglichen Beweismittel während der Untersuchung unverändert bleiben, was eine vertrauenswürdige Prüfung der Daten ermöglicht. Als Chain of Custody wird die dokumentierte und chronologische Aufzeichnung der Perso- nen bezeichnet, in deren Besitz sich das digitale Beweismaterial ab dem Zeitpunkt seiner Sicherung befunden hat. Diese Aufzeichnung enthält Angaben darüber, wann, wo und von wem die Beweismittel bearbeitet wurden. Die Chain of Custody ist von entscheidender Bedeutung für die Wahrung der Integrität und Vertrauenswürdigkeit von Beweismitteln, da sie nachweist, dass die Beweismittel unverändert bzw. unverfälscht geblieben sind. Im Allgemeinen gibt es zwei Hauptmethoden für die Datenerfassung: statische Erfassung und Live-Erfassung. Bei beiden Methoden bestehen ähnliche Anforderungen an die Daten- integrität. Bei der statischen Datenerfassung wird das ursprüngliche digitale Beweismittel während des Prozesses nicht verändert. Es werden Bit-für-Bit-Kopien der Daten erstellt, 23 um die Datenintegrität zu gewährleisten. Diese Methode wird verwendet, wenn die Erhal- tung des ursprünglichen Zustands der Daten von entscheidender Bedeutung ist, wie z. B. bei juristischen Untersuchungen. Bei der Live-Datenerfassung hingegen werden Daten von einem laufenden Computer oder System erfasst. Diese Methode kann Echtzeitinformationen über die Systemaktivität lie- fern, einschließlich aktiver Prozesse, Netzwerkverbindungen und flüchtiger Speicherin- halte. Wenn jedoch mehrere Kopien von Live-Erfassungen erstellt werden, während ein Computer läuft, erfassen sie aufgrund der dynamischen Natur des Systems neue Datenins- tanzen. Bei der Live-Erfassung sind daher keine wiederholbaren Prozesse möglich, und Wiederholbarkeit ist für die Validierung digitaler Beweismittel unerlässlich. Datenquellen für die Erfassung Computer und Server: Daten können von Festplatten, Solid-State-Drives, RAM und ande- ren Speichergeräten in Computern und Servern erfasst werden. Mobilgeräte: Mobiltelefone, Tablets und andere tragbare Geräte sind gängige Quellen digi- taler Beweismittel. Externe Speichermedien: USB-Laufwerke, externe Festplatten und Speicherkarten können wertvolle Daten enthalten. Netzwerke: Die Daten können aus dem Netzwerkverkehr, von Routern, Switches und ande- ren Netzinfrastrukturen gewonnen werden. Datenformate Es gibt drei allgemeine Hauptformate, die in großem Umfang zur Speicherung von Daten auf einem Computer verwendet werden. Zwei dieser Formate sind open source, bekannt als „Rohformat“ und „Advanced Forensic Formats (AFF)“, während das dritte Format prop- rietär ist und auf einzigartigen Merkmalen der Anbieter basiert. Außerdem gibt es heute mehrere proprietäre Formate, und die meisten Analyseprogramme in der IT-Forensik kön- nen verschiedene Typen davon lesen. Im Folgenden werden wir diese drei Formate näher erläutern und auf ihre Vorteile und Beschränkungen eingehen. Rohformat: Bei diesem Format, der ältesten Version des Datenformats, wird ein Duplikat eines Datenträgers erstellt, indem Bit für Bit von einem Datenträger auf einen anderen kopiert wird. Für praktische Zwecke der digitalen Beweissicherung wurde dieser Prozess von den Softwareanbietern modifiziert. Es ist in der Lage, Bitstromdaten in Dateien zu schreiben und einfache sequenzielle Dateien der Medien zu erstellen. Die Ausgabe erfolgt im Rohformat, das andere Dateiformate in Bezug auf den Durchsatz übertrifft und hohe Datenübertragungsraten zwischen den Medien bietet. Es hat jedoch einige Nachteile, darunter die ineffiziente Nutzung der Speicherkapazität, insbesondere bei mangelhaften Sektoren auf dem Datenmedium. Bei schwachen Datenmedien kann es auch zu Effizienz- problemen kommen, was dazu führt, dass die Anzahl der Leseversuche von Rohdaten auf 24 diesen Medien niedrig ist. Viele kommerzielle Forensik-Tools haben einen höheren Schwellenwert für erneute Leseversuche, um die ordnungsgemäße Erfassung relevanter Daten zu gewährleisten. Advanced Forensic Format (AFF): Dieses Open-Source-Format, das keine Implementie- rungsbeschränkungen aufweist, hat unter den Ermittler:innen in der IT-Forensik immer mehr Anerkennung gefunden. Obwohl es open source ist, wird es zunehmend von Softwa- reanbietern übernommen. Das AFF-Format bietet Funktionen wie die Möglichkeit der Erstellung komprimierter oder unkomprimierter Bilddateien, die Skalierbarkeit der Spei- cherkapazität ohne Beschränkung der Dateigröße, die Speicherung von Metadaten inner- halb von Bilddateien, ein erweiterbares Design, plattformübergreifende Kompatibilität und verschiedene Mechanismen zur internen Konsistenzprüfung und Selbstauthentifizie- rung. Proprietäre Formate: Viele anbieterspezifische Tools für die IT-Forensik können Daten in speziellen Formaten speichern, die ihre Analysesoftware ergänzen. Diese proprietären For- mate bieten Vorteile wie die effiziente Nutzung von Festplattenspeicherplatz durch Datei- komprimierung, integrierte Mechanismen zur Aufteilung von Bilddateien in kleinere Seg- mente für die Archivierung, Mechanismen zur Überprüfung der Datenintegrität und Metadatenfunktionen wie Zeitstempel. Wesentlicher Nachteil dieser proprietärer Formate ist jedoch ihre anbieterspezifische Natur, die es schwierig macht, Bilder zwischen den IT- forensischen Analysetools verschiedener Anbieter auszutauschen. Sie können zudem auch Beschränkungen der Dateigröße aufweisen, wobei segmentierte Dateien normaler- weise eine maximale Segmentgröße von 2 GB haben. Zusammenfassend lässt sich sagen, dass der Prozess der digitalen Datenerfassung bei digitalen forensischen Untersuchungen von zentraler Bedeutung ist, und dass die Wahl der Erfassungsmethode und des Dateiformats die Integrität, Effizienz und Kompatibilität der gesammelten Beweise beeinflussen kann. Die gewählte Methode und das Format soll- ten mit den Ermittlungszielen und den rechtlichen Anforderungen des Falles übereinstim- men. Prozess der Sicherung digitaler Beweismittel Die Sicherung digitaler Beweismittel ist eine komplexe Aufgabe, die einen systematischen Ansatz erfordert, um Genauigkeit und Vertrauenswürdigkeit zu gewährleisten. Digitale Beweismittel lassen sich auf einer Vielzahl von Geräten und Speichermedien, wie Compu- tern, Mobiltelefonen, Cloud-Diensten und IoT-Geräten finden. Zur effektiven Sicherung dieser Beweismittel sollten die folgenden Schritte befolgt werden: 25 1. Identifikation: Der erste Schritt bei der Sicherung digitaler Beweismittel besteht darin, zu ermitteln, was für den Fall relevant ist. Dazu gehört es, den Umfang der Untersu- chung zu verstehen und festzustellen, welche Geräte oder Quellen sachdienliche Informationen enthalten könnten, unabhängig davon, ob es sich um Computer, Mobilgeräte, Server oder Netzwerkprotokolle handelt. 2. Erfassung: Die Datenerfassung mit speziellen Tools und Techniken gewährleistet, dass die Originaldaten intakt bleiben. So können Forensikexpert:innen beispielsweise Hardware oder Software mit Schreibsperre verwenden, um sicherzustellen, dass die Daten während der Erfassung unverändert bleiben. 3. Beweissicherung: Nach der Erfassung digitaler Beweismittel ist es unerlässlich, deren sichere und unveränderte Erhaltung zu gewährleisten. Dieser Sicherungsprozess umfasst den Schutz von Beweismitteln vor unbefugtem Zugriff, Manipulation oder versehentlichem Verlust. Er erfordert die Erstellung sicherer Sicherungskopien und das akribische Führen umfassender Aufzeichnungen über die gesammelten Beweis- mittel. Jeder dieser Schritte wird in den folgenden Lernzyklen erläutert. 2.3 Identifikation Im Bereich der digitalen Forensik ist die Identifikation digitaler Beweismittel ein ent- scheidender Schritt im Prozess der Untersuchung und Erfassung von Informationen aus elektronischen Quellen. Es geht darum, das Vorhandensein und die Bedeutung digitaler Daten zu erkennen, die in verschiedenen rechtlichen oder ermittlungstechnischen Szena- rien Beweiskraft haben können. Methoden zur Identifikation und Extraktion von digitalen Beweismitteln Die Methoden zur Identifikation und Extraktion digitaler Beweismittel sind vielfältig und hängen von der Eigenschaft der Daten und der jeweiligen Untersuchung ab. Bei diesen Methoden werden häufig spezielle Tools und Techniken eingesetzt. Es gibt vier Hauptme- thoden für die Datenerfassung: 1. Disk-to-Image-Datei 2. Disk-to-Disk-Kopie 3. Logische Disk-to-Disk-Kopie 4. Kopie eines Ordners oder einer Datei mit geringer Dichte Unter diesen Methoden wird die Disk-to-Image-Methode weithin als der gängigste und vielseitigste Untersuchungsansatz angesehen. Mit dieser Methode können Ermittler:innen mehrere Kopien der Datenmedien einer verdächtigen Person mithilfe von Bit-für-Bit-Repli- kationsmechanismen zu erstellen. Darüber hinaus können verschiedene forensische Tools verwendet werden, um die gängigsten Arten von Disk-to-Image-Dateien zu lesen und diese Dateien so zu behandeln, als wenn es sich um die Originaldatenträger handeln würde. 26 EXKURS Super Digital Linear Tape (SDLT) ist eine Magnetbandspeichertechnologie mit hoher Kapazität, die für die Datensicherung und Archivierung verwendet wird. Allerdings können Ermittler:innen bei der Erstellung von Disk-to-Image-Dateien auf Pro- bleme stoßen, insbesondere auf Probleme mit der Hardware- oder Softwarekompatibili- tät. Diese Herausforderungen werden noch komplexer, wenn es um ältere Datenträger geht. In solchen Fällen können die Ermittler:innen eine Disk-to-Disk-Kopie anstelle einer Disk-to-Image-Kopie erstellen. Für das Kopieren von Daten von älteren auf neuere Daten- träger stehen Tools wie EnCase und SafeBack zur Verfügung. Diese Tools können ihre Funktionalität so anpassen, dass sie mit den Daten auf dem verdächtigen Originallaufwerk übereinstimmen, indem sie die Hardwaremerkmale der Festplatte, einschließlich der Zylinder-, Kopf- und Spurkonfiguratio ändern. Bei extrahierten Daten, die auf großen Laufwerken gespeichert sind, kann die Datenerfas- sung zeitaufwendig sein und mehrere Stunden in Anspruch nehmen. Um dieses Problem zu lösen, empfehlen einige Anbieter die Erfassung von Daten mit geringer Dichte, bei der bestimmte Dateitypen selektiv erfasst werden. Dieser Ansatz verbessert die Gesamtleis- tung, insbesondere wenn nur bestimmte Abschnitte des Laufwerks der verdächtigen Per- son untersucht werden müssen. Komprimierungsverfahren können auch eingesetzt werden, um die Dateigröße zu verrin- gern, damit sie dem Speicherplatz des Laufwerks entspricht. Standardmäßige Archivie- rungstools wie WinRAR, PKZip und WinZip verwenden verlustfreie Komprimierung, um die Dateigröße zu verringern, ohne die Bildqualität zu beeinträchtigen. Um die Datenkonsis- tenz zu gewährleisten, kann vor und nach der Komprimierung ein Hashing-Verfahren wie SHA-2 angewendet werden. Beide Kopien sollten denselben Hashing-Wert aufweisen, wenn der Komprimierungsprozess ordnungsgemäß ausgeführt wird. Anderenfalls ist die ein Hinweis darauf, dass die komprimierte Datei beschädigt ist. Eine alternative Methode besteht darin, Sicherungskopien auf Bändern zu erstellen, z. B. auf Super Digital Linear Tape (SDLT) oder Digital AudioTape/Digital Data Storage (DAT/DDS), insbesondere bei Digital AudioTape/ der Arbeit mit großen Laufwerken. Digital Data Storage (DAT/DDS) Digital Audio Tape/Digital Als Standardverfahren, insbesondere für Ermittler:innen, die aus Zeit- und Ressourcen- Data Storage DAT/DDS ist gründen keine Duplikate ihrer Beweismittel erstellen können, ist es ratsam, mindestens eine Magnetbandspei- chertechnologie, die für zwei identische Images der gesammelten Beweismittel zu erstellen. Wenn mehrere Soft- die Speicherung und ware-Tools zur Verfügung stehen, kann es außerdem sinnvoll sein, die erste Kopie mit Sicherung digitaler Daten einem Tool und die zweite mit einem anderen Tool zu erstellen. verwendet wird. Rolle von Datei-Metadaten und Zeitstempeln Um die für digitale Ermittlungszwecke am besten geeignete Erfassungsmethode zu bestimmen, sollten die Prüfer:innen wichtige Faktoren berücksichtigen, darunter den Umfang des Datenvolumens, das Verfahren zur Aufbewahrung der Daten als Beweismittel oder ihre Rückgabe an die Eigentümer:innen, den für die Erfassung erforderlichen Zeitauf- 27 wand und den Standort der digitalen Beweismittel. Datei-Metadaten und Zeitstempel spielen bei der Identifizierung digitaler Beweismittel eine entscheidende Rolle. Metadaten enthalten Informationen über eine Datei, z. B. das Erstellungsdatum, das Änderungsda- tum und den Autor. Zeitstempel geben Aufschluss darüber, wann auf Dateien zugegriffen wurde oder diese geändert wurden. Bei der Untersuchung digitaler Beweismittel können Ermittler:innen diese Metadaten und Zeitstempel nutzen, um die Abfolge von Ereignissen oder Aktionen im Zusammenhang mit den Beweismitteln zu rekonstruieren. So kann beispielsweise das Erstellungsdatum eines Dokuments angeben, wann es verfasst wurde, und das Änderungsdatum kann Aufschluss darüber geben, wann es zuletzt bearbeitet wurde. Diese zeitlichen Informationen können entscheidend sein, wenn es darum geht, den zeitlichen Ablauf von Ereignissen oder Benutzeraktionen zu ermitteln, was bei strafrechtlichen Ermittlungen, geistiges Eigentum betreffenden Streitfällen oder Cybersicherheitsvorfällen von Bedeutung sein kann. 2.4 Bewertung Die Bewertung digitaler Beweismittel ist ein vielschichtiger Prozess, der die Bewertung der Glaubwürdigkeit, die Einhaltung von Rechtsprinzipien für die Zulässigkeit und die Gewähr- leistung der Genauigkeit und Integrität von Daten umfasst. Durch die sorgfältige Einhal- tung etablierter Verfahren und den Einsatz kryptografischer Techniken können digitale Beweismittel mit hoher Sicherheit bewertet werden und so einen wirksamen Beitrag zu Gerichtsverfahren und Ermittlungen leisten. Diese Praktiken unterstreichen, wie wichtig es ist, dafür zu sorgen, dass digitale Beweismittel eine zuverlässige und unschätzbare Res- source bei der Rechtsdurchsetzung bleiben. Im juristischen Kontext unterliegt die Zulässigkeit digitaler Beweise verschiedenen Regeln und Standards, wie z. B. den Federal Rules of Evidence in den Vereinigten Staaten, den europäischen eIDAS-Verordnungen oder dem Signaturgesetz (SigG) und der Signaturver- ordnung (SigV) in Deutschland. Dies sind allerdings nur einige Beispiele für die Vorschrif- ten und Regelungen im Zusammenhang mit digitalen Beweismitteln in Europa. In jedem Land innerhalb der Europäischen Union können eigene Gesetze und Normen gelten. Den- noch gibt es auch auf EU-Ebene Bestrebungen, die Vorschriften und Praktiken im Zusam- menhang mit elektronischen Beweismitteln zu harmonisieren, sodass es für Jurist:innen unerlässlich ist, sich über die neuesten Entwicklungen in diesem Bereich auf dem Laufen- den zu halten. Diese Standards bilden den Rahmen für die Entscheidung, ob ein digitales Beweismittel zur Vorlage geeignet ist. So schreibt beispielsweise Regel 901 der Federal Rules of Evi- dence vor, dass der Antragsteller ausreichende Beweise dafür vorlegen muss, dass der Gegenstand tatsächlich das ist, was er vorgeblich ist. Diese Vorschrift unterstreicht die Bedeutung des Nachweises der Echtheit digitaler Beweismittel. Juristen setzen häufig ver- schiedene Techniken ein, darunter digitale Signaturen, kryptografisches Hashing und sichere Speichermethoden, um zu gewährleisten, dass die Beweismittel von der Erfassung bis zur Präsentation unverändert bleiben. 28 Darüber hinaus stellt die Bewertung der Genauigkeit und Integrität von Daten in digitalen Beweismitteln einen entscheidenden Schritt im Bewertungsprozess dar. Ungenaue oder verfälschte Daten können die Glaubwürdigkeit und Beweiskraft der Beweismittel stark beeinträchtigen. Eine wichtige Methode zur Gewährleistung der Datenintegrität ist die Ver- wendung von Hash-Algorithmen, die eindeutige Prüfsummen für digitale Dateien erzeu- gen. Jede Änderung an der Datei führt zu einer anderen Prüfsumme, was die Ermitt- ler:innen auf mögliche Manipulationen aufmerksam macht. Die Verwendung von Zeitstempeln und digitalen Zertifikaten hilft auch bei der Bestätigung der zeitlichen Gültig- keit und Vertrauenswürdigkeit digitaler Daten. Zur Veranschaulichung: Nehmen wir eine strafrechtliche Ermittlung, bei der die digitalen Beweismittel aus einer Reihe von Textnachrichten bestehen. Bei der Bewertung dieses Beweismaterials kann der Experte oder die Expertin für digitale Forensik forensische Tools einsetzen, um die mit den Nachrichten verbundenen Metadaten zu untersuchen, ein- schließlich Zeitstempel, Absender- und Empfängerinformationen und den Inhalt der Nachricht. Durch den Vergleich dieser Metadaten mit Beweismaterial wie Zeugenaussagen oder anderen Aufzeichnungen kann der oder die Sachverständige die Genauigkeit und Vertrauenswürdigkeit der Textnachrichten feststellen. Auf diese Weise stellt der Bewer- tungsprozess sicher, dass die digitalen Beweismittel glaubwürdig sind und wesentlich zur allgemeinen Beweiskraft des Falles beitragen. 2.5 Präsentation Die Präsentation digitaler Beweismittel in einem juristischen Kontext ist ein vielschichtiger Prozess, der Techniken für mehr Klarheit, die Erstellung überzeugender visueller Hilfsmit- tel und Berichte sowie die Einhaltung ethischer Überlegungen und bewährter Verfahren umfasst. Das Verständnis und die Beherrschung dieser Elemente sind von entscheidender Bedeutung, um die Wirkung und Zulässigkeit digitaler Beweismittel zu gewährleisten und letztlich zu einer fairen und gerechten Lösung von Fällen beizutragen. Techniken für eine wirksame Präsentation Um digitale Beweismittel erfolgreich zu präsentieren, ist der Einsatz einer Reihe von Tech- niken entscheidend. Ein weitverbreiteter Ansatz ist die Verwendung von anschaulichem Beweismaterial. Bei dieser Technik werden visuelle Hilfsmittel wie Zeitleisten, Tabellen und Diagramme erstellt, um komplexe digitale Informationen zu vereinfachen. Eine Zeit- leiste kann beispielsweise bei der Rekonstruktion der Abfolge von Ereignissen in einer Untersuchung zur Cyberkriminalität helfen und bietet allen Beteiligten eine klare visuelle Darstellung. Diese visuellen Hilfsmittel müssen mit Sorgfalt entworfen werden, um sicher- zustellen, dass sie sowohl eindeutig als auch ansprechend sind. Ein weiterer Ansatz sind dynamische Präsentationen, die Multimedia-Präsentationen, Ani- mationen und Simulationen umfassen. Bei einem Verkehrsunfall mit digitalem Beweisma- terial von Fahrzeugsensoren kann beispielsweise eine animierte Nachstellung des Unfalls allen Beteiligten erleichtern, sich das Geschehen auf anschauliche Weise vorzustellen. 29 Darüber hinaus muss bei der Vorlage digitaler Beweismittel sichergestellt werden, dass diese auch für Personen ohne spezielle technische Kenntnisse verständlich sind. Expert:innen müssen oft komplexe technische Informationen in einfache Sprache übertra- gen. Dies ist von entscheidender Bedeutung, um zu verhindern, dass Schöff:innen und Richter:innen durch die Feinheiten der digitalen Beweismittel überfordert oder verwirrt werden. Erstellung überzeugender visueller Hilfsmittel und Berichte Visuelle Hilfsmittel und Berichte dienen als Brücke zwischen technischen digitalen Beweismitteln und dem Publikum und tragen dazu bei, komplexe Informationen verständ- licher zu machen. Bei der Erstellung dieser Materialien ist es wichtig, mit Sorgfalt vorzuge- hen. Ein forensischer Bericht sollte beispielsweise detaillierte Informationen darüber ent- halten, wie die Beweismittel gesammelt, gesichert und analysiert wurden, sowie über die Qualifikationen der Sachverständigen. Abbildungen, einschließlich Screenshots oder Diagramme, sollten bei Bedarf zur Veranschaulichung der wichtigsten Punkte beigefügt werden. Außerdem ist es in der digitalen Forensik wichtig, standardisierte und anerkannte Berichtsformate zu verwenden, wie sie von Organisationen wie dem NIST (National Insti- tute of Standards and Technology) (Jansen & Grance, 2011) oder der ISO (Internationale Organisation für Normung) empfohlen werden. Diese Normen tragen dazu bei, die Zuläs- sigkeit und Glaubwürdigkeit digitaler Beweismittel zu gewährleisten. Ethische Erwägungen und bewährte Verfahren Ethische Erwägungen sind bei der Vorlage digitaler Beweismittel von größter Bedeutung. Die Sicherung der Beweismittel in ihrem ursprünglichen Zustand ist ein Grundprinzip, um Manipulationen oder Veränderungen zu verhindern. In einem Fall von digitaler Belästi- gung beispielsweise wird durch die Erhaltung des ursprünglichen Nachrichteninhalts, ein- schließlich beleidigender Äußerungen oder Drohungen, sichergestellt, dass die Integrität des Beweismaterials gewahrt bleibt. Die Chain of Custody, eine chronologische Aufzeichnung des Besitzes und der Handha- bung des Beweismittels, ist für die Vorlage digitaler Beweismittel von entscheidender Bedeutung. Eine Unterbrechung der Chain of Custody könnte die Beweismittel unzulässig machen. Wenn z. B. eine Festplatte mit wichtigen Daten nicht ordnungsgemäß dokumen- tiert und ab dem Zeitpunkt der Beschlagnahme nachverfolgt wurde, könnte ihre Verwen- dung als Beweismittel angefochten werden. Objektivität ist ein grundlegendes Prinzip. Die Person, die das digitale Beweismittel vor- legt, muss unparteiisch bleiben und darf nicht persönlich voreingenommen sein, da jeder Anflug von Subjektivität die Glaubwürdigkeit des Beweismittels untergraben kann. Bei der Untersuchung von Betrugsfällen in Unternehmen ist eine zutreffende Darstellung der Finanzunterlagen von entscheidender Bedeutung, um sicherzustellen, dass die Beweise als unvoreingenommen und glaubwürdig angesehen werden. 30 ZUSAMMENFASSUNG Bei digitalen Beweismitteln kommen verschiedene Aspekte ins Spiel, angefangen bei den unterschiedlichen Arten von Beweismitteln. Dies umfasst alles von E-Mails und Dokumenten bis hin zu Bildern und Meta- daten, die jeweils eine besondere Rolle bei Ermittlungen und im juristi- schen Kontext spielen. Die Sicherstellung der Integrität digitaler Beweis- mittel beginnt mit ihrer Beschaffung und der Aufrechterhaltung einer sorgfältigen Chain of Custody, die gewährleistet, dass sie unverfälscht und zuverlässig bleiben. Die Identifikation und Extraktion einschlägiger digitaler Daten ist von entscheidender Bedeutung, da es darum geht, die Relevanz und Authentizität der Beweise zu überprüfen. Anschließend werden digitale Beweismittel bei der Bewertung auf ihre Glaubwürdig- keit, die Einhaltung von Rechtsprinzipien und ihre Vertrauenswürdigkeit geprüft, worauf sich ihre Verlässlichkeit vor Gericht gründet. Schließlich erfordert die Präsentation digitaler Beweismittel die Verwendung über- zeugender visueller Hilfsmittel, Schilderungstechniken, die Einhaltung ethischer Grundsätze und die verständliche Vermittlung komplizierter technischer Details, die allesamt von entscheidender Bedeutung sind, um dem juristischen Publikum die Bedeutung der Beweismittel wirksam zu vermitteln. 31 LEKTION 3 ZUSAMMENSTELLUNG DER BEWEISE AUS DEN SYSTEMEN LERNZIELE Nach der Bearbeitung dieser Lektion wirst Du in der Lage sein,... – die neuesten Entwicklungen und Tools in der Host- und Softwareforensik zu beschrei- ben. – die rechtlichen und ethischen Erwägungen beim Umgang mit digitalen Beweismitteln zu verstehen. – die Chain of Custody (Überwachungskette) aufrechtzuerhalten und die Datenintegrität durch kryptografische Methoden zu gewährleisten. – den Prozess der Suche und Identifikation von digitalen Beweismitteln an Tatorten zu listen. 3. ZUSAMMENSTELLUNG DER BEWEISE AUS DEN SYSTEMEN Einführung Im Kontext der digitalen Forensik bezieht sich der Begriff „Host-Beweis“ auf digitale Daten oder Informationen, die von einem Datenverarbeitungsgerät wie einem Computer, Lap- top, Server oder ähnlicher Hardware gesammelt und analysiert werden. Diese Beweise können in verschiedenen Ermittlungs- und Gerichtsverfahren von entscheidender Bedeu- tung sein, da sie oft für einen Fall relevante Informationen enthalten, wie z. B. Dokumente, Dateien, E-Mails, Systemprotokolle, Internetverläufe und mehr. Artefakte Host-Evidenz kann eine breite Palette von digitalen Artefakte spielen eine wichtige Rolle Bezieht sich auf die ver- bei der Aufdeckung der Wahrheit, der Aufklärung von Verbrechen oder der Feststellung bleibenden digitalen Spu- ren oder Überbleibsel von der Gültigkeit von Forderungen. Forensische Experten sammeln und analysieren diese Benutzeraktivitäten, Beweise, um Ereignisse zu rekonstruieren, mögliche Verdächtige zu identifizieren oder Interaktionen und Aktio- Rechtsfälle zu unterstützen. Host-Beweise können sich auf verschiedenen Speicherme- nen auf einem Computer- gerät oder innerhalb einer dien innerhalb des Datenverarbeitungsgeräts befinden, z. B. auf Festplatten, Solid-State- digitalen Umgebung. Drives und externen Speichergeräten. 3.1 Software-Tools und Hardware- Unterstützung In dem sich ständig weiterentwickelnden Bereich der Host- und Softwareforensik ist die präzise und vertrauenswürdige Beweismittelerfassung nach wie vor von größter Bedeu- tung. Die hostbasierte Forensik umfasst eine vielschichtige Methodik, bei der die Ermitt- ler:innen auf spezielle Softwareanwendungen und Hardwarekomponenten angewiesen sind. Software-Tools für die Sicherung von Host-Beweisen Software-Tools stellen die Grundlage der hostbasierten Beweissicherung in der digitalen Forensik dar. Diese Tools helfen den Ermittler:innen, digitale Beweismittel aus Computer- systemen und Speichergeräten zu extrahieren, zu analysieren und zu sichern. Im Folgen- den werden einige grundlegende Techniken und Tools vorgestellt, die bei der digitalen Datenerfassung häufig zum Einsatz kommen: 1. Disk-Imaging Technik: Beim Disk-Imaging wird eine Bit-für-Bit-Kopie eines Datenträgers erstellt, wobei nicht nur die Dateien, sondern auch die Struktur und die Metadaten erfasst werden. 34 Tools: EnCase (Bunting & Wei, 2006), FTK Imager und DC3DD (Shah, Kyaw, Truong, Ullah, & Levula, 2022) sind namhafte Tools für das Disk-Imaging. Diese Tools stellen sicher, dass digitale Beweismittel unverfälscht erfasst werden. 2. Erfassung von Netzwerkpaketen Technik: Bei der Erfassung von Netzwerkpaketen werden Daten erfasst, die über ein Netzwerk übertragen werden, einschließlich E-Mails, Internetverkehr und anderer Kommunikation. Tools: Wireshark (Beale, Orebaugh, & Ramirez, 2006), tcpdump und NetworkMiner sind weitverbreitete Tools zur Erfassung von Netzwerkpaketen. Sie bieten Einblicke in netzwerkbasierte Aktivitäten. 3. Mobilgeräte-Forensik Technik: Die Mobilgeräte-Forensik umfasst die Extraktion von Daten aus Smartphones und anderen mobilen Geräten, einschließlich Textnachrichten, Anrufprotokollen und App-Daten. Tools: Cellebrite, Oxygen Forensic Detective und XRY sind bekannte Tools, die in der Mobilgeräte-Forensik eingesetzt werden. Sie gewährleisten die sichere Erfassung von Daten von Mobilgeräten. 4. Live-Forensik Technik: Bei der Live-Forensik wird ein laufendes System untersucht, um flüchtige Daten wie laufende Prozesse, geöffnete Dateien und Systemprotokolle zu erfassen. Tools: Tools wie Volatility, Redline und Memoryze ermöglichen Forensikexpert:innen die Durchführung von Live-Forensik und die Datenerfassung von einem System in Echtzeit, ohne es herunterzufahren. 5. Speicherforensik Technik: Die Speicherforensik konzentriert sich auf die Extraktion von Daten aus dem physischen Speicher (RAM) eines Systems. Dies ist wichtig für die Erfassung flüchtiger Daten. Tools: Volatility, Rekall und Redline sind spezielle Tools für die Speicherforensik, die Zugriff auf laufende Prozesse und Systeminformationen ermöglichen. 6. Cloud-Forensik Technik: Bei der Cloud-Forensik geht es um die Sicherung digitaler Beweismittel, die in Cloud-Diensten gespeichert sind, z. B. E-Mails, Dateien und Dokumente. Tools: Oxygen Forensic Cloud Extractor, Elcomsoft Cloud Explorer und von Anbietern von Cloud-Diensten bereitgestellte Tools erleichtern die Datenerfassung in Cloud- Umgebungen. 7. E-Mail-Forensik Technik: Die E-Mail-Forensik beinhaltet das Erfassen und Analysieren von E-Mail-Kom- munikation, einschließlich E-Mail-Kopfzeilen, Anhängen und Metadaten. Tools: Forensik-Tools wie EnCase und FTK werden häufig für die E-Mail-Forensik ein- gesetzt und helfen bei der Untersuchung von E-Mail-Inhalten. 8. File Carving Technik: Das File Carving dient der Wiederherstellung von Dateien aus nicht zugewie- senem oder gelöschtem Speicherplatz auf Speichermedien. Tools: Scalpel, PhotoRec und foremost sind beliebte File-Carving-Tools, mit denen Forensikexperte:innen verlorene oder gelöschte Dateien wiederherstellen können. 9. Datenbank-Forensik 35 Technik: Die Datenbankforensik sichert Beweise aus Datenbanken, einschließlich Datentabellen, Protokollen und Dateien des Verwaltungssystems. Tools: Autopsy und datenbankspezifische Tools, wie die für MySQL und SQL Server, erleichtern die Datenextraktion aus Datenbanken. 10. Cloud-to-Cloud-Forensik Technik: Bei dieser Methode werden Daten für die forensische Analyse und Sicherung von einem Cloud-Dienst zum anderen übertragen. Tools: Für die Cloud-to-Cloud-Forensik können benutzerdefinierte Skripte und Anwendungen von Drittanbietern verwendet werden, die oft von den jeweiligen Cloud-Anbietern abhängen. Hardware-Tools für die Sicherung von Host-Beweisen Auch wenn Software-Tools absolut notwendig sind, ist doch die Hardware-Unterstützung Dreh- und Angelpunkt, wenn es um die Sicherung von Host-Beweisen geht, um die Daten- integrität zu gewährleisten, Kontaminationen zu verhindern und die Chain of Custody auf- rechtzuerhalten. Einige der von forensischen Ermittler:innen genutzte Hardwarekompo- nenten sind: Schreibblocker: Dies sind wichtige Hardwaregeräte, die den Schreibzugriff auf ein Spei- chergerät verhindern, aber den Lesezugriff ermöglichen. Sie gewährleisten, dass die Ori- ginaldaten während des forensischen Imaging-Vorgangs unverändert bleiben. Schreib- blocker gibt es in verschiedenen Formen, darunter Hardware-Schreibblocker und Software-Schreibblockerlösungen. Forensische Imaging-Geräte: Forensische Imaging-Geräte, wie z. B. tragbare Hardware- Schreibblocker und forensische Vervielfältiger, sind für die Erstellung forensischer Kopien von Speichermedien konzipiert. Diese Geräte erstellen Bit-für-Bit-Kopien digita- ler Beweismittel und stellen sicher, dass die Originaldaten für die Untersuchung erhal- ten bleiben. Schreibgeschützte Laufwerksadapter: Diese Adapter verbinden Speichergeräte mit forensischen Workstations. Sie verfügen über eingebaute Schreibschutzmechanismen, die jegliche Änderungen am angeschlossenen Speichergerät verhindern. Schreibge- schützte Laufwerksadapter sind von unschätzbarem Wert für die Untersuchung von Beweismaterial ohne das Risiko unbeabsichtigter Schreibvorgänge. Die Verwendung von Hardware-Tools bei der Sicherung von Host-Beweismitteln ist ent- scheidend für die Wahrung der Integrität und Echtheit digitaler Beweismittel. Ohne diese Hilfsmittel besteht die Gefahr, dass die Daten kontaminiert oder verändert werden, was dazu führen kann, dass die Beweise in einem Gerichtsverfahren unzulässig sind. Das Ver- ständnis für die richtige Verwendung und Auswahl von Hardware-Tools ist für forensische Ermittler:innen von grundlegender Bedeutung, um die höchsten Standards der forensi- schen Praxis aufrechtzuerhalten. Durch die Beherrschung von Software- und Hardware-Tools für die Sicherung von Host- Beweisen können Forensiker:innen sicher durch die digitale Forensik navigieren und gewährleisten, dass die Beweise während des gesamten Ermittlungsprozesses mit Sorgfalt und Präzision behandelt werden. 36 Wahl der richtigen Tools Die Wahl des Tools hängt von der Eigenschaft des Falls, den Arten der beteiligten digitalen Beweismittel und den verfügbaren Ressourcen ab. In allen Fällen ist die Einhaltung rechtli- cher und ethischer Leitlinien von größter Bedeutung, um die Zulässigkeit und Integrität der erfassten Beweismittel zu gewährleisten. Expert:innen für digitale Forensik spielen eine entscheidende Rolle, wenn es darum geht, sicherzustellen, dass die Beweismittel ord- nungsgemäß verwaltet, erhalten und analysiert werden, und tragen so zur erfolgreichen Lösung von Fällen bei. Die Auswahl der geeigneten Software- und Hardware-Tools für eine digitale forensische Untersuchung ist eine wichtige Entscheidung, die sich erheblich auf die Qualität und Zuverlässigkeit der Untersuchung auswirkt. Bei der Wahl des richtigen Tools für einen bestimmten Auftrag gilt es mehrere Faktoren zu berücksichtigen. Die wichtigsten Überle- gungen werden im Folgenden erörtert: Art des Beweismittels: Die Art des Beweismittels, z. B. Dokumente, Bilder, E-Mail-Kom- munikation oder Systemprotokolle, beeinflusst die Auswahl der Tools. So können bei- spielsweise spezielle Tools erforderlich sein, um gelöschte Dateien wiederherzustellen, E-Mail-Metadaten zu analysieren oder bestimmte Dateiformate zu untersuchen. Rechtliche Anforderungen: Die für die Untersuchung geltenden Gesetze und Vorschrif- ten können die eingesetzten Instrumente und Methoden einschränken. Es ist von ent- scheidender Bedeutung, dass das Verfahren diesen rechtlichen Anforderungen ent- spricht und die Integrität der Beweismittel gewahrt bleibt. Budgetzwänge: Einige Tools sind kostspielig, andere wiederum sind open source und budgetfreundlich. Das verfügbare Budget kann die Palette der Tools bestimmen, die ein/e Ermittler:in einsetzen kann. Das Gleichgewicht zwischen Kosteneffizienz und Tool- Qualität ist entscheidend. Forensische Fachkenntnisse: Das Niveau der Fachkenntnisse auf dem Gebiet der digita- len Forensik ist ein entscheidender Faktor. Die Beherrschung eines Tools ist eine wesentliche Voraussetzung für dessen effektive und effiziente Nutzung. Ein Forensikex- perte bzw. eine Forensikexpertin kann ein Tool wählen, das seinem Kenntnisstand ent- spricht. Besonderheiten des Falls: Jeder Fall ist einzigartig, und die Details der Untersuchung, wie die Anzahl der Geräte, die Betriebssysteme und das Vorhandensein von Verschlüs- selung, beeinflussen die Auswahl des Tools. Eine größere Datenpanne in einem Unter- nehmen kann andere Tools erfordern als eine Strafsache, bei der es nur um ein einzel- nes Gerät geht. 37 3.2 Kryptografische Methoden zur Sicherstellung der Integrität und der Chain of Custody Bei der Host- und Softwareforensik sind die Gewährleistung der Integrität und die Auf- rechterhaltung der Chain of Custody digitaler Beweismittel von größter Bedeutung. Kryp- tografische Methoden bieten eine solide Lösung für diese kritischen Aspekte der digitalen Forensik. Kryptografische Techniken für Datenintegrität Kryptografische Techniken sind für die Wahrung der Datenintegrität in der Host- und Soft- wareforensik unerlässlich. Diese Techniken dienen als Schutz vor unbefugten Änderungen oder Manipulationen digitaler Beweismittel und gewährleisten, dass die Daten von der Erfassung bis zur Vorlage vor Gericht unverändert bleiben. Kryptografische Hash-Funktionen Kryptografische Hash-Funktionen H() sind das Kernstück des Schutzes der Datenintegri- tät. Sie generieren einen eindeutigen Wert fester Länge für jede Nachricht h = H(m), wie in der nachstehenden Abbildung dargestellt. m ist die Nachricht und h ist der gehashte Aus- gabewert. Der Zweck des Hashings besteht darin, einen eindeutigen Wert zu erzeugen, um die Integrität einer Nachricht zu überprüfen, da jede Nachricht idealerweise einen Hash hat. Abbildung 1: Hash-Funktion Quelle: Ahmed Taha (2023) Die Hash-Funktion muss die folgenden Bedingungen erfüllen: Urbildresistenz (unidirektionale Eigenschaft): Bei einem gegebenen Hash-Wert sollte es schwierig sein, eine Nachricht wiederherzustellen Schwache Kollisionsresistenz: angegeben ℎ = H m ist es schwierig, m′ zu finden, sodass H m′ = ℎ Starke Kollisionsresistenz: Bei zwei gegebenen Nachrichten sollte es schwierig sein, einen Hash-Wert für beide Nachrichten zu erzeugen. Es ist schwer, ein Paar m1, m2 zu finden, sodass H m1 = H m2. 38 Die gängigsten Hashing-Algorithmen sind Message Digest (wie MD5) und Secure Hashing Algorithm (SHA-1, SHA-2). MD5 ist jedoch unsicher und wird nur selten verwendet; ähnlich verhält es sich mit SHA-1. SHA-2 ist die am häufigsten verwendete sichere Hash-Funktion, die 256 Bit (SHA-256) oder 512 Bit (SHA-512) ausgibt. Rolle kryptografischer Hash-Funktionen Überprüfung der Datenintegrität: Im Rahmen der digitalen Forensik wird kryptografisches Hashing eingesetzt, um die Integrität der gesicherten Beweise zu überprüfen. Bei der Erfassung digitaler Beweismittel wird ein Hash-Wert der Originaldaten erstellt. Dieser Hash wird während des gesamten forensischen Prozesses regelmäßig neu berechnet, um sicherzustellen, dass die Daten unverändert bleiben. Die Daten gelten als unverändert, wenn der neu berechnete Hash-Wert mit dem ursprünglich erzeugten Hash-Wert überein- stimmt. Jede Diskrepanz bei den Hash-Werten deutet auf mögliche Manipulationen oder Verfälschungen hin. Die Hash-Funktionen müssen sicherstellen: Erkennung von Manipulationen: Wenn an irgendeinem Punkt der Chain of Custody eine Diskrepanz zwischen den Hash-Werten auftritt, deutet dies auf mögliche Manipulationen oder unbefugte Änderungen hin, was ein Warnhinweis für forensische Ermittler:innen sein kann, um weitere Untersuchungen anzustellen. Nichtabstreitbarkeit: Kryptografische Hash-Werte stellen die Nichtabstreitbarkeit sicher. Sie liefern konkrete Beweise dafür, dass die Daten nicht verändert wurden, und bilden damit eine solide Grundlage für Gerichtsverfahren. Erhaltung der Echtheit: Durch die Verwendung von kryptografischen Hashes wird die Echt- heit digitaler Beweismittel aufrechterhalten und sichergestellt, dass die Beweismittel auf ihrem Weg durch die verschiedenen Phasen der Untersuchung nicht beeinträchtigt wer- den. Rechtliche Zulässigkeit: Die systematische Verwendung kryptografischer Hash-Funktionen zur Aufrechterhaltung der Chain of Custody stärkt die rechtliche Zulässigkeit digitaler Beweismittel. Sie gewährleistet, dass die Beweismittel mit größter Sorgfalt und Sicherheit behandelt wurden. Chain of Custody Das kryptografische Hashing ist ein Schlüssel zur Aufrechterhaltung der Chain of Custody digitaler Beweismittel. Bei der Übermittlung von Beweismitteln zwischen Ermittler:innen oder bei der Speicherung in digitalen Archiven wird durch die konsequente Verwendung von kryptografischen Hashes sichergestellt, dass die Beweismittel intakt bleiben und nicht manipuliert werden. Jeder Verwahrer oder jede Verwahrerin des Beweismaterials kann den Hash-Wert der empfangenen Daten berechnen und so sicherstellen, dass die Integri- tät der Daten auf ihrem Weg erhalten bleibt. Der Weg umfasst: 39 1. Anfängliche Hash-Generierung: Bei der erstmaligen Sicherung digitaler Beweismittel erstellen forensische Ermittler:innen einen kryptografischen Hash der Originaldaten. Dieser anfängliche Hash-Wert dient als eindeutiger Fingerabdruck für das Beweismit- tel. 2. Hash-Kennzeichnung: Der Hash-Wert ist mit dem jeweiligen Beweismittel verknüpft und wird häufig zusammen mit den Beweismitteln gespeichert. Diese Hash-Kenn- zeichnung verknüpft den Beweis mit dem zugehörigen Hash-Wert und verknüpft die beiden praktisch miteinander. 3. Übergabe von Beweismitteln: Wenn Beweismittel zwischen Verwahrern oder forensi- schen Labors hin- und herbewegt werden, muss der Hash-Wert an jedem Übergabe- punkt berechnet und dokumentiert werden. Auf diese Weise entsteht eine fortlau- fende Aufzeichnung der Integrität des Beweismaterials, die als „Kette“ bezeichnet wird. 4. Konsistenzprüfungen: Der Hash-Wert des Beweises wird regelmäßig neu berechnet, um seine Integrität zu überprüfen. Wenn der neu berechnete Hash-Wert an einer beliebigen Stelle mit der ursprünglichen Hash-Kennzeichnung übereinstimmt, bedeu- tet dies, dass der Beweis unverändert geblieben ist. 5. Dokumentation: Zu jedem Schritt der Chain of Custody werden detaillierte Aufzeich- nungen geführt, einschließlich der Personen, die die Beweismittel zum Zeitpunkt des Zugriffs bearbeitet haben, und der entsprechenden Hash-Werte. Diese Aufzeichnun- gen dienen als umfassender Überwachungspfad. Digitale Signaturen Durch die Verschlüsselung einer Nachricht wird die Vertraulichkeit der Daten gewahrt, indem verhindert wird, dass Angreifer:innen Kenntnis von den über das öffentliche Netz- werk gesendeten Daten erhalten, die Identität des Absenders wird hingegen nicht über- prüft. Ein geheimer Schlüssel in einem symmetrischen Verschlüsselungssystem kann die Identität des Senders/Empfängers nicht verifizieren. Außerdem kann in einem asymmetri- schen Verschlüsselungssystem jede Parität im Netzwerk über alle öffentlichen Schlüssel der anderen verfügen, sodass der Besitz des öffentlichen Verschlüsselungsschlüssels die Identität des Absenders nicht bestätigt. Dieses Problem wird durch Signaturalgorithmen gelöst, die eine eindeutige Nachrichtensignatur erzeugen. Beschreiben wir zunächst die normale physische Unterschrift, bevor wir die digitale Signatur definieren. Physische Unterschriften dienen zur Bestätigung der Echtheit von Dokumenten. Wenn eine Person ein Dokument unterzeichnet, ist der Unterzeichner für den Inhalt des Doku- ments verantwortlich. Darüber hinaus kann das Eigentum an dem Dokument anhand der eindeutigen Unterschrift des Unterzeichners überprüft werden. Physische Unterschriften sind jedoch nicht sicher genug, um für digitale Dokumente (d. h. für die digitale Signierung von Dokumenten) verwendet zu werden, da die Unterschrift kopiert oder ein unterschrie- benes Dokument nach der Unterzeichnung geändert werden kann. Eine digitale Signatur ist etwas anderes, da sie die Nachricht nutzt, um einen Code (Signa- tur) zu erstellen, der der Nachricht vor dem Versand hinzugefügt wird. Wenn ein Buch- stabe in der Nachricht geändert wird, sollte auch die Signatur geändert werden, um die Datenintegrität zu gewährleisten (siehe unten). 40 ASYMMETRISCHE KRYPTOGRAFIE MIT ÖFFENTLICHEM SCHLÜSSEL Im Gegensatz zur symmetrischen Kryptografie werden bei der symmetrischen Kryptografie unterschiedliche Schlüssel für die Ver- und Entschlüsselung ver- wendet, die als öffentliche und private Schlüssel bezeichnet werden. Signaturalgorithmen mit asymmetrischem Algorithmus Asymmetrische Signaturalgorithmen nutzen die Eigenschaften der Public-Key-Kryptogra- fie, um eine Signatur zu generieren. Die zu signierende Nachricht wird gehasht, und aus diesem Hash-Wert wird eine Signatur erzeugt. Nehmen wir zum Beispiel zwei Parteien, Alice und Bob, wie in der Abbildung unten darge- stellt. Alice signiert eine Nachricht und übermittelt diese Nachricht an Bob, der die Nach- richt lesen und wissen sollte, dass diese Nachricht nur von Alice stammt. Das bedeutet, dass Alice die Nachricht m hasht und ihren privaten Schlüssel verwendet P RA(der nur Alice bekannt ist), um die gehashte Nachricht zu verschlüsseln; dieser verschlüsselte Hash ist die Signatur. Jeder mit dem öffentlichen Schlüssel von Alice P RA(einschließlich Bob) kann überprüfen, ob Alice sie gesendet hat. Abbildung 2: Asymmetrischer Signaturalgorithmus Quelle: Ahmed Taha (2023) Mithilfe digitaler Signaturen lassen sich die Authentizität und der Ursprung digitaler Beweismittel nachweisen. Durch die Erstellung eines digitalen „Siegels“, das nur dem Absender zugeordnet ist, können forensische Ermittler die Glaubwürdigkeit und Unbe- streitbarkeit digitaler Beweise sicherstellen. 41 Praktisches Beispiel für einen Hashing-Algorithmus Nehmen wir an, Sie möchten Software herunterladen (z. B. MiKTeX-Software) und möch- ten sicherstellen, dass Sie die richtige Software installieren und sie nicht schädlich ist. Einige Softwareunternehmen veröffentlichen den Hash-Wert der Software zur Überprü- fung ihrer Integrität, wie in der folgenden Abbildung dargestellt. Abbildung 3: MiKTex Hash-Quellwert Quelle: Ahmed Taha (2023) Nach dem Herunterladen der Software können Sie die Integrität der Software überprüfen, indem Sie den folgenden Befehl in das Mac-Terminal eingeben (shasum -a 256 [Dateispei- cherort]), wie in der Abbildung unten dargestellt. Beachten Sie, dass der Befehl für Wind- ows: certutil-hash file [Dateispeicherort] SHA256, für Linux: sha256sum [Dateispeicherort] lautet Abbildung 4: Überprüfung der Integrität von Miktex-Quelldateien mit der Hash- Funktion über das Terminal Quelle: Ahmed Taha (2023) Nach dem Hashing der Software finden Sie den exakten Wert, was bedeutet, dass die Soft- ware authentisch ist und nicht verändert wurde. Aufrechterhaltung der Integrität und Sicherheit digitaler Beweismittel Die Sicherstellung der Integrität und Sicherheit digitaler Beweismittel vom Zeitpunkt ihrer Beschaffung über ihren gesamten Lebenszyklus hinweg ist ein grundlegender Aspekt einer erfolgreichen digitalen Ermittlung. Um diese Integrität aufrechtzuerhalten, sind die fol- genden Vorgehensweisen entscheidend: Verwenden Sie Hardware und Software mit Schreibblocker, um sicherzustellen, dass die erfassten Daten während der Erfassung nicht verändert werden. 42 Verschlüsseln und schützen Sie die erfassten Daten, um unbefugten Zugriff und Manipu- lationen zu verhindern. Erhalten Sie eine eindeutige und ununterbrochene Chain of Custody aufrecht, indem Sie dokumentieren, wer die Beweismittel wann handhabt. Bewahren Sie digitale Beweismittel in einer sicheren und kontrollierten Umgebung auf, um Datenverlusten oder Manipulationen vorzubeugen. 3.3 Schritte bei der Durchsuchung eines Tatorts Ein entscheidender Schritt im digitalen Ermittlungsverfahren ist die Vorbereitung auf die Durchsuchung und Beschlagnahme von Beweismitteln. Bevor Ermittler:innen mit der digi- talen Forensik beginnen, müssen sie in der Regel verschiedene Personen konsultieren oder befragen, darunter das Opfer, Vorgesetzte und Strafverfolgungsbehörden. Zusätzlich zu diesen vorbereitenden Schritten sind die folgenden Aufgaben von entscheidender Bedeutung: Identifizierung der Eigenschaft des Falls: Die Ermittler:innen müssen ihre Ermittlungen damit beginnen, den Kontext des Tatorts zu verstehen. Dabei ist es unerheblich, ob es sich um den privaten oder den öffentlichen Sektor handelt. Identifizierung von Software- und Hardwaretypen: Die nächste Aufgabe besteht darin, die spezifischen Arten von Betriebssystemen und Hardwaregeräten zu ermitteln. So können die Ermittler:innen den Umfang des Speichers der verdächtigen Person abschätzen und bestimmen, wie viele digitale Geräte verarbeitet werden müssen. Beurteilung der Durchführbarkeit der Beschlagnahme verdächtiger Geräte: Die Ent- scheidung, ob das Gerät einer verdächtigen Person vom Tatort entfernt werden soll, hängt in erster Linie von der Art des Falls, dem Ort, an dem sich das Beweismittel befin- det, und den Strafverfolgungsprotokollen ab. Erfassung von ausführlichen Informationen über den Tatort: Mehr Informationen über die Lage des Tatorts sind von unschätzbarem Wert, um zusätzliche Beweise zu sichern. Sicherheits- und Umweltaspekte sind von größter Bedeutung und müssen während die- ses Prozesses genauestens berücksichtigt werden. Die Ermittlung potenzieller Gefahren und die Sicherstellung der erforderlichen Ressourcen sollten bereits erfolgen, bevor ein digitales Verbrechen geschieht. Bestimmung der Ansprechperson: In der Regel versuchen die Ermittler:innen, eine transparente Zuständigkeitskette einzurichten und benennen häufig eine Einzelperson, die für die digitalen Beweismittel verantwortlich ist. In vielen Fällen ist jedoch ein Ermittlungsteam erforderlich, das alle Beweise rasch sichert und sich mit der Geschäfts- leitung abstimmt, um eine gründliche Verarbeitung der digitalen Beweismittel zu gewährleisten. Hinzuziehung von technischen Expert:innen: Bei digitalen Straftaten benötigen die Ermittler:innen möglicherweise zusätzliche Unterstützung durch technische Expert:innen, die bei der Analyse von Tatorten helfen. Das erforderliche Fachwissen hängt von der Eigenschaft des Falls ab. 43 Erstellung einer Liste der wichtigsten Tools: Sobald die Informationen gesammelt sind, können die Ermittler mit der Auflistung der am Tatort benötigten Hilfsmittel beginnen. Dies kann ein Field Kit für die erste Reaktion und ein Field Kit für die umfassende Reak- tion umfassen. Das Field Kit für die erste Reaktion wird aufgrund seiner Einfachheit und Tragbarkeit als erstes verwendet, da es den Ermittler:innen ermöglicht, die erforderli- chen Daten umgehend zu erfassen und ins forensische Labor zu bringen. Zusammenstellung eines Untersuchungsteams: Die letzte Aufgabe besteht darin, ein gut ausgebildetes Expert:innenteam zusammenzustellen, das über die erforderlichen Fähig- keiten verfügt, um die Situation schnell einzuschätzen, einen Ermittlungsplan zu erstel- len, die erforderlichen Ressourcen und Informationen zu beschaffen und Daten am Tat- ort zu erfassen. 3.4 Cloud Computing und mobile Endgeräte Cloud-Dienste sind ein wesentlicher Bestandteil der modernen digitalen Welt geworden. Um die Herausforderungen bei der Sicherung von Beweisen aus Cloud-Diensten zu meis- tern, ist es wichtig, die verschiedenen Arten von Clouds zu verstehen. Arten von Clouds Es gibt verschiedene Arten von Cloud-Infrastrukturen, um den Kund:innen je nach ihren Bedürfnissen andere Geschäftsmodelle anzubieten. Es gibt drei verschiedene Arten von Clouds: Öffentliche Clouds: Die Cloud-Dienste sind für alle zugänglich. Private Clouds Private Clouds Die Cloud wird einer privaten Einrichtung zur Verfügung gestellt, in der Cloud-Architektur, die in nur die Mitglieder der Einrichtung (oder eine Teilgruppe von ihnen) auf die Cloud zugrei- einem Unternehmensre- chenzentrum gepflegt fen können. wird. Hybride Clouds: Eine hybride Cloud kombiniert öffentliche und private Clouds. Öffentliche Clouds Die angebotenen Cloud-Dienste sind für Einzelpersonen und Organisationen weltweit zugänglich, ohne Einschränkungen hinsichtlich Ort und Zeit. Diese Dienste bieten Lösun- gen, die die Kosten für die IT-Infrastruktur wirksam senken und eine praktische Alternative für das Management hoher Arbeitslasten auf lokalen Systemen darstellen. Die Benut- zer:innen können über das Internet nahtlos auf diese Dienste zugreifen und so ihre Arbeit bequem und flexibel gestalten. Sie sind zu einer interessanten Option für kleine Unterneh- men geworden, die ihr Geschäft ohne große Vorabinvestitionen beginnen können, indem sie sich für ihren IT-Bedarf vollständig auf öffentliche Infrastruktur verlassen. Öffentliche Clouds ermöglichen es Unternehmen, Infrastruktur zu mieten oder Anwendungsdienste zu abonnieren, ohne physische Hardware- und Software-Ressourcen zu kaufen oder zu installieren. Öffentliche Clouds ermöglichen es Unternehmen, ihre IT je nach Geschäftsbe- 44 darf zu vergrößern oder zu verkleinern. Öffentliche Clouds ersetzen die IT-Infrastruktur von Unternehmen vollständig und erweitern sie bei Bedarf (Buyya, Vecchiola, & Selvi, 2013). Mehrinstanzenfähigkeit ist ein grundlegendes Merkmal öffentlicher Clouds, damit die Cloud viele Kund:innen gleichzeitig bedienen kann, ohne dass diese sich gegenseitig behindern. Jedem Kunden wird eine virtuelle Computerumgebung angeboten, die von den anderen Kunden isoliert ist (Buyya et al., 2013). Daher ist das effektive Management der Dienstqualität (Quality of Service, QoS) in öffentlichen Clouds von großer Bedeutung. Infolgedessen ist ein beträchtlicher Teil der Software-Infrastruktur für die Überwachung der Cloud-Ressourcen, die genaue Abrechnung auf der Grundlage von Nutzervereinbarun- gen und die Führung einer umfassenden Aufzeichnung der Cloud-Nutzung für einzelne Kunden erforderlich. Diese Funktionen sind für öffentliche Clouds unverzichtbar und ermöglichen es den An

Host- Und Softwareforensik PDF

Document Details

Tags

Related

Summary

Full Transcript

Upgrade to continue