Ein „Hashwert“ spielt in der digitalen Forensik, im Bereich der Dateien, eine erhebliche Bedeutung. Der Hashwert wird durch eine Hashfunktion erzeugt und ist eine
„Abbildung, die eine große Eingabemenge (die Schlüssel) auf eine kleinere Zielmenge (die Hashwerte) abbildet“
Wikipedia zur Hashfunktion
Entgegen einer verbreiteten Handhabe in der Praxis sollte der Hashwert im Gerichtssaal nicht ohne Hinterfragen hingenommen werden.
Hashwert weiterlesenUnter IT-Forensik ist wohl noch am ehesten ein methodisches Vorgehen zur Aufklärung von Straftaten unter Verwendung von IT-Systemen zu verstehen (so die „Definition“ durch das BSI, siehe im BSI-Leitfaden).
Welche forensischen Softwareprodukte werden in Deutschland verwendet? Ich habe derzeit Kenntnis von diesen Programmen, die zur Aufklärung von Cybercrime eingesetzt werden (die Liste basiert auf meinen eigenen Eindrücken und einer Mitteilung der Bundesregierung, es ist soll auf keinen Fall eine abschliessende Übersicht über Forensiksoftware insgesamt sein!):
Soweit man immer wieder von geplanten Staatstrojanern liest ist mir derzeit kein aktueller Sachstand eines in Deutschland einsatzbereiten Trojaners bekannt. Mit Stand Januar 2019 wurde im Bundestag (Drucksache 19/6828) zuletzt bekannt gegeben, dass eine geplante Aufstockung von Mitteln zur Stärkung von „Entschlüsselungskapazitäten“ bei Europol nach Kenntnis der Bundesregierung nur die forensische Entschlüsselung von sichergestellten elektronischen Beweismitteln beträfe.
Die Software „X-Ways Forensics“ ist jedenfalls nach meiner Wahrnehmung der de-Facto -Standard bei digitalen Ermittlungsmaßnahmen der Polizei. Hierbei handelt es sich um ein „forensisches Datensicherungstool“, das in der Praxis so verwendet wird: Die Festplatte wird mit einem „Writeblocker“ versehen und dann an den Polizeirechner angeschlossen, so dass ein vollständiges Image erstellt werden kann, dieses kann dann später mit XWAYS analysiert werden.
X-Ways Forensics weiterlesenEuropäische e-Evidence-Verordnung (auch: Europäische Herausgabeanordnung): Die EU hat Schritte zur Verbesserung des grenzüberschreitenden Zugangs zu elektronischen Beweismitteln unternommen, indem sie die rechtlichen Rahmenbedingungen dafür schafft, dass gerichtliche Anordnungen direkt an Diensteanbieter in anderen Mitgliedstaaten gerichtet werden können.
Europäische e-Evidence-Verordnung: Grenzüberschreitender Zugang zu elektronischen Beweismitteln weiterlesenDann doch mit einiger Überraschung muss ich beim Bundesgerichtshof (1 StR 412/16) nachlesen, wie blind man in IT-Strafsachen den Ausführungen von Sachverständigen folgen darf:
Die Wirkungsweise der vom Computernutzer unbewusst installierten Schadsoftware hat das Landgericht auf der Grundlage der nachvollziehbar dargelegten Erläuterungen der Sachverständigen hinreichend genau festgestellt.
Das mag auf den ersten Blick wenig spektakulär erscheinen, allerdings muss man dazu wissen, dass der Bundesgerichtshof für Sachverständigengutachten, die bei bedeutenden Fragen hinzugezogen werden – insbesondere wenn es um DNA-Bewertungen aber auch forensisch-psychiatrische Fragen geht – von den Kammern erwartet, dass man sich im Urteil mit den Gutachten auseinandersetzt. Insbesondere gibt es bestimmte Kriterien, an Hand derer das Gutachten im Urteil darzustellen ist. Dass man hier nun mit einem Satz dem Sachverständigen schlicht folgt und der BGH dazu sonst nichts anzumerken hat – insbesondere keine Kriterien für die Instanzrechtsprechung – ist bei einer schuldrelevanten Frage dann doch überraschend. Safferling in NStZ 7/2018 spricht auf Seite 405 vollkommen zu Recht von einem „vorschnellen Folgen“ der Ausführungen des Sachverständigen. Deutlich wird dies, wenn man sich vor Augen hält, dass nicht einmal ein Satz zur Methodik des Sachverständigen dargestellt werden muss – gerade bei der Frage der „Wirkungsweise einer Schadsoftware“.
Es sind nur wenige Zeilen, die erst im Umkehrschluss deutlich machen, dass Strafgerichte jedenfalls derzeit recht freie Hand bei dem Umgang mit IT-Sachverständigen haben. Es dürfte nicht allzu lange dauern, bis erste Kriterien entwickelt werden, an Hand derer ein Gericht sich in seinem Urteil mit einem IT-Sachverständigengutachten auseinander zu setzen hat. Insgesamt zeigt diese Entscheidung (die ich gesondert noch weiter besprechen werde), allerdings dass man sich auf dünnem Boden in Deutschland bewegt, wenn etwa pauschale Abzüge bei der Schätzung der Anzahl von Geschädigten in IT-Strafsachen mit Schadsoftware ermöglicht werden.
Ich konnte erstmals beim Live-Einsatz der von Ermittlungsbehörden genutzten Software „osTriage“ im Rahmen einer Durchsuchungsmaßnahme dabei sein. Die Software ist praktisch auf einem USB-Stick installiert, kann von dort gestartet werden und analysiert ein laufendes Windows-System. In Österreich gab es hinsichtlich dieser Software eine gewisse Aufregung.
In der praktischen Verwendung stellt sich die Software recht unaufgeregt dar: Es scheint sich in erster Linie um ein Reporting-Tool zu handeln, das auf vorhandene Systeminformationen zurückgreift und diese strukturiert aufbereitet. So beispielsweise in einem Windows-System die Prefetch-Dateien, aus denen die Ermittler dann versuchen Rückschlüsse auf ausgeführte Software zu ziehen. Die Software soweit ich sie erlebt habe war übrigens nicht dazu bestimmt ein Image des Systems zu erstellen, sondern am Ende wird ein „Report“ erstellt, der dann gespeichert wird. Insgesamt stellte es sich mir als Werkzeug dar, dass die vorhandenen Informationen sehr mächtig sammelt und äusserst transparent aufbereitet, letztlich aber ganz erheblich von dem Wissen lebt, dass sein Anwender mitbringt. Die Arbeitsgeschwindigkeit war dabei durchaus beeindruckend, auf einem Standard-System dauerte das Starten der Software und Auswerten des Systems wenige Minuten, insgesamt machte es den Eindruck eines für den mobilen Einsatz vor Ort durchaus sehr tauglichen Tools, das aber jedenfalls nach erstem Eindruck keinen Verdacht hinsichtlich rechtswidriger Möglichkeiten geweckt hat.
Immer wieder für gewisse Nervosität sorgt die Frage, ob ein iPhone oder iPad nun „sicher“ ist, nachdem dieses von Ermittlungsbehörden beschlagnahmt wurde. Spätestens seit dem Februar 2017, in dem ein Bericht über die Nutzung von Cellebrite-Hardware durch deutsche Behörden endgültig klar wurde, ist das Fragezeichen noch Grösse geworden. Nun muss man nicht erst an Cellebrite denken, wo ohnehin der Verdacht im Raum steht ob es letztlich um Jailbreak-Techniken geht – die Angriffsszenarien auf ein iPhone sind mannigfaltig, wenn auch im Detail eher teuer zu bewerkstelligen.
Hinweis: Diesen Beitrag habe ich im Hinblick auf erfolgreiche Zugriffe im Juli 2019 aktualisiert, er wird fortlaufend weiter gepflegt.
IT-Forensik: Zugriff von Ermittlungsbehörden auf iPhones weiterlesenDas Oberlandesgericht Köln (1 W 6/16 – Vorinstanz Landgericht Aachen, 7 O 471/15) hat klargestellt, dass der Schätzung eines Mindestschadens als Schätzgrundlage entsprechend §287 ZPO auch Tatsachen zugrundegelegt werden können, die als Ergebnis einer Internetrecherche des Gerichts ermittelt wurden:
Zivilprozess: Schadensschätzung des Richters kann an Hand von Internetrecherche erfolgen weiterlesen
Der Bundesgerichtshof (V ZR 206/14) hat entschieden, dass alleine durch das Bespielen eines zum Aufnehmen von Tondokumenten geeigneten und bestimmten Tonbandes keine neue Sache im Sinne des § 950 Abs. 1 BGB hergestellt wird. Das ist in vielfacher Hinsicht spannend – um den Bedeutungsgehalt zu verstehen, muss man sich klarmachen, dass man der Auffassung sein kann dadurch, dass Inhalte eines Gesprächs mit einem Tonbandgerät aufgezeichnet werden, der Sprecher nach § 950 Abs. 1 BGB Eigentümer der jeweiligen Tonbänder geworden sein könnte. Nach aktuellem Sachenrecht wäre dies anzunehmen, wenn durch die Aufzeichnung der Gespräche ist eine neue Sache entstanden ist.
Der BGH tritt dem hier entgegen, das Recht an der Sache folgt also nicht dem Recht an dem Inhalt der Sache.
Eigentum an Datenträger durch Speicherung von Daten weiterlesenSeit einiger Zeit muss ich feststellen, dass die ohnehin recht lange zeitliche Dauer bei der Auswertung von beschlagnahmter Hardware durch Ermittlungsbehörden noch weiter angestiegen ist. Während man früher von 6 Monaten bis zu 12 Monaten ausgehen konnte, hat sich dies rapide verschlechtert:
Es zeigt sich im gesamtbild, dass man aktuell bei der Auswertung von Hardware ganz erhebliche Zeit einplanen muss. Jedenfalls wo der Mandant nicht in Haft ist, läuft die Uhr insoweit eher für als gegen den Mandanten je länger es dauert. Dabei muss bei unberechtigter Beschlagnahme dann geprüft werden, ob eine Entschädigung für veraltete zurückgegebene Hardware zu leisten ist.
