Rechtsanwalt Jens Ferner (IT-Fachanwalt & Strafverteidiger) - Digitale Beweismittel

Angriff auf Cellebrite

In einem beachtlichen Blog-Posting teilen die Macher hinter Signal mit, man habe die IT-Forensische Software von Cellebrite gehackt. Doch man belässt es nicht dabei, sondern formuliert einen durchdachten und mehr oder minder subtilen Angriff auf Cellebrite, der nicht ignoriert bleiben dürfte.

Einziehung von Festplatte

Die Einziehung von Festplatten ist ein Dauerbrenner im Bereich des Cybercrime. Ich konnte nun endlich im Rahmen einer Revision beim Bundesgerichtshof (2 StR 461/20) eine Auseinandersetzung mit der letzten Rechtsprechung des 6. Senats herbeiführen – wo man bestätigte dass für die Einziehung ausreichend ist, dass die Möglichkeit dauerhafter Löschung nicht ersichtlich ist.

Dazu auch bei uns:

Hashwert

Ein „Hashwert“ spielt in der digitalen Forensik, im Bereich der Dateien, eine erhebliche Bedeutung. Der Hashwert wird durch eine Hashfunktion erzeugt und ist eine

„Abbildung, die eine große Eingabemenge (die Schlüssel) auf eine kleinere Zielmenge (die Hashwerte) abbildet“
Wikipedia zur Hashfunktion

Entgegen einer verbreiteten Handhabe in der Praxis sollte der Hashwert im Gerichtssaal nicht ohne Hinterfragen hingenommen werden.

IT-Forensik und Forensische Softwareprodukte in Deutschland

Unter IT-Forensik ist wohl noch am ehesten ein methodisches Vorgehen zur Aufklärung von Straftaten unter Verwendung von IT-Systemen zu verstehen (so die „Definition“ durch das BSI, siehe im BSI-Leitfaden).

Welche forensischen Softwareprodukte werden in Deutschland verwendet? Ich habe derzeit Kenntnis von diesen Programmen, die zur Aufklärung von Cybercrime eingesetzt werden (die Liste basiert auf meinen eigenen Eindrücken und einer Mitteilung der Bundesregierung, es ist soll auf keinen Fall eine abschliessende Übersicht über Forensiksoftware insgesamt sein!):

Cellebrite,
MSAB,
Elcomsoft,
Grayshift,
Oxygen Forensic,
X-Ways,
Access Data
Magnet Forensics
osTriage

Soweit man immer wieder von geplanten Staatstrojanern liest ist mir derzeit kein aktueller Sachstand eines in Deutschland einsatzbereiten Trojaners bekannt. Mit Stand Januar 2019 wurde im Bundestag (Drucksache 19/6828) zuletzt bekannt gegeben, dass eine geplante Aufstockung von Mitteln zur Stärkung von „Entschlüsselungskapazitäten“ bei Europol nach Kenntnis der Bundesregierung nur die forensische Entschlüsselung von sichergestellten elektronischen Beweismitteln beträfe.

X-Ways Forensics

Die Software „X-Ways Forensics“ ist jedenfalls nach meiner Wahrnehmung der de-Facto -Standard bei digitalen Ermittlungsmaßnahmen der Polizei. Hierbei handelt es sich um ein „forensisches Datensicherungstool“, das in der Praxis so verwendet wird: Die Festplatte wird mit einem „Writeblocker“ versehen und dann an den Polizeirechner angeschlossen, so dass ein vollständiges Image erstellt werden kann, dieses kann dann später mit XWAYS analysiert werden.

Europäische e-Evidence-Verordnung: Grenzüberschreitender Zugang zu elektronischen Beweismitteln

Europäische e-Evidence-Verordnung (auch: Europäische Herausgabeanordnung): Die EU hat Schritte zur Verbesserung des grenzüberschreitenden Zugangs zu elektronischen Beweismitteln unternommen, indem sie die rechtlichen Rahmenbedingungen dafür schafft, dass gerichtliche Anordnungen direkt an Diensteanbieter in anderen Mitgliedstaaten gerichtet werden können.

Hinweis: Die rechtlichen Hintergründe erschließen sich am ehesten über das zweite Zusatzprotokoll zur Budapest-Konvention

IT-Strafrecht: BGH stärkt Bedeutung von Sachverständigen

Dann doch mit einiger Überraschung muss ich beim Bundesgerichtshof (1 StR 412/16) nachlesen, wie blind man in IT-Strafsachen den Ausführungen von Sachverständigen folgen darf:

Die Wirkungsweise der vom Computernutzer unbewusst installierten Schadsoftware hat das Landgericht auf der Grundlage der nachvollziehbar dargelegten Erläuterungen der Sachverständigen hinreichend genau festgestellt.

Das mag auf den ersten Blick wenig spektakulär erscheinen, allerdings muss man dazu wissen, dass der Bundesgerichtshof für Sachverständigengutachten, die bei bedeutenden Fragen hinzugezogen werden – insbesondere wenn es um DNA-Bewertungen aber auch forensisch-psychiatrische Fragen geht – von den Kammern erwartet, dass man sich im Urteil mit den Gutachten auseinandersetzt. Insbesondere gibt es bestimmte Kriterien, an Hand derer das Gutachten im Urteil darzustellen ist. Dass man hier nun mit einem Satz dem Sachverständigen schlicht folgt und der BGH dazu sonst nichts anzumerken hat – insbesondere keine Kriterien für die Instanzrechtsprechung – ist bei einer schuldrelevanten Frage dann doch überraschend. Safferling in NStZ 7/2018 spricht auf Seite 405 vollkommen zu Recht von einem „vorschnellen Folgen“ der Ausführungen des Sachverständigen. Deutlich wird dies, wenn man sich vor Augen hält, dass nicht einmal ein Satz zur Methodik des Sachverständigen dargestellt werden muss – gerade bei der Frage der „Wirkungsweise einer Schadsoftware“.

Es sind nur wenige Zeilen, die erst im Umkehrschluss deutlich machen, dass Strafgerichte jedenfalls derzeit recht freie Hand bei dem Umgang mit IT-Sachverständigen haben. Es dürfte nicht allzu lange dauern, bis erste Kriterien entwickelt werden, an Hand derer ein Gericht sich in seinem Urteil mit einem IT-Sachverständigengutachten auseinander zu setzen hat. Insgesamt zeigt diese Entscheidung (die ich gesondert noch weiter besprechen werde), allerdings dass man sich auf dünnem Boden in Deutschland bewegt, wenn etwa pauschale Abzüge bei der Schätzung der Anzahl von Geschädigten in IT-Strafsachen mit Schadsoftware ermöglicht werden.

IT-Forensic: osTriage 2

Ich konnte erstmals beim Live-Einsatz der von Ermittlungsbehörden genutzten Software „osTriage“ im Rahmen einer Durchsuchungsmaßnahme dabei sein. Die Software ist praktisch auf einem USB-Stick installiert, kann von dort gestartet werden und analysiert ein laufendes Windows-System. In Österreich gab es hinsichtlich dieser Software eine gewisse Aufregung.

In der praktischen Verwendung stellt sich die Software recht unaufgeregt dar: Es scheint sich in erster Linie um ein Reporting-Tool zu handeln, das auf vorhandene Systeminformationen zurückgreift und diese strukturiert aufbereitet. So beispielsweise in einem Windows-System die Prefetch-Dateien, aus denen die Ermittler dann versuchen Rückschlüsse auf ausgeführte Software zu ziehen. Die Software soweit ich sie erlebt habe war übrigens nicht dazu bestimmt ein Image des Systems zu erstellen, sondern am Ende wird ein „Report“ erstellt, der dann gespeichert wird. Insgesamt stellte es sich mir als Werkzeug dar, dass die vorhandenen Informationen sehr mächtig sammelt und äusserst transparent aufbereitet, letztlich aber ganz erheblich von dem Wissen lebt, dass sein Anwender mitbringt. Die Arbeitsgeschwindigkeit war dabei durchaus beeindruckend, auf einem Standard-System dauerte das Starten der Software und Auswerten des Systems wenige Minuten, insgesamt machte es den Eindruck eines für den mobilen Einsatz vor Ort durchaus sehr tauglichen Tools, das aber jedenfalls nach erstem Eindruck keinen Verdacht hinsichtlich rechtswidriger Möglichkeiten geweckt hat.

Zivilprozess: Schadensschätzung des Richters kann an Hand von Internetrecherche erfolgen

Das Oberlandesgericht Köln (1 W 6/16 – Vorinstanz Landgericht Aachen, 7 O 471/15) hat klargestellt, dass der Schätzung eines Mindestschadens als Schätzgrundlage entsprechend §287 ZPO auch Tatsachen zugrundegelegt werden können, die als Ergebnis einer Internetrecherche des Gerichts ermittelt wurden:
Zivilprozess: Schadensschätzung des Richters kann an Hand von Internetrecherche erfolgen weiterlesen