 Er macht DevOps-Tinger und wird uns heute etwas über Digitalforensik erzählen. Bitte einen großen Applaus für Uli Klemann. Er erzählt und geschrieben wird, aus sehr viel Blödsinn leider Gottes. Und ich will heute mal versuchen, so ein bisschen Einblick zu geben in die Welt der Digitalforensik und was da wirklich passiert, was wirklich möglich ist und was eher so in den Bereich der Fabeln und Märchen gehört, was man so aus CSI, Miami, New York und sonst was kennt. Ganz am Anfang vielleicht die Zeitspannen, die man aus diesen Serien kennt, haben natürlich mit der Realität gar nichts zu tun. Solche Untersuchungen ziehen sich teilweise über Monate, manchmal sogar über Jahre, bis man dazu brauchbaren Ergebnissen kommt. Also das ist jetzt nichts, was man mal gerade so an dem Wochenende mal so machen könnte. Denkt, können wir glaube ich überspringen. Die Agenda überhüpfe ich jetzt eigentlich auch mal. Und dann gehen wir schon direkt ins Thema. Ich werde ein bisschen was erzählen zu Festlattenforensik. Das ist vielleicht so das, was man am ehesten kennt. Ich habe irgendeinen Datenträger, den es erwischt hat und da sind wichtige Daten drauf, die sollen wieder hergestellt werden. Dafür gibt es ja einige sogenannte Dienstleister, die dann versuchen diese Daten nochmal zu retten. Dann haben wir Memoryforensik, das ist schon ein bisschen was Spezielles, also das Auslesen von Informationen aus flüchtigen Speicher. Smartphoneforensik, so das Thema, was ich eigentlich am liebsten mache, weil es am meisten hergibt. Registryforensik, da hüpfe ich drüber. Netzwerkforensik, da sage ich vielleicht ein bisschen was dazu und Datenbankforensik, schauen wir mal, ob wir bis dahin kommen, ob die Zeits erlaubt. Viele verbinden das mit dem Internet. Wenn man das darauf beziehen würde, dann steht natürlich die Polizei rein. Die Verpflichtung ist gewollt, also wie es jetzt gerade entsteht. Vor der Auffassung, dass im Internet vieles Analymen geschehen kann und das über Länderkanzeln hinweg global passiert. Das heißt, wir müssen zum einen die Spuren finden und zum anderen dann diese Spuren auch noch irgendwie weiter ermitteln können, sprich, irgendwann an einem Täter rauskommen. Zur Bekämpfung der Cyberkriminalität sind wir als Polizeirahnerin falls eigentlich gut aufgestellt. Wir haben zum einen eine vernünftige Ausstattung, mit der man arbeiten kann. Zum anderen hat man erkannt vor Jahren schon, dass wir Spezialisten pauern. Diese Spezialisten haben wir, das sind Informatiker, das sind mindestens Bachelor, Master, sogar promovierte Informatiker, die bei uns arbeiten, die ständig auch am Puls der Zeit sind. Unsere Aufgabe ist es, möglichst Spuren der Tat in digitalen Enkläden zu finden. Deswegen bekommen wir oftmals PCs, Festplatten, Handys, Smartphones, Navigationsgeräte, etc. von der Sachbearbeitung und versuchen nun die Daten so aufzubereiten, dass der polizeiliche Sachbearbeiter damit was anfangen kann. Das heißt, wir entschlüsseln Daten, wir versuchen Daten zu konvertieren, aufzubereiten, ebenso, dass sie lesbar sind. Als Cyberanalyst bin ich zuständig für die Sicherung und Recherche von Beweismitteln in Darknet und Internet, z.B. die Sicherung von Facebook-Profelen oder auch von Verkäuferprofelen in Darknet. Bisweiteren analysiere ich Lochdateilen, um z.B. nachweisen zu können, ob eben welcher Malwehr oder Trojaner eingetrunken sind. Man denkt immer, dass IT-Vorenziger nur am Schreibtisch sitzen und nur Tastaturhelden sind. So ist es nicht. Wir unterstützen die polizeiliche Sachbearbeitung auch im Einsatz. Das heißt, wenn eine Beziehungsmaßnahme anlegt, das kann Atox sein, wenn es dringend ist, das kann auch geplant sein. Ja, der junge Mann, der da eben gesprochen hat, ist der Leiter der entsprechenden Abteilung beim LKA Rheinland-Pfalz. Die waren mal so nett, ein Video bei YouTube hochzuladen, das ich jetzt hier verwenden durfte. Vielleicht zur Anmerkung, wenn ihr mir nachher einige Fragen stellt, zu denen ich keine Antwort gebe, dann bitte ich um Verständnis, dass ich dazu leider nichts sagen darf. Das wäre ein internes. Ja, fangen wir mal an. Womit beginnt der ganze Spaß? Der ganze Spaß beginnt, wie in der Kriminalistik generell mit einer Spur. Eine Spur kann alles Mögliche sein. Das bedeutet, wir haben ein hinterlassendes Zeichen gefunden und dieses hinterlassene Zeichen, was immer es sein mag, ist ein Ausgangspunkt für eine spätere Untersuchung. Das kann zum Beispiel sein eine Datei- oder eine Dateifragment. So, das haben wir jetzt gefunden. Und im Zusammenhang mit IT-Systemen könnte das zum Beispiel sein die History-Datei eines Webbrowsers. Das könnten Lockfiles sein, das könnten Journale sein von entsprechenden Dateisystemen. Das könnte der Header einer E-Mail sein. Das könnten Metadaten sein, das könnten Zeitstempel sein. Da kommt also alles in Frage, was so ein IT-System eben an Daten mit sich bringen und hinterlässt. Und wo fallen diese Spuren an? Ja, ich habe es total schon gesagt. Einmal im Browser-Cache, sehr ergiebiges Repository, Lock-Dateien, Backups, Zeitstempel, digitale Überwachungskameras, sehr schön, auch Geldautomaten, sehr beliebt, Firewalls. Mögen wir sehr Viren-Scanner, temporäre Dateien sind sehr aufklussreich. Ja, aber auch so altmodische Sachen wie die Wahlwiederholungsfunktion am Telefon hat schon so manchen Täter hinter Schwedische Gardinen gebracht. Auch die Abrechnungsdaten von Mobilfunkprovidern, aber auch sehr gerne Suchmaschinen. Und die digitale Forensik ist im Grunde nichts Neues. Sie bedient sich eben nur neuer Mittel. Aber im Wesentlichen nutzt sie die Prinzipien und Methoden der klassischen, forensischen Wissenschaften. Kennen wir alle aus dem Tatort, da sind die Jungs mit den Ganzkörperkondomen und den Handschuhen, die immer vorm Kommissar schon da sind und dann irgendwie nach Blutflecken, Hautschuppen, Speichelschuhen, Spramerschuhen, Haaren oder irgendetwas suchen, um den Mörder zu überführen. Analog machen wir in der digitalen Welt quasi das Gleiche. Wir versuchen halt, irgendwelche Spuren zu finden, die an einem Tatort immer hinterlassen werden, immer. Es gibt keinen Tatort auch im digitalen Verbrechen, wo es keine Spuren gibt. Ganz im Gegenteil, an digitalen Tatorten werden viel mehr Spuren hinterlassen als an Analogen. Ja, und wenn wir dann eben mit diesen Mitteln der klassischen Spurensuche im digitalen Bereich eine Spur gefunden haben, dann ist erstmal zentrales Ziel die Sicherung dieser Spuren oder Spur. Und zwar Sicherung so, dass wir Gewährleisten garantieren können, dass diese Spur authentisch ist. Das heißt, dass diese Spur nachdrücklich nicht verändert wurde, dass wir nachweisen können, auf welche Art und Weise wir diese Spur gefunden haben und was wir damit untersuchungstechnisch angestellt haben. Das geht so weit, dass wir in der Lage sein müssen, diese Untersuchungen auf Wunsch des Gerichts beispielsweise zu wiederholen. Also denen zu demonstrieren, was wir gemacht haben und wie wir zu unseren Erkenntnissen gekommen sind. Da ist also nichts mit Verschwiegenheit und irgendwie Geheimwissenschaft. Das muss alles lückenlos dokumentiert werden. Ja, und dann müssen wir diese Daten, nachdem wir sie aufbereitet und analysiert haben, so präsentieren, dass sie in einer möglichen späteren Gerichtsverhandlung auch akzeptiert werden. Das heißt, wir müssen das Ganze dem Gericht so präsentieren, dass Juristen, die in der Regel alles andere als IT-Affin sind, diese Erkenntnisse, diese Spuren auch als Beweismittel anerkennen. Das ist bei der klassischen Forensik und rund um genau das gleiche. Da sitzen auch keine Mediziner, sitzen auch Juristen als Lichter. Der wesentliche Unterschied zwischen der digitalen und der analogen Forensik besteht einfach in der Art der Spuren. Da haben wir einmal die lokalen und einmal die nicht lokalen digitalen Spuren. Einfach gesagt, lokale, das sind alles die, die selbst auf dem Gerät generiert werden, die wir dort auch finden, die wir dort speichern können, die wir dort analysieren können. Ich habe hier mal so ein paar Beispiele aufgeführt. Und die nicht lokalen Spuren, das sind eben alle die Spuren, die wir hinterlassen, als so 100 Meter Daten oder als Abrechnungsdaten bei unserem Provider in Firewalls, in Clouds, in, was weiß ich, wo, ja, alles halt eben außerhalb unseres eigenen Rechners. Und auf diese Daten haben Strafverfolgungsbehörden in der Regel auch unbeschränkend Zugriff. Vor allen Dingen, wenn öffentliches Interesse im Spiel steht, beispielsweise bei Kapitalverbrechen wie Totschlag, Mord, schwere Brandstiftung und so was, ist ein Provider zum Beispiel verpflichtet, solche Daten auf Anfragen auch herauszugeben. Ja, ich habe hier mal die Interpretationsebenen einer Spur, ein bisschen Versuch zu illustrieren, am Beispiel einer Bilddatei. Wir haben also irgendeine Bilddatei gefunden. So, jetzt müssen wir erstmal eine geeignete Anwendung haben, um diese Bilddatei zu öffnen, je nachdem, was es ist. Dann müssen wir schauen, wie schaut das Ganze denn als Beisequenz aus? Und dann müssen wir natürlich diese Bilddatei entsprechend geeignet irgendwo speichern beispielsweise auf einer Festplatte. Auf der untersten Spur haben wir natürlich die physikalische Spur, die Magnetisierung. Und wir müssen jetzt halt sehen, wie können wir aus dieser gefundenen Datei, was können wir da auslesen, was können wir da identifizieren und lässt sich das, was wir da auslesen können, verwenden oder eben nicht verwenden. Also sprich, können wir damit die digitale Spur als solche untermauern oder ist das, was wir da an Daten gefunden haben, einfach zu wenig oder halt nicht brauchbar? Ja, ich habe es vorhin schon gesagt, das perfekte digitale Verbrechen. Damit beschäftigen sich Kriminelle ja schon sehr lange, wie man das ausführen könnte. Und schon 1920 hat man in Frankreich angefangen, systematisch sich mit Tatortbeobachtungen und Spurensicherung und Auswertung zu beschäftigen. Ein französischer Kriminologe namens Locat hat da sehr stark mitgewirkt und ein so-calledes Prinzip als Aufsatz veröffentlicht, indem er sagt, es ist einfach nicht möglich an einem Tatort keine Spuren zu hinterlassen, sowohl Täter als auch Opfer bringen immer etwas mit, lassen etwas da und nehmen etwas mit. Also es findet immer ein Austausch von Spuren statt. Er kann sich einfach machen, was du willst, ja, du hinterlässt Spuren. Das Opfer hinterlässt Spuren, der Täter hinterlässt Spuren und Täter und Opfer tauschen auch immer Spuren aus. Daran haben sich wie gesagt schon viele versucht. Im Analogenbereich ist es bisher niemandem geglückt und im digitalen Bereich wird es noch viel weniger glücken, einfach aufgrund der Tatsache, dass wir sehr viel mehr Spuren hinterlassen und die nicht lokalen Spuren können wir in der Regel auch nicht beseitigen, weil wir darauf als Täter keinen Zug gefahren haben. Wohl aber als Strafverfolgungsbehörde. Ja, das hier vielleicht so ein bisschen für die nicht juristisch vorbelasteten Spur, Indiz und Beweis, nicht das gleiche. Und es ist manchmal ein langer Weg, bis aus einer Spur ein Beweis wird. Spur, wie gesagt, kann erstmal alles Mögliche sein. Aber bei einer Spur ist noch unklar, ob sie eine Frage des Rechts damit beantwortet werden kann. Ja, also ob ich damit zu die Frage zum Beispiel beantworten kann, ist sie die Täterin gewesen oder war sie es definitiv nicht. Ja, der nächste Schritt ist ein Indiz. Wenn ich jetzt die Vermutung habe, sie war es, aber die Spur gibt es noch nicht her und unterstützt aber meine These von ihrer Täterschaft, dann sprechen wir von einem Indiz. Und wenn dieses Indiz dann das Gericht überzeugt, dass der Tathergang so gewesen sein könnte, wie ich behaupte und mit diesem Indiz versuche zu untermauern. Dann erst gilt es als Beweis. Das heißt, es spielt bei einem Beweis nicht oder überhaupt keine Rolle, ob der Beweis tatsächlich die Wahrheit ist. Für den Beweis spielt nur eine Rolle, wie ein Gericht ein Indiz wertet. Und das Gericht der Auffassung ist ja wohl, die Schilderung von Ulrich Lehmann mit seinem Indiz ist plausibel. Sie war die Täterin, sie hat es gemacht. Dann gilt dieses Spur und dieses Indiz vor Gericht als Beweis. Andernfalls kann ich mir mein Indiz in die Haare schmieren. Das war die Arbeit für die Kratz. Digitale Beweisträger, ja, kurz gesagt alles, auf dem man Daten speichern kann. Natürlich auch Cloud-Speicher. Und jetzt kommt wieder der Kahlauer. Warum heißt die Cloud Cloud? Weiß es einer? Ja? Was ist da? Genau, weil alles, was du da rein tust, sofort geklaut wird. Und die Reaktion ist immer die gleiche. Es wird immer gelacht. Das war gar nicht als Witz gemeint. Überhaupt nicht. Kommt gleich die nächste Frage, weil wir sind ja hier bei der Mitmachveranstaltung. Worin unterscheiden sich denn der Analoge der klassische Diebstahl vom Digitalen? Genau, sag's laut. Im Digitalen ist das Gelaute nachher noch klar. Ja, ich merk's nicht. Ich merk's nicht. Ja, die Daten sind noch da. Aber ich hab's ja auch, und zwar als Klonkopie. Sprich, die Kopie ist so gut, dass sie vom Original nicht zu unterscheiden ist. Aber er hat keinen Verlust. Seine Brieftasche ist nicht weg, als wenn ich ihm die Brieftasche gezogen habe. Das wird er sofort merken. Aber wenn die Digitalen Diebstahl ist, die Gemeinde, die ich merk's eben nicht. Oder erst, wenn's zu spät ist. Ja, forensische Grundlagen. Worum geht's dabei? Das klassische Trathortbeispiel Mord. Hat ein Beschuldigter diesen Mord begangen? Ja oder nein? Als Hinweis, als Spur haben wir Blutspuren gefunden. Und zwar am Beschuldigten, wunderbar. Jetzt stellt sich die Frage, sind die Blutspuren am Beschuldigten A? Tatsächlich Blutspuren? Oder sind's Rotweinflecken? Oder Sketchup? Und wenn's Blutspuren sind, stammen sie vom Opfer. Oder sind sie von ihm selbst? Hat er sich beim Rasieren geschnitten? Kann ja sein. Nehmen wir mal an, die Antwort der forensischen Medizin lautet jeweils. Ja, das heißt, der Beschuldigte drät Blutspuren des Opfers an sich. Ist er damit automatisch der Täter? Nein, ist er nicht, noch lange nicht. Er hat zwar schon schlechte Karten, aber noch ist das Spiel nicht verloren. Denn jetzt kommen die 7W. Ganz wichtig. Auch wenn man als geschädigter in Kontakt mit uns dritt. Erstens, wer ist der potenzielle Angreifer? Mit wem haben wir's da zu tun? Haben wir's mit Kriminellen zu tun? Haben wir's mit der Konkurrenz zu tun? Oder haben wir's mit den berühmt berüchtigten 3 Buchstabenorganisationen zu tun, die wir alle kennen, zumindest im Namen nach? Was genau ist passiert? Hatten wir ein DDOS-Angriff, eine SQL-Injection, oder haben wir uns irgendwas an Mellwehr eingefangen, Ramston-Wehr-Angriff, was war los? Ganz wichtig zu wissen. Wo, also was und wer sind betroffen? Nur eine einzelne Maschine, eine ganze Abteilung und Subnetz oder eben alles? Wann und zwar wann genau ist das passiert? Eine Meldung über irgendeinen Angriff, drei Wochen später ist wenig hilfreich. Bis dahin sind die Täter über alle Berge. Da macht schon nix mehr. Gleichbescheidssachen, nicht unantäppig kehren. Sofort die Alarmglockleuten. Hier bei uns war was. Je schneller die Meldung über einen Angriff beim Forensiker ist, desto eher die Chance, dass mal was retten kann und desto eher die Chance, dass man eventuell an die Täter kommt. Deutsche Mentalität ist oftmals erst mal unantäppig kehren, gucken ob wir selber mit dem Problem klarkommen. Und wenn man dann feststellt, wir kommen nicht mit dem Problem klar, dann wenden wir uns an die Fachleute. Dann ist es meistens zu spät. Auch wichtig zu wissen wäre, womit, also mit welchen Werkzeugen, wurde der Angriff durchgeführt. Wie ist das passiert? Hat irgendjemand ein E-Mail-Anhang geöffnet? Hat irgendjemand ein Dienst gestartet? War ein Rechnersystem über längere Zeit unbeaufsichtigt? Waren Fremdkräfte im Unternehmen? Nicht alles, was als Putzkraft durchs Büro läuft, ist auch eine. Und dann möglichst auch die Frage, weshalb? Also was war die Motivation des oder der Täter? War das vielleicht ein ehemaliger Mitarbeiter, der uns zum Abschied noch einen reindrücken wollte? Oder ist es ein frustrierter Mitarbeiter? Oder war es ein Bedienungsfehler? Wissen wir nicht, aber würde uns sehr viel weiterhelfen, wenn es da einen Verdacht gibt, den zu kennen. Ja, wenn wir das alles möglichst wissen, dann geht es los mit den Anforderungen und einer Ermittlung. Zuerst einmal muss die Untersuchung als solche und die Untersuchungsmethoden allgemein akzeptiert werden. Das heißt, wir können ja nicht irgendwelchen Voodoo fahren, sondern wir müssen uns an wissenschaftlich allgemein akzeptierte und anerkannte Verfahren halten. Und das müssen wir auch beschreiben, was wir da genau machen. Sonst können wir uns den ganzen Mumpits sparen. Dann ganz wichtig natürlich für spätere Auswertung bei Gericht die Glaubwürdigkeit. Das heißt, die so natte Robustheit und Funktionalität der eingesetzten Methoden und Verfahren muss sichergestellt oder bewiesen werden. Und da kommen wir zum nächsten Punkt wieder Holbarkeit. Auch verlangen müssen wir das, was wir getan haben, auch demonstrieren können. Und zum gleichen Ergebnis kommen, das wir vorher hatten. Integrität während einer Untersuchung dürfen Spuren weder bewusst noch unbewusst geändert werden. Wenn Spuren während einer Untersuchung geändert werden, da freut sich der gegnerische Anwalt. Und wie? Sicherung und Integrität muss natürlich dokumentiert werden und zu jeder Zeit belegbar sein. Also jeder Schritt muss auf die Sekunde genau dokumentiert werden, wann genau wurde, was gemacht, wann wurde der nächste Schritt eingeleitet. Das muss lückenlos dokumentiert werden. Auch die Ursache und Auswirkungen der Methoden, da sollte man sich drüber klar sein, wäre natürlich fatal, wenn ich durch irgendeinen Rettungsversuch die Daten zerstöre oder vernichte. Das wäre natürlich der Super-Go, darf nicht sein. Das müssen wir vorher genau überlegen, was ich da tue und muss immer dran denken, es muss nachvollziehbar sein. Ich brauche eine entsprechende Dokumentation, indem jeder Arbeitsschritt, wie gesagt, ganz detailliert dokumentiert werden muss. Es muss gewährleistet werden, dass die gewonnenen Erkenntnisse authentisch sind, dass ich mir da nichts aus den Fingern gesaugt habe. Und das Ganze muss natürlich, dass es sehr wichtig, lückenlos sein. Und das ist das, was ich für ein Rettungs-Akte Ende gelände. Spielt kein Gericht mehr mit. Dann kommen wir mal zum Datenträger und was man so machen könnte, um eine Untersuchung zu erschweren. Hätte ich zwei Möglichkeiten, einmal ich überschreibe den Datenträger, entweder mit Nullen oder mit Zufallszahlen. Okay, kann ich machen. Mit Zufallszahlen ist vielleicht sogar ein bisschen besser. Damit erschwere ich einem digitalforensiker die Arbeit. Heißt aber nicht, dass ich die Daten nicht doch noch zumindest teilweise auslesen kann. Andere Möglichkeit, die Formatierung, ja, kann ich machen. Das macht schon richtig viel Arbeit. Aber mit entsprechender Datenrettungs-Software und dem entsprechenden Wissen natürlich, kann ich auch noch formatierte Datenträger zumindest teilweise rekonstruieren. Ist natürlich aufwendiger und teurer. Ja, ist klar. Aber wenn es jetzt wirklich um eine Straftat geht wie Mord, öffentliches Interesse, wo Geld keine Rolle spielt, ja, dann wird halt so lange untersucht, bis wer was findet. Und notfalls legen wir den Datenträger mit einem Dronemicroskop. Nur eine Frage, wie viel Zeit wir haben und wie viel Geld wir dafür verlangen dürfen. Heißt nicht, dass ich durch Formatieren und Datenträger so zerstöre, dass ich hier nicht mehr auslesen könnte. Man könnte es eher so vergleichen, ich habe ein dickes Buch mit vielen Tausend Seinen. Und da suche ich eine bestimmte Textstelle, die nur einmal vorkommt und dann macht die das Inhaltsverzeichnis raus und sagt, such mal, es ist natürlich sehr viel mehr Arbeit als wenn du ein Inhaltsverzeichnis hättest. Heißt aber nicht, dass du die Textstelle nicht doch irgendwann findest. Es dauert halt eben nur viel länger. Ich habe viel mehr Aufwand. Entmagnetisieren, das ist natürlich schon, ja, da wird es schon kritisch. Ältere erinnern sich vielleicht noch so an die Zeit da hattest du irgendwann bei der Aufnahme immer mehr Rauschen, immer mehr Rauschen, das kam dadurch, das Magnetband hat den Tonkopf magnetisiert und dann gab es so ein schönes Zubehörteil, das sah so aus wie so eine kleine elektrische Zahnbürste, war eine Spule drin, eine Batterie und so ein kleiner Magnet und damit konntest du diesen Tonkopf entmagnetisieren. Hat auch gut funktioniert, du solltest allerdings vorher die bespielten Musikkasetten wecken, wenn man haben, sonst waren nämlich auch entmagnetisiert. Und wenn ich mir jetzt vorstelle, so ein Viertelzoll Band, was das für eine kleine Fläche ist, so ein Tonkopf, das ist ungefähr so die Hälfte von meinem kleinen Fingernagel und so eine dreieinhalb, dreieinhalb Viertelzoll Festplatte, also das Gerät, was die komplett entmagnetisiert, möchte ich nicht in der Wohnung haben. Scheidet also zu Hause eher aus. Und dann kommen die Tipps aus dem Internet. Festplatte in die Mikrowelle legen. Super Tipp. Dazu sage ich jetzt nichts. Aber so ein Zeug wird halt immer noch propagiert, bringt letztlich gar nichts. Wenn ihr wirklich eine Festplatte zerstören wollt und zwar so, dass sie kein Mensch mehr auslesen kann, dann gibt es nur zwei Möglichkeiten. Thermit, genau, möchtest du in der Wohnung aber auch nicht machen, außer du willst die Wohnung anschließend verlassen auf alle Zeit. Du könntest also mit dem Schneidbrenner in zwei Teile schneiden, ja, wär Thermit, könntest du machen. Oder du schraubst das Ding auf und nimmst hier ein scharfes Messer oder einen dicken Schraubenzieher und machst auf die Magnetflächen so richtig schöne tiefe Kratzer. Ende. Das kann kein Mensch mehr auslesen, auch keine NSA. Nur die Festplatte, die kannst du natürlich dann nimmer verwenden. Ist klar, zerstört, ist zerstört. Ja, wie sieht so eine magnetisierte Oberfläche unter Mikroskop aus? In etwa so. Dann ist die Platte noch mehr oder weniger jungfreulich. Dann gibt es hier so dieses wunderschöne Tool zu dem Mikroskop. Da kann man also Spur für Spur und Sektor für Sektor auslesen. Für zu Hause eher auch nicht geeignet. Das dazugehörige Elektronenraster-Mikroskop sieht ungefähr so aus, von der Größe her ein großer Chefschreibtisch vom Preis her freistehendes Einfamilienhaus in guter Lage. Ja, und so sieht eine Festplatte aus unter diesem Gerät, wenn der Lesekopf und die Festplatte näher Bekanntschaft geschlossen haben. So, die Dinger da, da hat der Lesekopf mal in die Festplatte so bisschen penetriert. Schaut dann so aus. Ja, Festplatte von innen für alle, die sie noch nie gesehen haben, sieht so aus. Also da oben dieses silbrige Ding da, das müsste man halt ordentlich zerkratzen. Andere Ideen wie 220 Volt, einfach auf die Festplatte legen und sowas. Das zerstört in der Regel nur den Linearmotor, mehr aber auch nicht. Das bringt also nichts. Wenn ihr aber mal eine Festplatte habt, wo Daten drauf sind, die ihr bei einem Datenretter retten lassen möchtet, dann tut das um Gottes Wille nicht, schraubt sie ja nicht auf. Ja nicht. Einmal wegen Staub, aber noch viel schlimmer Fingerabdrücke. Tödlich. Also die Bereiche, wo einer mit den Fingern drauf war, dann ist das Ende vorbei. Daten kaputt. Bitte. Nein, nicht wirklich. Nicht wirklich. Also die andere Methode ist sicher. So, da kommen wir mal zu den Grenzen des Machtbahnen. Da muss ich mich jetzt auf den Cheftechniker verlassen, den er das gesagt hat. Verschlüsselte Dateissysteme. Also alles, was so größer AES 128 ist und ähnlich. Ohne Schlüssel, Märchen, geht nicht. Kann so nicht kranken, funktioniert nicht. Dann habe ich gefragt, wie sieht es denn aus mit SSDs? Zitat, die hat der Teufel erschaffen. Oder auf gut Schwäbisch ist das ein Scheiß. Ja, also damit war gar nicht glücklich. Dann haben wir gesagt, ja, da gibt es ja verschiedene. Also einmal die MVME, da hast du gar keine Chance. SATA, schwierig. Dann gibt es noch MS-ATA, da ist es fast unmöglich. Dann gibt es noch M2.SSD, was immer das ist, praktisch unmöglich. Extremer Aufwand. Dann die Sache mit den Kratzern beziehungsweise geöffnet, die weißes Staub-Fingerabdrücke. Wenn überhaupt, dann nur mit erheblichen Mehraufwand. Und wie gesagt, da, wo einer mit seinen Finger drüber ist, in der Regel gar nichts mehr möglich. Mit Backup überspielt, lässt sich auch nichts mehr machen. Und dann die Frage ja, was kostet der Spaß und warum ist das eigentlich so teuer? Ja, also ungefähr so bei 500 Euro Minimum fängt so eine Datenrettung an. Warum ist es so teuer? Einmal, weil es ja zeitaufwendig ist. Also ich sag mal so eine 2-Tararbeit-Platte, ja, komplett, kann schon recht ein 14-Tarer Arbeitsaufwand. Und wenn du Ersatzteile brauchst, dann müssen das absolut genau baugleiche Teile sein. Ja, und jetzt stell dir vor, da ist schon eine Festparte, die fünf Jahre alt ist. Wenn du dafür noch eine Originalbauteile kriegst, ja, dann zum entsprechenden Preis, und das muss natürlich berechnet werden, ne? Dann kochst halt eben mal so ein, so lese Finger. Ich will es gar nicht wissen. Ups. Ja, das Analysieren einer Festparte ist eigentlich nichts Spektakuläres. Da bedienen wir uns bekannter Linux-Sportmittel. Brauch ich, nicht länger darauf einzugehen, der eine oder andere würde das kennen. Wir verschaffen uns erst mal mit die Bargain of Star-3-Systems in Überblick, was eigentlich noch da ist und was los ist. So, dann suchen wir irgendwie nach Spuren. Und dann machen wir uns erst mal mit DD Rescue ein Image. Rettungsversuche bitte niemals an der Original-Datei durchführen. Das geht immer in die Hose. Ja, und hier haben wir ein Beispiel, eine NTFS-Partition. 50 Gig, da dauert es allein mehrere Tare, die nur zu lesen. So, dann nehmen wir die Smartmontools und schauen mal, was die so sagen. Aha. Read error rate, jawohl. Okay, da wissen wir ungefähr, wo wir jetzt suchen können, was los ist. Dann nehmen wir wieder DD und machen uns wieder ein Image. Und dieses Image sollten wir möglichst schreibgeschützt speichern. Natürlich ganz wichtig, bevor wir das tun, die Zielpartition muss natürlich vor dem Kopieren bereits existieren und groß genug sein. Sie darf aber gerne größer sein. Und wenn wir dieses Image dann schön gemacht haben, dann können wir uns mal langsam damit beschäftigen, die auf dieser neuen Partition vorhandenen Dateisysteme oder das einzelne Dateisystem wiederherzustellen. Da gibt es dann auch zwei schöne Tools, FSTK, und halt, wenn es NTFS ist, das NTFS Fix, so als vierten Arbeitsschritt. Aber wie gesagt, vorher unbedingt auf einem anderen Medium ein Image ziehen. Ja, kommen wir jetzt zum SAP-Pinzip, hat nichts zu tun mit dieser komischen Firma, sondern steht für Secure Analyze Present. Das heißt, wir müssen die Daten, die Spuren in möglichst relevanter, unveränderter Form identifizieren. Dann müssen wir sie auswerten und dann müssen wir sie möglichst so präsentieren, dass sie auch für einen Leinstichwort Justiz nachvollziehbar dargestellt sind. Das heißt, der Tatvorgang muss so skizziert werden, dass ein Richter, ein Staatsanwalt das nachvollziehen kann. Ja, und dann werden die bekannten Fakten über den Vorfall beziehungsweise die Angreifenden oder den Angreifenden präsentiert und der Schaden bewertet. Und dazu gibt es schöne Tools, die auch frei sind, zum Beispiel die Distribution Cain aus Italien. Das ist ein Ubuntu-Ding, das entsprechende Tools dabei hat, um Digitalforensie-Untersuchungen zu machen. Eines davon ist Autopsy, die anderen sagen, die X-Face-Forensie und Zertriage ist eher für den professionellen Bereich die Kosten auf viel Geld. Und in all diesen Phasen dieses SAP-Models ist, wie gesagt, die sorgfältige lückenlose Dokumentation unerlässlich, ohne die geht's nicht. So, jetzt kommen wir zu meinem Lieblingsteil, die Goldmine der Justiz. Das Zitat stammt nicht von mir, sondern von Amber Schroder. Der Geschäftsführer der Parabend Corporation, das ist eine amerikanische Firma, die sich mit digitalforensikmobilforensik beschäftigt. Ja, das ist wirklich so das Schlimmste, was hier erfunden worden ist. Denn das Ding weiß einfach alles. Das ist schlimmer als alles, was es gibt. Das ist schlimmer als eine Ehefrau, schlimmer als eine eifersüchtige Freundin oder Ex-Freundin. Oder eine vorwitzige Nachbarin, warum? Das Ding haben wir ständig bei uns. Dem wird alles Mögliche anvertraut. Es telefoniert fleißig nach Hause. Es speichert fleißig Daten, die wir vermeintlich gelöscht haben, hat es immer noch irgendwo gespeichert. Ja, und bei manchen Leuten sind wir schon so weit, da ist das Ding schon fast als Erweiterung irgendeines Körperteils angewachsen. Die können ja ohne das Ding nicht mehr aufs Klo gehen. Und wenn dann z.B. solche Geräte von Mitarbeitern irgendwann zurückgegeben werden, oder von Ex-Mitarbeitern, die werden dann ausgelesen, man glaubt es nicht, was sich darauf alles findet. Ja, Eugen Kasperski dürfte auch bekannt sein. Er weiß, was sie in ihrem Smartphone speichern kann und wird vor Gericht gegen sie verwendet werden. Da hat er Eugen recht. Genauso ist es. Das Smartphone weiß eben alles über uns. Welche Webseiten waren wir? Haben wir mit WhatsApp die Nachrichten verschickt? Haben wir Fotos gemacht? Und, und, und, und? Ja, und die Dinger sind ja weit verbreitet, nahezu jeder hat eins. Und das ist nicht unbedingt die allersichersten Betriebssysteme sind. Ja, und dann kommen wir zu dem Paradebeispiel mit Apple. Apple verweigert dem FBI Hilfe bei der iPhone-Entschlüsselung. Gut. Kann man verstehen, ja? Nachvollziehbar. Dann haben wir einen Apple-Streit. Der Ex-NSA-Chef stellt sich gegen das FBI. Okay, schön. Dann haben wir irgendwann wieder die CIA. Hat Apple seit Jahren im Visier, wer hätte das gedacht? Auf einmal kann das FBI nun doch auf die iPhone-Daten zugreifen. Ja, wie das denn? Ich denke, Apple hat sich verweigert. Offensichtlich haben sie es doch nicht getan. Apple weigert sich erneut dem FBI beim Zugriff auf das iPhone zu helfen. Also das verstehe ich jetzt erst jetzt nicht mehr. Denn wer unser amerikanischen Kollegen kennt, der weiß, wenn die was haben wollen, sie können sehr direkt sein. Vorsichtig zu sagen. Sehr direkt. Dann kann man natürlich auch schon nachlesen, wie man die Android-Verschlüstung aktiviert und wieder aufhebt. Und so weiter und so fort. Kurz und gut, ob das jetzt ein iOS ist oder ein Android, ist den Digitalforenziger und herzig egal. Das spielt keine entscheidende Rolle. Denn es gibt zum Beispiel dieses wunderschöne Gerät davor. Das hat etwa die Größe von einem 10,5 Zoll Tablet. Das ist in einer Tasche verpackt, so eine größere Damenantage. Viele, viele Kabel dabei mit Adabtern. Und das schwierigste an der Bedienung, hat man mir gesagt, ist es, das richtige Adabterkabel zu finden. Alles andere ist relativ selbsterklärend. Es gibt also ein Touchscreen. Und damit kannst du wunderbar, sowohl Android als auch iOS-Geräte auslesen. Dieses schöne Kästchen wird vertrieben von der Firma Selbright aus Israel. Nennt sich UFET. Es gibt auch noch ein paar andere Anbieter von solchen Geräten. Unter anderem die Firma Elkomsoft aus Russland. Die Firma MSAB aus Schweden. X-Ways aus Nordrhein-Westfalen. Passware und Microsystems aus den USA. Ja, damit kann ich also Passwörter entfernen, Speicher auslesen und, und, und. Ganz egal, wie gesagt, ob Android oder iOS spielt keine Rolle. Nachteil, diese Geräte werden nicht frei verkauft, auch nicht an Privatpersonen, schon gar nicht, sondern nur an entsprechende Behörden oder an Unternehmen, die im Auftrag solcher Behörden, solcher Untersuchungen durchführen, muss nachgewiesen werden. Bitte. Das macht schon unterschiedlich. Ja, dann geht es tatsächlich um die Geld. Ja, genau. Das ist immer, ist immer die Frage, wie viel Geld darf ich ausgeben? Aber vom technischen Seite her spielt das keine Rolle. Ja, und dann haben wir hier noch Internet of Spice, wie ich das immer nenne, IoT, Fitness Tracker und was so alles gibt. Auch die sind natürlich als Datendressor sehr interessant. Aber wir haben auch Spione- und Beweisträger, an die wir jetzt vielleicht gar nicht denken, zum Beispiel eine intelligente Kurbelwelle. Und so ein Teil ist heute übrigens in nahezu jedem modernen Lkw ein Bus eingebaut. Das geht doch mal schlimmer. Kann Alexa helfen, ein Verbrechen aufzuklären? Oh ja, kann sie. Wir haben was. Sie hat es aufgeklärt. Zumindest hat sie einen erheblichen Teil dazu beigetragen. Alexa im Schlafzimmer hat keine gute Idee. Ja, gut. Ja, Siri ist auch nicht besser, also möchte ich auch nicht haben. Aber egal, muss jeder selber wissen. Ja, das hier ist natürlich auch wieder so eine Sache. Darüber sollte man sich mal Gedanken machen, wenn man sowas hat und trägt. Und da ich selbst zu dieser Gilde da unten mal gehört habe, Versicherungsfachleute, Hopla, kann ich das also durchaus bestätigen, dass diese Tragbangeräte zunehmend über Entscheidungen von Versicherungsschutz und Zahlungen entscheiden und als mögliche Beweismittel auch herangezogen werden. Also man sollte sich da heute wirklich verdammt gut überlegen, was man dem Versicherungsprüfer dafür in die Geschichte erzählt. Das kann bösen nach hinten losgehen. Da kommen wir mal zu MSAB, meiner Lieblingsfirma in dem Kontext. Hallo, mein Name ist Simon Crawley. Ich habe einfach nur MSAB gejagt. Und bis jetzt, war ich mit der Metropolitan Police Service in London als Teil des SR-15 Counterterrorism Bars. Ich bin der MSAB. Ich bin der MSAB. Ich bin der MSAB. Ich bin der MSAB. Ich bin der MSAB. Ich bin der MSAB. Ich bin der MSAB. Ich bin der MSAB. Ich bin der MSAB. In dem Ursprung ist eben der SR-15 Counterterrorism-Command base der Heathrow Airport. Wir hatten Es ist wichtig, dass man sich jeden Tag mit den Kioskern und Effizienz hat, dass man eine Direktorsitzung haben muss, weil es so einfach ist, dass man die Veranstaltung der Netzwerke macht. Wie Sie sehen können, dass Kontrolle wirklich Power ist, wenn es mehr effektive Systeme, jetzige Investigationen, und mehr Kräfte lösen. Zu dem Thema, ich habe gerade bekommen, 10 Minuten habe ich noch, muss ich also ein bisschen drüber springen. Ja, dahinter steckt das BEAST, das Big Data Enhanced Analytics System, eine riesengroße Datenbank, die halt in der Lage ist, mittels KI hier entsprechende Anomalien sehr schnell zu erkennen und auch sehr schnell sehr große Datenmengen in Echtzeit zu verarbeiten. Bei Melvair ist es hingehen noch ein bisschen schwieriger, weil es halt eben schwieriger zu verändern ist. Okay, zu 8 habe ich schon was gesagt. Und da habe ich schon mal drüber springen können. Und jetzt habe ich geguckt, bei meinem harten Test, sondern das gesamte Speichermedium mit Nullen vollzuschreiben. Warum? Nun, um das zu verstehen, musst du wissen, was man unter dem Slack Space verwendet. Das bestimmt schon einmal gehört, dass das KI fehlt. Da ist noch einer fest, dass wir nicht so viel zu löschen, sondern das gesamte Speichermedium, das hat jeder so verwendet. Und das verstehe musst du wissen, was man unter dem Slack Space versteht und welche eigentlich gelöschten Glaubeninformationen dort verspeichert werden. Wir werden uns ein bisschen anschauen. Ja, kurz Slack Space, ganz kurz, das sind halt die Teile, die halt beim Überschreiben nicht gelöscht werden, also Grenzkleiner Dateiberreiche. Aus denen wir auch Daten fischen, sehr häufig, kann man empfehlen, wenn jemand Hardware verkauft, baut eure SSDs, baut eure Festplatten aus und verkauft eure Geräte ohne. Auf jeden Fall der sichere Weg. Gut. Da können wir eigentlich auch drüber gehen, weil er erzählt auf Deutsch jetzt genau das Gleiche, was der vorher in Englisch erzählt hat. Kommen wir mal zum letzten Punkt, Netzwerk vor Rensik. Das ist eigentlich den Punkt, wo wir immer öfter mit zu tun haben. Es gab irgendwelche Angriffe und jetzt ist halt die Frage, was ist denn passiert und wie es ist passiert und Krams von innen, Krams von außen. Das sind jetzt Dinge, wo wir auch als Admin auf unsere Hausmittel zurückgreifen können, also sogenannte Network Captures. Und die können wir mit bekannten Werkzeugen wie TCP-Dump, ISA-Ape, Capsar, Wireshark, Archimie, können wir die machen und halt auch entsprechend speichern und dann analysieren. Das sind einfach Angriffe von innen. Damit rechnet keiner und die Täter sind meistens sehr gut informiert, haben einen hohen Wissenstand, hohen Kenntnisstand und können natürlich aufgrund ihrer Informationen, ihres Kenntnisstands, es ist von innen viel mehr Schaden anrichten in kürzerer Zeit als Angräfer von außen. Das ist natürlich so eine Geschichte, man muss sehr große Mengen an Daten sehr schnell und transparent analysieren und das Ganze muss dann auch noch so dargestellt werden, wie gesagt, dass es nach Laien Juristen verstehen können. Das ist eigentlich so das Hauptproblem. Ja, warum? Netzwerk Forensik, etwa 40% aller Bedrugs- und Diebstahl- und Unterschlagungsdienste werden von Mitarbeitern begangen. Die Summen sind zwar jetzt nicht mehr ganz aktuell, aber um die größten Ordnung geht es und dass es natürlich nicht die Putzfrau ist, wenn man solche Angriffe startet, das braucht man eigentlich auch nicht näher zu erläutern. Das sind dann in der Regel Mitarbeiter im mittleren Management oder unteren Management, die diese Straftaten begehen. Ja, dann haben wir natürlich auch das Problem, wir haben vermeidbare und unvermeidbare Spuren. Manche könnten wir durch entsprechendes Verhalten vermeiden, aber halt eben nicht alle. Beweise und Beweismittel, da kann man vorhin schon, da können wir darüber hinausgehen. Ja, natürlich will ein Straftäter nicht entdeckt werden. Ganz klar. Und da gibt es natürlich verschiedene Ideen und Ansätze, was man machen kann. Ich kann natürlich ein System verwenden wie Tales, ich kann Tracking abschalten, ich kann Cookies deaktivieren, jawohl. Ich kann auch meine IP verschleiern, Stichwort Tor wurde ich heute Vormittag darauf angesprochen, von einer netten Hexe. Ja, kann ich machen, ich kann mich tarnen, ich kann mich verkleiden, kann ja alles tun, aber ich kann mich nicht unsichtbar machen. Das geht einfach nicht. Denn Antiforensik, das heißt, die Spuren so zu verwischen, das ist schon eine echte Kunst. Und das meiste, was es da steht, ist so eher gedacht für Skriptkitties, versierten Auswärter, kann man damit nicht wirklich aus der Fassung bringen. Mit Steganographie hingegen, kann ich schon einige Schweine reinmachen. Aber das wäre jetzt ein Vortrag für sich. Ja, vielleicht hier mal so ein Beispiel, man hatte hier oben diesen kleinen Ausschnitt, das war die Spur, und das Futter wurde dann 2014 von den Herrn Mörler und Dornseif daraus rekonstruiert, das war die Täderin. Also so wenig Indiz kann ausreichend überführt zu werden. Ja, dann haben wir so geschwärzte PDF-Dateien. Nicht wirklich. Aber USB-Kill ist geil. Schönes kleine Skript. Erstellt eine Weitenliste über alle eingesteckten USB-Geräte, und wenn ich irgendeines dieser USB-Geräte entferne, dann kann ich konfigurieren, dass entweder die Festdatte verschlüsselt wird oder der Rechner umgehend stromlos gemacht wird. Und das war es dann. Daten weg. Funktioniert wirklich gut. Es muss natürlich vorher darüber bewusst sein, Daten weg ohne Backup, kein Mitleid. Gut, ich meine, damit kann man hier jetzt schon, ja, USB-Kill ist schon schön für normale Ermittler. Die würden normalerweise ein USB-Maus-Gickler an den Rechner stecken, um genau das Abschalten zu verhindern. Aber eine wirkliche Untersuchung kannst du damit also jetzt nicht verhindern. Aber es funktioniert an sich ganz gut. So, damit werden wir mal durch, zum ersten Mal ohne zu überziehen. Danke fürs Zuhören. Und wenn es jetzt noch Fragen gibt, dann wäre das jetzt ein guter Zeitpunkt. Danke schön. Ich habe eigentlich zwei Fragen. Zum einen erst mal bei so einem ganz typischen DSL-Anschluss bei sich zu Hause, wo so ein Router mitkommt von der Telekom-Bodafone, was auch immer. Inwieweit ist der denn lohnt das Ziel für forensische Analysen? Der weiß ja typischerweise, welches Smartphone da zuletzt man im B-Land war oder ähnlich ist. Aber bisher habe ich das niemals so auf der Zielliste für Forensiker gesehen. Ja, der ist natürlich schon ein Ziel, weil er nicht nur reines Modem und reiner Router ist, und er ist ja auch gleich auch nur Firewall. Er ist der HP Server, er ist DNS-Server, das ist ja so eine Kombikiste. Und die Dinger sind in der Regel nicht gerade gut geschützt. Ja, aber das ist halt eben Plastikware. Kann schon durchaus ein Ziel sein, wenn du halt in entsprechenden Verdacht gerätst. Also das ist in den Standardforensik, da gibt es standardisierte Produkte für, mit denen ich so ein Router... Da gibt es standardisierte Sachen dafür und bei einer entsprechenden Hausdurchsuchung kannst du davon ausgehen, dass die Polizei erstmal alles beschlagnah und was sie in die Finger kriegt und mitnimmt. Auch den Router, wenn sie daran denken. So, und damit ist das Thema dann, denke ich, beantwortet. Ja, im Router könnte halt vielzeug im Ramm liegen, was beim Mitnehmen mit abziehenden Stromsteckers weg ist. Ich sag mal so, ganz doof sind Kriminalbeamte auch nicht. Sehr gut. Also wenn du Glück hast, findest du natürlich Leute, die keine Ahnung haben, aber die meisten, die man da zu so einer Beschlagnahme schickt, die sind schon entsprechend vorbelastet oder bringen Kollegen mit, die wissen, was sie tun. Sehr gut. Und die zweite Frage ist, bei SSD sieht es ja meistens so aus, dass sie eigentlich physisch mehr Speicher haben, als sie mir zeigen, als eine Art von Backup-Bereich. Und es gibt Pictures wie Trim und so, wo ich ihnen quasi sogar noch Speicher zur freien Verfügung wieder zurückgeben kann. Die Frage ist, wenn ich das Rohr auslesen dieser Bereiche, die für mich als Betriebssystem, wenn ich die SSD als Blog-Device sehe, wenn ich das Blog-Device auslesen würde, wären diese Bereiche leer oder wären gar nicht sichtbar oder nicht adressierbar? So wie no comment. Okay, vielen Dank. Bitte. Ja, ich habe da auch eine Frage, aber zuerst erstmal Danke für den tollen, interessanten, tief gereifenden Vortrag. Meine Frage ist dahingehend, in Bezugnahme auf Handy. Wenn ich jetzt das Handy wieder in diesen Auslieferungszustand zurückversetze, wieviel Daten sind von den vorherigen Benutzer da noch vorhanden? Das ist eine sehr gute Frage, die kann ich dir leider so nicht beantworten. Das hängt primär von der Firmware ab. Okay, also sollte man die Dinger vielleicht auch nicht auf den Flohmack verkaufen? Ich sage mal so, das Ding ist ja nichts anderes als ein Rechner, mit dem du auch zufällig noch telefonieren kannst, wenn es auch kaum noch jemand macht. Und ich habe vorhin gesagt, wenn ihr eure Hardware v.a. habt, baut die SSDs, baut die Festplatten aus. Mehr kann ich dazu eigentlich nicht sagen. Danke. Bitte. Bist du das Mikrofon einmal durchgeben? Also ich kann das dazu sagen, an der Uni, wenn wir Forensikurse anbieten, kaufen wir auf eBay einfach für jeden in unserem kurzen Telefon und er darf es wieder herstellen. Er muss die ganze Karte verraten. Erzähl noch weiter. Wir kriegen regelmäßig Bilder, die GPS-Daten raus, wo das Telefon war und im Allgemeinen auch Chatverläufe. Gut, du hast es jetzt gesagt, ich wollte es eigentlich nicht sagen, ich habe es vorhin angeschnitten, wenn Mitarbeitergeräte zurückkommen. Ich will es mal so sagen, es gibt von einer amerikanischen Behörde eine Dienstanweisung für das übermitteln vertraulichste Informationen, die lautet, das Telefon auffällig an einem bevölkerten Ort schreibt dein Geheimnis auf ein Stück Papier, tauscht es ungesehen aus, liest es, verbrennt es und vergisst das Treffen. Das ist eine Handlungsanweisung für die. Das sagt, glaube ich, alles aus. Also ein so nettes Smartphone ist jetzt meines Erachtens wirklich das Letzte, dem ich Geheimnisse anvertrauen möchte. Ich hoffe, das beantwortet die Frage. Ja, ich habe noch eine Frage zur Datenträgerforensik. Wie erstelle ich gerichtsverwertbar eine Kopie von einem Datenträger? Wie erstelle ich gerichtsverwertbar eine, ja, das ist also ein Prozess, zum ersten, du ziehst mit DD ein Image, speicherst dieses Image schreibgeschützt ab, ja, als entsprechendes Image und das kannst du eigentlich dann schon verwenden. Aber du musst eben nur, wenn du dieses Image dann analysiert hast, eine entsprechende Präsentation machen, die ein Jurist nachvollziehen kann. Und ich kann also den Datenträger SATA sonst was oder M2 anschließen und möglicherweise, dass dabei schon irgendwelche Operationen auf dem Datenträger passieren, ist egal. Du machst im Grundum folgendes, ein Image, ja, DD Rescue. Dieses Image speicherst du auf einem jungfräulichen neuen Datenträger, auf dem noch nichts anderes drauf ist. Und diese Dateil, dieses Image setzt du entsprechend schreibgeschützt, ja, mit entsprechenden ChangeMod, entsprechend rechte schreibgeschützt. Und das kannst du als Ausgangsprodukt quasi für eine spätere Auswertung verwenden. Das ist dann so die Arbeitsschritte, die du machen müsstest. Was jetzt nicht heißt, dass das auch als Beweis anerkannt wird, aber es wäre so gerichtsverwertbar. Und du musst natürlich genau dokumentieren mit Datum, Uhrzeit, auf die Sekunde genau, wann du was gemacht hast. Ja, und du musst in der Lage sein, alles das, was du da angibst, gemacht zu haben, auch wiederholen zu können und das muss zum gleichen Ergebnis führen. Dann ist es gerichtsverwertbar. Danke. An dieser Stelle, im Namen der GPN, vielen Dank für diesen kleinen Einblick in die Welt der Digitalforensik, an Uli Kleemann.