Rechtsanwalt Henrik Becker Monday, September 6, 2010
Impressum

 

Risiken und Herausforderungen

Zu Beginn einer Untersuchung stehen Sie häufig vor der Aufgabe, eine Kopie einer Festplatte anzulegen, mit der Sie im Rahmen der Untersuchung arbeiten wollen.

Diese Aufgabe erscheint auf den ersten Blick trivial. Doch beim genauer Überlegung stellen Sie fest, daß hier doch die ein oder andere Fehlerquelle lauert. Vor allem der unbedachte Zugriff auf die beweiserhebliche Festplatte kann jede weitere Mühe und damit die Erfolgsaussichten Ihrer Ermittlungen auf einen Schlag vernichten. Beachten Sie daher: Sollen die gewonnenen Daten gerichtsverwertbar und beweiserheblich aufgenommen werden, so müssen zwingend bestimmte Kriterien erfüllt werden.

Einige Beispiele:

Grundsätzlich sind Rechner, die im laufenden Betrieb angetroffen werden, nicht herunter zu fahren. Vielmehr sollten Sie ad-hoc und ohne Umschweife vom Stromnetz getrennt werden - bei Laptops ist der Akku auszubauen -, um die weitere Ausführung von Programmen und Prozessen zu beenden und ggf. vorhandene logische Bomben nicht auszuführen. ACHTUNG - Bei Serversystemen besteht die Gefahr der Beschädigung bei aprupter Trennung von der Stromzufuhr. Hier sollte über das "Ziehen" der Hot-Plug-Systeme nachgedacht werden.

Sie müssen sicherstellen, daß keine Zeit- und Datumsangaben der Dateien auf dem Speichermedium verändert werden.

Keinesfalls dürfen Dateiinhalte verändert oder beschnitten werden. Nur die gesamte Platte mit allen Daten in ihrer vollen Datenintegrität kann taugliches Beweismittel für einen Prozess sein.

Sind Sie tatsächlich in der Lage, in Protokoll über jeden (!) Arbeitsschritt zu führen, den Sie im Rahmen der Analyse vornehmen? Dieses Protokoll muß so beschaffen sein, daß ein Dritter Ihre Untersuchung nachvollziehen kann und zu gleichen Ergebnissen kommt.

Beachten Sie, daß ein PC heute fast immer Teil eines Netzwerkes sind und so in Interaktion mit anderen Systemen stehen. Denken Sie an die Folgen Ihres Handelns auch für andere Rechner bzw. für das gesamte Netzwerk Ihrer Organisation.

Diese Beispiele sollen verdeutlichen, daß das Vorgehen nicht ohne Risiko für den eigenen Erfolg ist. Beschäftigen Sie sich rechtzeitig vor dem Ernstfall mit diesem Themen, um in der Eile der Erstreaktion keinen Fehler zu machen.

::: Print-Version  :::

 

Forensik Blog

HenrikBecker.de

Dig.Forensik

Grundlagen

Risiken

Erstreaktion Computer und Server

Erstreaktion andere Hardware

Beweiserlangung und Mitbestimmung

Daten sicher loeschen

Forensik Tools

Forensik Toolkits

Sonstige Tools

Datenschutz

Wirtschaftskriminalitaet

Spionage

Referententaetigkeit

Security

Text

J-Pilot

Scripting

Links

Privates Blog



My status

Powered by Linux

Made with Emacs

Powered by PHP

Powered by Apache

If you like this fine website you may want to say Thank you! or Good job! Thank you!