Forensische Informatik: Datensicherung von problematischen Asservaten
Forensische Informatik: Datensicherung von problematischen Asservaten
Forensische Informatik ist die Anwendung wissenschaftlicher Methoden der Informatik zur Beantwortung von Fragen des Rechtssystems. Diese Methoden kommen regelmäßig zum Einsatz, wenn an Tatorten Computer oder digitale Speichermedien gesichert werden, um etwa ein Alibi zu prüfen oder Hacking-Angriffe zu untersuchen. Im Fokus der forensischen Informatik stehen also nicht physische Spuren wie Fingerabdrücke oder Reifenspuren sondern digitale Spuren. Dies sind Spuren, die auf Computersystemen verarbeitet wurden oder gespeichert sind.
Die digital-forensische Untersuchung eines Asservates wie beispielsweise einem beschlagnahmten Datenträger geschieht in der Regel in zwei Schritten. Zunächst werden die Spuren im Rahmen einer Datenakquise gesichert. Anschließend folgt die Datenanalyse mit forensischen Untersuchungsprogrammen. Je nach Speichermedium kann eine Datenakquise auch direkt auf der Hardware erfolgen und verbindet bei diesem Schritt physische und digitale Spuren. Denn an der Hardware lassen sich oft auch physische Spuren wie beispielsweise Fingerabdrücke finden.
Da ohne eine erfolgreiche Akquise eine Analyse der Daten nicht oder nur teilweise erfolgen kann, ist diese für die forensische Informatik von essentieller Bedeutung. Die dabei angewendeten Methoden ähneln dabei denen, die auch bei der professionellen Datenrettung angewendet werden. In der Praxis steht die forensische Datenakquise vor unterschiedlichen Herausforderungen. Ist beispielsweise bei einem modernen Smartphone die Verschlüsselung der Daten aktiviert, wird für die Analyse der entsprechende Schlüssel benötigt. Weiterhin können (absichtliche) Beschädigungen der Speichermedien die erfolgreiche Datenakquise erschweren oder verhindern.
Beschädigungen durch Beschuss
Bei der Arbeit von Ermittlungsbehörden treten immer wieder beschädigte Geräte auf. Die Beschädigungen sind teilweise ungewöhnlicher Natur. Im Rahmen einer Kooperation mit dem Beschussamt München konnten wir im Februar 2025 Beschädigungen durch Beschuss nachbilden und die Auswirkungen dieser Schäden auf die Datenakquise untersuchen. Im Ergebnis konnten genau dann Daten ausgelesen werden, wenn das Speichermedium (in der Regel ein Speicherchip) nicht exakt getroffen wurde. Nachfolgend sind einige Beispiele für die im Rahmen dieser Untersuchung beschossenen Elektrogeräte dargestellt.
Bei dem links abgebildeten Smartphone handelt es sich um ein Samsung Galaxy S6 mit einem Durchschuss. Es sind jeweils die Vorder- und Rückseite abgebildet. Die Vorderseite weist hierbei im Vergleich mit der Rückseite weniger Beschädigungen auf, da sich auf dieser Seite der Einschuss befindet. Am Ausschuss auf der Rückseite ist deutlich erkennbar, dass die Platine des Smartphones nicht nur im Bereich des direkten Schusskanals beschädigt wurde, sondern aufgrund der äußeren Krafteinwirkung weiterreichende Beschädigungen aufweist. Bei dem vorliegenden Smartphone und gegebener Beschädigung ist eine vollständige Datenakquise unwahrscheinlich, da die Platine im Bereich des Speichermediums, einem eMMC, gebrochen ist und eine Beschädigung dessen nicht ausgeschlossen werden kann.
Die rechts abgebildete externe Festplatte hat im Gegensatz zu dem Smartphone keinen Durchschuss. Allerdings hat sich das Gehäuse auf der Rückseite stark verformt und eine Beule ohne Riss gebildet. Durch die Abstände zwischen den einzelnen Schichten des Gehäuses und der HDD selbst konnte das eindringende Geschoss seine kinetische Energie an die Schichten abgeben ohne diese alle zu durchschlagen und das Geschoss bleibt im Gehäuse der Festplatte zurück. Die Vorderseite mit dem Einschuss weist bis auf ein rundes Einschussloch keine weiteren Beschädigungen auf. Bereits nach kurzer in Augenscheinnahme lässt sich feststellen, dass die Platten der HDD durchschlagen wurden und zersplittert sind.
Zur Visualisierung des Versuchsaufbaus und dessen Durchführung ist nachfolgend ein Video der Versuchsdurchführung eingebettet. Auf der rechten Seite des Videos ist die Vorderansicht und auf der linken Seite die Rückansicht des jeweiligen Asservats dargestellt. Der linke Stream wurde mit 240 Bildern die Sekunde und der rechte Stream mit 100 Bildern die Sekunde aufgezeichnet. Aufgrund der unterschiedlichen Aufnahmegeschwindigkeiten erfolgt der Aufprall des Geschosses auf das jeweilige elektronische Gerät zuerst im rechts dargestellten Bildbereich.