 Ja, hallo, guten Morgen und vielen Dank für das zahlreiche Erscheinen. Das ist alles ja wirklich gut voll. Ich möchte Ihnen gerne eine Einführung in das Thema Antiforensik hier im Vorstellen. Eine halbe Stunde ist nicht viel Zeit. Ich hoffe, dass wir die wesentlichen Punkte durchbekommen und ich würde dann im Anschluss daran auch gerne noch ein Beispiel zeigen. Zwei konkrete Beispiele für Antiforensik-Maßnahmen. Bin ich so gut zu verstehen? Schwer. Also gut oder nicht gut? Super, danke. Super. Ich hoffe, dass wir am Ende auch noch Zeit haben für Fragen. Ich habe auch eine Frage. Sind denn Mitarbeiter von Ermittlungsbehörden hier unter uns? Wer würde auch schon die Hand heben? Ganz kurz über mich. Ich habe an der Uni Köln Wirtschaftsinformatik studiert, beschäftigt mich jetzt seit sieben Jahren mit IT-Sicherheit und IT-Forensik. Bin gleichermaßen auch für Ermittlungsbehörden, aber natürlich auch für private Aufträge für Unternehmen tätig. Und ich freue mich heute hier zu stehen und auch mal das Thema präsentieren zu können. IT-Forensik ist ein Teilgebiet der Forensik und als solche nicht spannender oder schwieriger als andere Bereiche. Aber hin und wieder kommen Situationen auf, wo ein kleines Problem eine enorme Auswirkung hat. Vielleicht kennen Sie das aus der Berichterstattung 40 Tatorte, eine weibliche Verdächtige, eine mögliche Serientäterin. Von 2007 bis 2009 wurde dieser Person hinterher ermittelt. Denn es war überall die gleiche DNA. Sogar an Erservaten, also an Beweismitteln, die aus dem Jahr 1993 stammten. Dumm nur, das war die Mitarbeiterin in dem Unternehmen, was die Wattestäbchen hergestellt hat. Er hat einfach diese Wattestäbchen kontaminiert und damit waren die Ermittlungsergebnisse unbrauchbar. Und man musste für diese Fälle komplett von vorne anfangen. Insbesondere hat man viel Zeit verschwendet. Und IT-Forensik als Teilgebiet von der Forensik ist eigentlich nicht anders als die normale Forensik. Sie kennen sicherlich die Begriffe Computer Forensik, IT-Forensik oder den englischen Beriff Computer Forensics. Das Ziel ist es, einfach Verdächtige oder einfach nur relevante Vorgänge aufzuklären. Und damit ist eigentlich auch die Brücke geschlagen zum Incident Response. Wer hat denn schon mal einen Sicherheitsvorfall untersucht? Dann haben wir ja auch eigentlich ziemlich viele IT-Forensiker hier heute unter uns. Denn es liegt beides sehr nahe. Dementsprechend ist es eine Verwendung der Ergebnisse vor Gericht. Nicht immer Ziel, es ist nicht zwingend notwendig, aber oft wird das dann eben doch angestrebt und dann durchgesetzt. Letztendlich geht es um die Klärung dieser Wehrfragen. Was ist wo und wie passiert, wer hat wann, was, warum, gemacht. Eigentlich unterliegt hier ein Prozess und zunächst Identifizierung, Sicherstellung, Analyse, Präsentation. Also ein durchgeplantes Vorgehen, damit nicht dieses Wattestäbchen-Problem auftritt. Wie war der DNA-Problematik? Es kommen noch weitere Herausforderungen dazu, denen man als IT-Forensiker unterworfen ist. Die Beweise, die man sich erstellt, die dürfen nicht verändert werden oder möglichst wenig. Und gerade am Computer ist es ein Problem. Im Arbeitsspeicher ändert sich ständig was. Auf dem Handy, es kommt eine SMS, wenn man den Computer einmal einschaltet. Es sind sofort Beweise vernichtet und das können belasten, aber natürlich auch entlastende Beweise sein, die hinterher nicht mehr ausgewertet, nicht mehr gefunden werden können. Das gilt für die ganze Beweismittelkette, nicht nur für die Sicherstellung, die Festplatte aus dem Computer ausbauen und analysieren, sondern auch die Schritte danach, wenn man also eine Datei entpackt analysiert, sie weiteren anderen Analyse-Schritten unterzieht, wenn hier Fehler passieren und diese Beweismittelkette unterbrochen ist, dann kann das Ergebnis einer ganzen Auswertung in eine falsche Richtung laufen, dass jemand zu Unrecht beschuldigt oder zu Unrecht entlastet wird. Natürlich müssen alle Aktionen dokumentiert und nachvollziehbar gemacht werden, sodass als IT-Forensiker aber auch als Betroffener auf der Gegenseite jederzeit eine Kontrolle möglich ist. Ist dieser Vorgang sauber abgelaufen, ist alles mit rechten Dingen zugegangen. Die Schwierigkeit, ich kann nicht alles, ich weiß nicht, können Sie alles. Ein IT-Forensiker kann in der Regel auch nicht alles. Die andere Seite aber, die ist oft besonders fit in einem Teilgebiet oder in mehreren anderen Teilgebieten, als IT-Forensiker ist man also oft als Allrounder einem Spezialisten gegenübergestellt und das bedeutet grundsätzlich ein eher schweren Stand. Darüber hinaus, wenn etwas unverdächtig erscheint, dann wird man es vielleicht auch nicht weiter untersuchen. Ist auch klar, wenn der Computer den der Forensiker untersucht nicht Verdächtiges hat und das was verdächtig ist, ist wirklich besonders gut versteckt, dann wird man das vielleicht auch nicht weiter untersuchen. Nicht selten herrschen Zeitdruck und Eile, wenn es schnell schnell gehen muss, wie bei der DNA-Problematik mit den Wattestäbchen. Wenn 20.000 Wattestäbchen im Jahr durch das Fließband laufen müssen, dann kann da eben DNA rein und dann ist es verunreicht. Eigentlich braucht man als IT-Forensiker für die Arbeit besonders viel Zeit und Gründlichkeit. Die hat man aber eben nicht immer und dadurch entstehen dann Probleme. Probleme können so ausschauen wie hier und dann wirklich ernstes Resultat haben. Kennt jemand den Fall aus der Presse? Einige, ne? Also mich hat das auch sehr erstaunt und natürlich auch bestürzt und ich habe überlegt, wie wäre das, wenn mir das selber passieren würde. Wenn so spezielle Bilder, die kein Mensch haben will auf meinem Computer sind und irgendwie untersucht werden und dann würde man mir kündigen. Der Zeitraum, der hier dazwischen lag, der ist ziemlich lang. Also von September 2009 bis März 2011 war der betroffene Manager in New York ohne Job, ohne Einkommen, ohne Arbeitslosengeld, ohne Sicherung. Und herzlich beworben bei Unternehmen und hat gehört, du bist ein guter Mann, ich kenne dich, ich würde dich sofort einstellen. Aber mit diesem Markel, dass du möglicherweise diese Bilder runterglassen, nur möglicherweise kann ich dich nicht einstellen. Ja, und das ist ein Beispiel für IT-Forensik, wo man erst mal in eine bestimmte Richtung ermittelt und am Ende dann zum Glück doch zu der richtigen Entscheidung und zu der richtigen Erkenntnis gelangt ist, dass dieser Mann völlig unschuldig ist, dass diese Bilder ihm untergeschoben wurden. Korrektes Arbeiten ist also unablässig, vielleicht sogar noch viel wichtiger und entscheidender als in anderen Bereichen. Als IT-Forensiker verlässt man sich aber maßgeblich auf seine Software. Man ist angewiesen auf IT-Forensik-Software, die diese riesengroßen Datenbestände auswertet. Mittlerweile habe ich mehrere Terabyte an Datenbestände und das geht ihnen sicherlich nicht anders. Und wenn jetzt ein IT-Forensiker mehrere Computersysteme auswertet, das kann kein Mensch alles mit dem Auge, mit der Hand durchsuchen und auswerten, da müssen Programme mit Automatisierung dran. Und wenn die nicht korrekt funktionieren, hat man ein ernstes Problem. Aber natürlich ist auch ein korrekt und integer arbeitender IT-Forensiker wichtig und alle, die in dieser Kette dahinter hängen, die Chefs, die Staatsanwälte, die Polizei. Die Polizei ist natürlich nicht immer böser Bube, aber auch dort ist nicht immer alles im Grünen. Kollegen, aber auch andere Beteiligte. Es gibt vom BSI einen sehr guten Leitfaden zum Thema IT-Forensik, der hat ein paar hundert Seiten und es gibt natürlich auch gute Bücher. Und in diesen Büchern stehen so Sachen wie man sollte zwei verschiedene Programme benutzen. Wenn ein Programm ein Fehler hat, taucht der im anderen vielleicht nicht auf und man kann ihn erkennen. Das Auswertesystem sollte nicht mit dem Internet verbunden sein. Ist auch klar, wenn man mit Schadcode, mit Mailware arbeitet, die befällt vielleicht den Auswerterechner, dann kann das Ding nicht ins Internet und sich nicht verbreiten. Und ganz wichtig, Schlussfolgerungen auf Fakten basieren lassen. Keine wilden Spekulationen, das ist ganz wichtig, keine unzulässigen Schlüsse ziehen. Aber wie sieht es dann tatsächlich aus? Nicht selten arbeiten die Leute unter Zeitdruck. Sie haben kein Budget, also nicht genug Geld. Sie sind vielleicht zu unerfahren oder sogar abgelenkt. Wenn man also ganz viele andere Dinge zu tun hat, hat man einfach keine Zeit mehr, den Dingen auf den Grund zu gehen. Das DNA-Problem mit dem Wattestäbchen, Husch, Husch zwischen Tio und Angel, und schon tauchen diese Probleme auf. Da kommt Antiforensik ins Spiel. Vielleicht ist das der Grund, warum Sie heute hier sitzen. Etwas über Antiforensik zu erfahren, was kann man gegen die Forensiker unternehmen? Im Prinzip ist das eine Sache, die man vorher machen muss. Als Antiforensiker muss ich mir vorher Gedanken machen, dass irgendwann mein Computer beschlagnahmt wird. Vielleicht von der Polizeibehörde, aber auch von einer Spionage-Einheit oder von einem irgendwie gearteten Gegner. Wenn meine Computersysteme erst mal einkassiert sind, ist es zu spät. Es ist also eine Sache, die vorher geplant und vorbereitet werden muss. Zum Beispiel der Cracker, der seine Einbruchsspuren verwischt. Oder der Downloader, der die Downloadsspuren verwischt, weil man irgendetwas illegales heruntergeladen hat. Registry Cleaner und Disk Viper. Na ja, das ist seit Jahren bekannt. C Cleaner kann jeder herunterladen. Das gibt es bestimmt auch bei der Computer-Bild mittlerweile. Das ist nicht besonders neu. Was aber neu ist und was ich gleich gerne zeigen möchte, das sind direkte Angriffe gegen Werkzeuge der Antiforensik. Wann werden solche Maßnahmen also aktiv? Erst dann, wenn der Spürhund angeschlagen hat. Warum? Na ja, vielleicht sportlicher Ehrgeiz, Verschleierung von Straftaten ohne wünschten Aktionen. Oder aber Verstecken von kritischen Daten. Es kann ja auch sein, dass man sich gegen Zensur schützen möchte. Dass man seinen Laptop in ein Land mitnimmt, wo es einfach untersucht wird, ohne den eigenen Willen. Und dann möchte man Spuren vermeiden, Spuren vermischen und so unauffällig für möglich sein. Oder natürlich im Laufe eines Verfahrens Verursachung von Zusatzkosten. Antiforensik hat nicht notwendigerweise was mit Computern zu tun. Im ganzen Bereich. Was ist denn das eleganteste? Man könnte versuchen, einfach alle Forensiker aus dem Verkehr zu ziehen. Keine Forensiker. Keine Forensik mehr. Das ist schlecht möglich. Man könnte versuchen, das Tatwerkzeug verschwinden zu lassen. Dann ist auch keine Auswertung ermöglich. Oder vielleicht die Fingerabdrücke vom Nachbarn an die Pistole machen. Dann ist man möglicherweise auch aus dem Schneider. Es könnte auch funktionieren, die Auswertung zu verwirren. Indem ich einfach andere Munitionen am Tatort verstreue. Und dann sucht die Polizei nach einer ganz anderen Tatwaffe. Das Gleiche funktioniert so auch mit IT Forensik. Ich habe hier mal versucht, verschiedene Maßnahmen einfach abstrakt zu klassifizieren. Auf das Aservat bezogen, um eine Auswertung zu verhindern. Die Festplatte überschreiben. Die Registry überschreiben. Aber natürlich auch die Klassiker und die echten Showstopper. Steganographie oder die Verschlüsselung der kompletten Festplatte. Das ist auch immermaßen, um die einfach die Auswertung verzögern. Wenn ich gigantische Mengen Pornos auf meinem Rechner ablege, teraweitweise, dann ist es ziemlich schwierig, da noch die relevanten Bilder rauszusuchen. Das macht einfach Arbeit bei der Auswertung. Oder vielleicht auch besonders ungewöhnliche Hardware. Ja, ich bin nicht so der Hardwarecrack. Und wenn mir jemand irgendein ganz absurdes Hardwaresystem hinstellt, dann kostet mich das viel Zeit, mich da irgendwie einzuarbeiten. Auf den Auswärter bezogen. Man könnte das eigene Aservat kontaminieren mit Auswertedaten. Ich könnte auf meinen Computerspuren von einer Forensiksoftware ablegen. Und nachher behaupten, der Auswärter hat ja meinen Aservat manipuliert. Der hat da direkt drauf rumgeschrieben. Das hat er unbrauchbar gemacht. Die Dinger in weißen Kreisen, die lassen sich nicht so richtig trendscharf zuordnen. Zeitstempel manipulieren, verändert natürlich das Aservat, versucht aber den Auswärter zu beeinflussen und zu verwirren. Das kann eine Auswertung völlig unmöglich machen und das kann man verzögern. Das ist natürlich ein Wettrennen. Fake-Container, Kryptokontainer einfach ablegen. Auf dem eigenen Rechner neben dem Ein-True-Crypt-Container noch 30 andere hinlegen. Wie will man da noch den richtigen finden? 42 Zipp, eine Zipp-Bombe, also einfach eine Archiv-Bombe, die entpackt ein paar Peterbeit hat. Dazu gleich ein Beispiel. Ja, das ist alles nichts Neues. Ich zeig dir kein Hexenwerk. Es gibt ja viel spannelere Vorträge. Ist das eben noch neu und funktioniert gut? Buffer Overflow-Techniken sind natürlich auch nicht trennscharf. Sie können eine Auswertung verzögern, wenn das Programm einfach abstürzt oder sie sogar komplett verhindern. Und letztendlich könnte es zum Beispiel auch funktionieren, die Hashes von Dateien zu verändern. Als Altyphorenziker arbeitet man in Test-Stadenbanken. Auch das ist kein Geheimnis. Man muss einfach möglichst effizient Dateien abgleichen. Und wenn ich 10.000 Bilder habe, 10.000 JPEGs und ich verändere ein Bit, dann ist die Prüfso-Mahn das. Und dann kann man die Automobilien oder weitergeben, was auch immer. Nur diese automatisierte forensische Auswertung, die ist dann nicht mehr möglich. Ja, ich nenne das einfach mal Tapitting. Das ist das erste Beispiel, was ich zeigen würde. Das ist total trivial. 1.000 Mal 1 Gigabyte Nullen in eine Archiv-Datei packen in ein TGZ. Die Tage Z-Files werden von Windows-Vierenscanner nicht erkannt. Man kann da auch diese 42 ZIP als Archivbomber runterladen. Und wenn ich das jetzt Kitty-Porn extrem nenne, dann ist das ja wirklich sehr verdächtig. Don't blame the software. Ich will nicht die Forensic Software schlecht machen. Das ist einfach ein systemisches Problem. Die Forensic Software ist dazu gemacht, Dateien gründlich zu untersuchen, Sub-Elemente rekursiv auszuwerden, Prüf-Summen zu berechnen. Man muss ja gründlich nachgucken. Es ist also hier einfach ein Interessenskonflikt, der dazu führt, wenn man das ausnutzt, die Auswertung einfach etwas blockiert oder verlangsamt. So, hier liegt Kitty-Porn extrem. Das ist eine Forensic Software, die ich gestartet habe. Und es gibt eben eine Funktion, hier mal, das ist die falsche, hier mal ins Detail einzusteigen. Zum Beispiel den HESCH zu berechnen. Dateitypen mit Signaturen zu überprüfen, interne Metadaten extrahieren. Und jetzt kommt das besondere, rekursiv auch diese ZIP-Dateien extrahieren. Wir müssen da ja reingucken. So, nur auf markierte Dateien anwenden. Ich will jetzt ein Hashing Algorithmus und starte das Ding mal. 99 Prozent. Wir sind im Prinzip fast fertig, können gleich mit unserer Arbeit weitermachen. Also don't blame the software, ich will das hier nicht schlecht machen. Aber das ist einfach das Problem. Und es fängt ja an und extrahiert hier diese 100-Tera-Beit-Päckchen. Wird langsam eine Festbarte voll schreiben. Und weil erfahrungsgemäß solche Schritte lange dauern, erst dauert meistens ein Wochenende oder eine Woche, beginnt man so eine Auswertung am Freitag, lässt die Maschine laufen und kommt am Montag wieder und stellt fest, hier geht's seit Bombo 100 Gigabyte, jetzt wird's interessant, der Computer rechnet. Ich brech das mal ab. Und genau das ist auch der Schritt. Der Auswärter muss das Problem feststellen, er muss das abbrechen, diese Datei aus der Betrachtung herausnehmen und fällt über die nächste ZIP-Bombe. Das macht die Auswertung nicht unmöglich, aber verzögert die Auswertung einfach. Und unter Zeitdruck, wenn man nur ein paar Stunden Zeit hat, kann das schon schwierig sein. Die nächste ist eine kritische Schwachstelle. Vorgestern war der Vortrag von Artur. Und er hat über Cross-Hide-Scripting vorgestellt, Resident XSS, ich fand den Vortrag sehr interessant und dachte mir, diese Schwachstelle, die ich hier gefunden hab, die könnte man auch Resident XSS nennen. Das heißt, das ist eigentlich total einfach. Das, was in der IT-Security-Welt ein superalter Hut ist, hat hier eben eine dramatische Auswirkung. Es ist möglich, in der Registry eines Windows-Systems beliebige Daten abzulegen, das ist kein Geheimnis. Wir können aber auch hergehen und HTML oder JavaScript-Code dort ablegen. So, und das Forensik-Programm hat erfreulicherweise ein HTML-Report-Engine. Also alles keine Heldentat, aber die Auswirkung ist eben dramatisch. Durch ein kreatives Vorgehen kann ich Spuren verstecken, gefälschte Spuren hinzufügen oder aber den Auswärten PC angreifen. Ein guter Auswerter, der ist nicht mit dem Internet verbunden, also das PC-System. Was aber, wenn der Bericht, der erstellte HTML-Bericht auf eine CD gebrannt wird für die Kollegen, für den Richter. So, ich habe das mal vorbereitet, ich hoffe, das funktioniert. Was hat er hier? XGA. Ja, so eine IT-forensische Auswertung beginnt damit, dass man ein Programm startet, die Forensik-Software, die Spuren vom letzten Fall noch schnell verwischt. Und dann habe ich ein Image, also das Abbild, die Bitgenau-Kopie eines anderen Systems. Ich arbeite also nicht live, aber dieses Abbild, dieses Image, könnte durchaus ein Jahr alt sein oder zwei Jahre alt sein. Es ist also eigentlich ein totes Stück Fleisch. So, Bestandteil der IT-forensischen Auswertung ist es natürlich auch ein Registry-Aussetzung zu erstellen, welches Softwares installiert, was es an Nutzungsspuren in dieser Registry enthalten. Und am Ende erstellt man natürlich ein Reporter, damit man all das bequem sehen kann. Wem fällt was auf? Das sieht völlig normal aus, ne? Bloß hier ist so eine Software, Kipo Explorer Pro. Schauen wir uns den Quelltext an. Kipo Explorer Pro, das ist ganz normaler HTML-Code. Das ist von den anderen Einträgen überhaupt nicht zu unterscheiden. Da könnte jede andere Software drin sein. Was aber hier auftaucht und was auch für uns jetzt als Computerprofi ist eigentlich ein absolutes Trivialbeispiel ist. Ja, also im Kommentar beginnen und hier unten ein Kommentarende. Das ist einfach die Hälfte der Software nicht mehr installiert. So, das ist einfach nur ein Registry-Schlüssel mit einem Wert und da habe ich noch HTML-Code reingeschrieben. So, die Software heißt eben nicht Mozilla Firefox 103, sondern Mozilla Firefox 103 HTML-Commentar auf. Und der Mikrotorrent, der hat auch noch einen etwas anderen Namen hier. Das ist die ganze Kunst. Ein bisschen gemeiner wird es jetzt bei der persönlichen, bei dem Anti-User-Datei des Admin-Benutzers. Die Identity, ich erstelle den neuen Bericht, völlig unkritisch. Völlig harmlos. Seit dem Quelltext Anzeigen, da ist nichts reingefaked. Da sind auch keine HTML-Kommentare mehr drin. Bloß, der fantastischen Arbeit von Backtrack, Beef und all den anderen Sicherheits-Experten sei Dank, ist jetzt hier ein Zombie aufgetaucht. Ja, ich habe jetzt die IP-Adresse des Auswertesystems und kann jetzt alles mit dem Auswertesystem machen, was mir bequem ist. Ja, also auch das ist ein Trivialbeispiel. Ich sende jetzt eine Nachricht. Und das hat diesmal nicht funktioniert. Das ist ja immer so, noch mal testet das dreimal und am Tag davor fünfmal und dann funktioniert es nicht. Hallo, 28 C3. Gut, also auch das letztendlich eine Kleinigkeit. Es gibt natürlich Maßnahmen, das zu beheben und was dagegen zu tun. Und diese Schwachstelle ist ja auch schon seit langer Zeit gefixt. Ich bin frühfreund, das funktioniert jetzt nicht mehr. Das zeigt aber, wie anfällig solche Programme sind für Fehler und wie brutal die Konsequenzen daraus sein können. Ich habe natürlich auch andere Forensik-Software untersucht. Erstmal nur für diese Schwachstelle, diese XSS-Schwachstelle. Und die Mehrheit der Programme ist okay, kein Befund. Für NKS hatte ich einfach keine Lizenz. Die angeforderte Test-Lizenz hatte auf CD gebrannt, ein Aserwart und da konnte ich keine eigenen Daten einbringen und ich wollte den Hersteller auch nicht fragen, ob ich seine Software manipulieren darf. Da muss ich noch mal schauen. Aber auch das ist einfach im Bereich IT-Forensik nicht notwendig, die Programme machen manchmal auch Self-Antiforensik. Das Produkt GABI hat in der Vergangenheit ungefähr 30 Prozent der Firefox-Historie einfach in der Auswertung übersehen. Das ist eine simple SQLite-Datenbank. Wenn das Software so ein Problem unterläuft, das ist einfach ziemlich übel. Und in 30 Prozent Firefox-Historie können belastende, aber selbstverständlich auch entlastende Elemente und Beweise enthalten sein. Das ist nicht so gut, wenn das Software das übersieht. Das Produkt LISA, ja Namen auf Wunsch der Hersteller geändert, hat den Fehler 42 Komponenten DXY, okay klicken für weitermachen. Ja, dann klick ich ja okay, ich will ja weitermachen. Die Konsequenz ist aber, dass ein großer Teil der Dateien nicht mehr angezeigt wird in dem Programm. Unter anderem die Outlook-PST, wo ein großer Bestand an Daten, alle E-Mails mit tatsächlich sogar an den voll entlastenden Elementen. Wenn ich das auf andere Weise nicht gefunden hätte, dann hätte ich gesagt, der ist es, ziemlich schlecht. Das Produkt Mandy, ein Live-Forensik-Tool, stürzte, reproduziere aber ab, weil es nicht eines DNS-Cages. Weitere Auswertungen nicht mehr möglich. Das heißt, Forensik-Software ist gut und es ist gut, dass wir sie haben und es ist gut, dass sie kontinuierlich besser wird. Wir haben auch Schwachstellen, die hier verernste Probleme sorgen. In der halben Stunde habe ich jetzt einfach mal nur einen kleinen Vorgeschmack, einen kleinen Einblick in das Thema geben können. Deshalb kommen wir ja auch schon zum Ende. Und ich frage, wie wird das in der Zukunft aussehen? Ich denke, dass Anwender bzw. Betroffene Verschleierung Antiforensik ist offensichtlich weiter von Interesse. Deshalb sitzen sie hier. In dem Maße werden IT-Forensiker Behörden Anwälte mitziehen müssen. Im Moment ist es aber auch so, dass es nicht so wichtig ist, dass wir das Fultes Glowscher zu betreiben. Es gibt Forschung, die UCD, Dublin und andere Universitäten publizieren ihre Forschungsergebnisse auch im Bereich Forensik. Das ist einfach noch normal, offen darüber zu sprechen. Ich finde das auch gut. Hersteller von IT-Forensik-Software, die sind natürlich im größten Zugzwang und haben ihre größten Päckchen an Hausaufgaben noch zu erledigen, weil diese Software, wie gerade gezeigt, zum Teil noch einige Fehler aufweist. Welche Lessons learned? Das ist ein Vergleich zur IT-Sicherheit noch eher ungefestigt. Einfach noch neuer und weniger erforscht und weniger ausprobiert von beiden Seiten. Wie gerade gezeigt, alte Hüte, wie diese Crosshites gibt in Geschichte, die sehen plötzlich wieder neu aus und auch kleine Probleme können fatale Folgen haben. Stichwort DNA, Stichwort Absturz einer Software. Ich vermute mal, dass in IT-Forensik-Software noch weitere Probleme darauf warten gefunden zu werden. Ich glaube, es gibt noch etwas von Ihnen, von mir oder von wem auch immer. Da gibt es bestimmt noch was zu holen. Und ich denke, alle Beteiligten müssen einfach noch aufmerksamer arbeiten und dürfen nicht diesen Zeitdruck der Eile erliegen, schnell schnell Ergebnisse erzeugen. Jeder Fall ist individuell, hinter jedem Fall steckt ein Schicksal. Manchmal ein schuldiges, manchmal ein unschuldiges. Man muss einfach in diesem Bereich besonders sauber arbeiten. Das war's. Vielen Dank. Wir haben noch fünf Minuten Zeit für Fragen. Wir gehen noch ganz kurz. Is the next speaker already here? Perfect. Okay, if you have questions, please. Ja, können wir auch auf Deutsch machen. Also, wenn ihr Fragen habt, dann Hand hoch. Dann kommt Mikro zu euch. Fangen wir mal dahinten an. Eine kurze Frage beziehungsweise Anregung dazu. Das Wissen um diese Lücken ist ja auch oder finde ich sollte jetzt auch aktiv kommuniziert werden, gerade im Bereich der Gerichte. Oder gibt es da von deiner Seite auch schon Erfahrung, wie die Reaktionen sind? Weil die Erfahrung, die ich gemacht habe, ist, dass gerade den Auswertung solchen Verrensiktools, gerade wenn es auch vor Gericht geht, teilweise sehr blind vertraut wird. Und gerade, wenn man jetzt hier doch so auch eklatante Möglichkeiten hat, diese Forensiksoftware zu unterlaufen, würde es ja von Seiten der Gerichte wieder bedeuten, dass man Schritt zurücktreten muss, und auch erst mit die Glaubwürdigkeit dieser Beweise noch einmal unter einem ganz anderen Licht sehen muss. Ich bin nicht sicher, ob ich das akustisch komplett verstanden habe. Die Frage ist, ob Gerichte hier bewusst sind, dass solche Software Probleme hat. Genau. Ich denke, Gerichte sind sich eher nicht bewusst, dass solche Probleme auftauchen. Daher sollten wir eigentlich stärker in die Kommunikation eintreten und sowas auch nach außen aktiv kommunizieren. Tut mir leid, ich verstehe das akustisch kaum, das liegt sicherlich am Mikro. Okay, deswegen ist mein Hinweis oder meine Idee einfach, dass wir stärker das Ganze noch aktiv auch nach außen hin kommunizieren müssen, und nicht nur innerhalb unserer Kreise, damit die Auswirkungen für Schuldige oder Unschuldige an der Stelle entsprechend auch gewürdigt werden. Okay, meine Erfahrung vor Gericht ist, die das Richter sehr viel Verständnis für die Bedenken und Einwürfe von Angeklagten haben. Ich glaube, wenn man hier zu Unrecht angeklagt ist, und Sie alle, die hier sitzen, sind einfach IT-Profis, Sie würden sich zu wehren wissen und könnten auch die richtigen Argumente anbringen. Wir leben hier nicht in Iran. Also, das ist einfach meine Erfahrung. Frage beantwortet? Okay, dann machen wir kurze Frage aus dem IAC. Ja, es sind eigentlich zwei Fragen, die ein bisschen miteinander verbunden sind. Zum einen gehört es zum Ablauf oder zum Programm einer solchen Forensics-Software, das ein File System Check gemacht wird. Und zweitens damit verbunden, wie würden sich die Software zum Beispiel verhalten, wenn man in einem Verzeichnissen Hardlink auf das Verzeichnis selber oder auf dem Parentverzeichnis hat? Also so was wie eine Rekursion. Das ist eine schöne Idee. Also grundsätzlich sind die Programme professionell entwickelt und sind nicht auf dem File System Check angewiesen. Sie verstehen selbst die Dateisysteme und sind fehler-tolerant. Auch da sind in der Vergangenheit Vereinzelte Probleme aufgetaucht. Aber grundsätzlich sind die Dinger robust. Die Idee finde ich gut mit dem Hardlink. Ich teste das gerne mal. Oder stelle das natürlich dann auch mit der Bitte, das von dem Fragensteller mal zu testen hin. Wieso ist es überhaupt in Ordnung, dass Beweismittel mit Close-Software durchsucht werden? Widerspricht es nicht im Grundsatz von einer geschlossenen Beweiskette? Ich habe das akustisch leider nicht verstanden. Wieso ist es überhaupt akzeptiert, dass diese Beweismittel von Close-Source-Software durchsucht werden? Widerspricht es nicht im Grundsatz der geschlossenen Beweiskette? Sorry, wahrscheinlich sind meine Ohren nicht mehr gut. Wenn ich Software... Ja, natürlich. Aber da muss man eine Abwägung vornehmen. Die Polizei macht ja auch die Wattestäbchen nicht selbst. Und das ist letztendlich auch Close-Source. Man ist darauf angewiesen, solche Software einzukaufen. Noch mal bitte unbefriedigend. Nicht befriedigend. Ja, das ist natürlich schwierig. Das setzt ja auch viele Ebenen darunter an. Wenn man jetzt auch noch ein Microsoft-Windows nutzt als Auswertesystem, also eine Ebene tiefer, kann dieses Produkt ja auch Fehler haben. Fehler provozieren und zu falschen Ergebnissen führen. Wir müssten also eigentlich jetzt zum Beispiel Linux verwenden. Macht aber auch notwendig, dass es jemanden gibt, der Linux forensisch untersucht. Solange das nicht passiert, ist Linux nicht besser als Windows. Oder jedes andere Quell-offene-System. Quell-offen ist gut und grundsätzlich zu bevorzugen. Man muss sich dann aber auch die Mühe machen, das gründlich anzuschauen. Wie sind andere Meinungen aus dem Publikum? Können wir vielleicht nachher kurz diskutieren? Die Frage ist schnell aus dem IAC und dann müssen wir leider schon aufhören. Ja, die Frage ist im Wesentlichen schon beantwortet worden. Der Chat hat sich ein bisschen mit der Frage beschäftigt, ob sich die IT-Forensik nur auf Windows oder die Untersuchung von Windows-Systemen konzentriert oder ob es auch Spezialisierung in anderen Bereichen gibt. Nein, natürlich nicht. Wir haben jetzt ja auch über IT-Forensik gelacht und wir haben über Fehler in der Software gelacht. Letztendlich sind auf der anderen Seite auch Profis und die kennen sich mit allen Betriebsystemen aus. Linux, Mac, BSD und alles andere. Das muss man auch sehen. Die Mehrheit der Fälle hat mit Windows zu tun. Also hat auch die Mehrheit der IT-Forensischen Auswertungen mit Windows zu tun. Okay, unsere Zeit ist um. Danke Martin. Vielen Dank.