Inhaltsverzeichnis - Der IT Forensiker in Theorie und Praxis

SV-IT – Computer-Forensik und IT-Forensic

1 Grundlagen 15

1.1 Das Internet 15

1.2 Bedeutung der Computer-Forensik 17

1.3 Begriff Computer / IT-Forensik 19

1.4 Art und Umfang forensischer Tätigkeit 19

1.5 Ziel der Computer-Forensik 20

1.6 Computerkriminalität 22

1.7 Kenntnisse und Tätigkeitsfelder 23

1.8 Grundsätze forensischer Arbeitsweise 24

1.9 Ziele der Forensik-Analyse 25

2 Der Auftrag 27

2.1 Auftragserteilung 27

2.1.1 Allgemeines 27
2.1.2 Dienstvertrag oder Werkvertrag 27
2.1.3 Der Werkbegriff beim Werkvertrag 27
2.1.4 Privater Auftraggeber 28
2.1.5 Behördlicher Auftraggeber 29

2.2 Übergabe / Übernahme 30

2.3 Protokollierung 30

2.4 Kontrolle 31

3 Sicherstellung vor Ort 33

3.1 Grundsätze 33

3.2 Daten im Arbeitsspeicher 35

3.3 Verhaltensweise vor Ort 35

3.4 Datumstempel / Zeitstempel 36

3.5 JA oder NEIN, das ist hier die Frage 36

3.6 Zustand der Rechner und deren Ausstattung 37

3.7 Wert von Beweismitteln 38

4 Grundsätze in der forensischen Untersuchung 39

4.1 Systemplattform 39

4.2 Arbeitsumgebung 39

4.3 Akquirierungsumgebung 39

4.4 Auswertungsumgebung 41

4.5 Büroumgebung 41

4.6 Internetanbindung 41

4.7 Auswertung 42

4.8 Beweissicherung 43

4.9 Analyse 43

4.10 Schwierigkeiten bei der Auswertung 44

4.11 Laborumgebung 44

4.12 Gutachtenerstellung 45

4.12.1 Grundsätze für die Formulierung 45
4.12.2 Pflichtmäßige Anforderungen 46
4.12.3 Struktur und Aufbau des Gutachtens 48
4.12.4 Deckblatt 51
4.12.5 Kopf- und Fußzeilen 51
4.12.6 Layout 51
4.12.7 Inhaltsverzeichnis 52
4.12.8 Umstände des Gutachtens 52
4.12.9 Darlegung der Vorgehensweise und der Erkenntnisquellen 52
4.12.10 Technische Einführung 52
4.12.11 Methodik 53
4.12.12 Darstellung des SOLL-Zustandes 54
4.12.13 Sachverständige Aussagen 54
4.12.14 Sachverständige Wertermittlung 55
4.12.15 Versuche, Messungen 55
4.12.16 Ergebnis des Gutachtens 55
4.12.17 Schlussformeln 56
4.12.18 Anlagenverzeichnis 57
4.12.19 Literaturverzeichnis 57
4.12.20 Bilder 57
4.12.21 Bindung 57

5 Gerichtsverfahren 59

5.1 Rechtliche Vorschriften 59

5.2 Gerichte 60

5.3 Sonstige rechtliche Aspekte 61

6 Mobile-Forensik 63

6.1 Mobile Endgeräte: 64

6.2 Speicherkarten/ SIM-Karten 64

6.3 Computer-Forensik und IT-Forensik 65

7 Technische Begriffe und Verfahren 67

7.1 Die Festplatte 67

7.2 Der USB-Stick 69

7.2.1 Funktionsprinzip 70
7.2.2 Speichern und Lesen 71
7.2.3 Tunneleffekt 72
7.2.4 Anmerkung 72
7.2.5 Ansteuerung 72

7.3 Wichtige Techniken für den Forensiker 73

7.3.1 Write-Blocker 73
7.3.2 Forensischer Duplikatur 74
7.3.3 Das Image 75
7.3.4 Der Klon (Clone) 76
7.3.5 Der Hash-Wert 77
7.3.6 Die Log-Datei 78
7.3.7 Beispiel einer Logdatei 79

7.4 Ablaufplan für die praktische Anwendungen 80

8 IT-Forensik und private Sicherheitsdienstleistungen 81

8.1 Sicherheit und Freiheit - ein Spannungsverhältnis 81

8.2 Der Staat und die bürgerliche Friedenspflicht 81

8.3 Der private Gewaltverzicht – Eine Idee 81

8.4 Konstitutionelle Gewährleistung individueller Freiheit durch den Rechtsstaat84

8.5 Zwang in der Rechtswirklichkeit 85

8.6 Prinzipielles Verbot von privatem Zwang und gesetzliche Ausnahme 85

8.7 Die private IT-Forensik im Kontext der Grundrechte 86

8.8 Art. 10 GG - Brief-, Post- und Fernmeldegeheimnis 86

8.9 Art. 13 GG - Unverletzlichkeit der Wohnung 88

8.10 Allgemeines Persönlichkeitsrecht 89

8.10.1 Privatsphäre 89
8.10.2 Informationelle Selbstbestimmung 89
8.10.3 Integrität und Vertraulichkeit informationstechnischer Systeme 89

8.11 Verbotsgesetze und Pönalisierungder Verletzung von Grundrechten 90

8.12 Fazit zur privaten Zwangsanwendung durch IT-forensische Methoden 90

Schlusswort 91

Stichwortregister 93

Literatur- und Zeitschriftenempfehlung 95

Abbildungen

Abb.: 1.1 Das Web 15
Abb.: 1.2 In Großen, wie im Kleinen 17
Abb.: 1.3 IBM-PC 5150, 2 Diskettenlaufwerke mit 360 KB 17
Abb.: 1.4 Zahlreiche Auftritte 18
Abb.: 1.5 Klare Antworten geben 21
Abb.: 1.6 Asservate 24
Abb.: 1.7 Weitsicht 25
Abb.: 2.1 Das Image 28
Abb.: 2.2 Die Pflicht 29
Abb.: 2.3 Sorgfalt 30
Abb.: 2.4 Ordnung 31
Abb.: 3.1 Erfassen 33
Abb.: 3.2 Zur Beachtung 33
Abb.: 3.3 Die Bestecke 34
Abb.: 3.4 Zur Untersuchung 37
Abb.: 3.5 Tieferes Verstehen 38
Abb.: 4.1 Hashfunktion und Tools 40
Abb.: 4.2 Auswechselbare Systeme 41
Abb.: 4.3 Den Überblick bewahren 42
Abb.: 4.4 Analysieren 43
Abb.: 4.5 Drivedock 44
Abb.: 4.6 Die Umgebung im Blick 45
Abb.: 4.7 Logische Struktur des Gerichtsgutachtens 49
Abb.: 4.8 Logische Struktur des Privatgutachtens 50
Abb.: 4.9 Heißbinder 57
Abb.: 5.1 Die Rollen beim Gericht 59
Abb.: 5.2 Sitzungen von Einzelrichtern 60
Abb.: 5.3 Sitzungen von „Kleinen Kammern 60
Abb.: 5.4 Sitzungen von „Großen Kammern“. 60
Abb.: 6.1 Zugang schaffen 64
Abb.: 6.2 Auslesen 64
Abb.: 6.3 Mobile Untersuchung 65
Abb.: 6.4 Der gedankliche Teil 66
Abb.: 6.5 Der praktische Teil 66
Abb.: 7.1 Festplatten 67
Abb.: 7.2 Der Stick 69
Abb.: 7.3 Geöffneter USB-Stick –der Flashspeicher (l); Mikrocontroller (r) 70
Abb.: 7.4 Speicherung im Stick 71
Abb.: 7.5 Arbeitsweise 72
Abb.: 7.6 Blocker 74
Abb.: 7.7 Der Dublicator 74
Abb.: 7.8 Logdatei 79
Abb.: 7.9 Regellos arbeiten? 80
Abb.: 8.1 vorher, nachher 82
Abb.: 8.2 Der Kuss von Gerechtigkeit und Friede. 83