Rechner bleiben da
Aus einem Durchsuchungsbeschluss:
Handelt es sich dabei um (fest eingebaute) Festplatten, kann die ansonsten erforderliche Beschlagnahme des gesamten Rechners in der Weise durch den Beschuldigten abgewendet werden, dass er sich mit der Kopie der entsprechenden Dateien auf externe Datenträger … einverstanden erklärt.
Dieser Satz hat verhindert, dass ein ganzer Betrieb lahm gelegt wird.
Im Rahmen der Verhältnismäßigkeit ist das auch völlig ausreichend. Was will die StA mit überzähligen Notebooks, CPUs, Monitoren etc.? Das Zeug gammelt dann doch nur sinnlos in der Asservatenkammer herum.
Naja, in schwerwiegenden Fällen wird sich das hoffentlich nur durch Ausbau der Platte abwenden lassen… wie will man sonst sicherstellen, daß man wirklich alles an Daten auf dem Datenträger mitnimmt?
Nr. 2 hat recht, allerdings nur in esoterischen Fällen. Um ganz sicher zu gehen, müsste die Platte im Prinzip kopiert, das Original mitgenommen und die Kopie eingebaut werden (letzteres, um die Lahmlegung des Betriebs zu verhindern). Es gibt nämlich manchmal wohl noch die Möglichkeit, sogar schon einmalig überschriebene Daten wiederherzustellen, allerdings meines Erachtens nur um den Preis der Zerstörung des Datenträgers, und einer Analyse, deren Kosten vier- bis fünfstellig sind.
Leider wird meistens die gesamte Hardware eingepackt. Dann dauert es Monate, bis die Sachen ausgewertet sind. Allerdings zeigen die Gerichte auch mal Verständnis und ordnen an: Entweder sind die Daten in 14 Tagen gesichtet, oder die Beweismittel gehen zurück an den Beschuldigten. Einmal haben sie die Computer dann wirklich zurückgegeben, ohne sie zu untersuchen. Denn plötzlich kam die Einsicht, dass es doch gar nicht drauf ankommt, was im Computer gespeichert ist.
Fachmännisch würde man nicht die Dateien kopieren, sondern die Platte an sich spiegeln bzw. ein Image erzeugen – da entgehen dann auch versteckte Dateien nicht der Untersuchung.
Gut, theoretisch könnte man die Daten hardwaremäßig "verdongeln" und so ein Auslesen ohne den Original-PC bzw. Teilkomponenten blockieren – dabei ist man aber selbst mit dem Risiko des Totalverlustes behaftet. Der kluge Bürger verschlüsselt gleich die ganze Platte… [*seufz* Wenn der Aufwand und der innere Schweinehund nicht wären]
Die Durchsuchnungbeamten haben sicher eine Knoppix-CD dabei, um mit "dd" eine bitgetreue Kopie der eingebauten Platte zu erstellen. Bei dieser bleibt das Ergebnis bootfähig und gelöschte und nicht überschriebene Dateien können später so wiederhergestellt werden, als läge die verdächtige Platte physikalisch vor.
Ich habe häufig gehört, dass die Mitnahme der gesamten EDV-Anlage damit begründet wird, dass Tatwerkzeuge eingezogen werden sollen. War hier (Passau!) jedenfalls so, als die örtliche Antifa wegen Bildung einer kriminellen Vereinigung ausgehebelt werden sollte. IMHO nimmt das eine Verurteilung vorweg. Der Verdächtige darf erstmal in neue Hardware investieren und bekommt vielleicht nach zwei oder drei Jahren längst nicht mehr produktiv einsetzbare Geräte zurück.
Mich würde eine Durchsuchung mit Einziehung der gesamten EDV an die Grenze des wirtschaftlichen Ruins bringen.
Oft werden die Daten dann aber auch von Dienstleistern analysiert so dass auch verschlüsselte Daten auf lange Sicht nicht ein 100 %iger Schutz sind. Fraglich ist aber, ob die Beamten zu einer Imageerstellung die entsprechenden Mittel zur Hand haben. Es gibt natürlich auch immer wieder Geschichten die davon berichten, dass die Clients abtransportiert wurden der Server aber vor Ort geblieben ist….
@5: kommt darauf an, womit man ein Image zieht. Programme wie Ghost oder "ntfsclone" kennen das Dateisystem und sichern nur belegte Blöcke. "dd" oder "dd_rescue" sind Tools der Wahl.
Eine Spiegelung der Festplatten wäre möglich. Aber sobald nicht mit Standard-Festplatten gearbeitet wird, sind auch deren "Experten" wohl überfordert.
Man darf dann gegen Entgelt und wochenlangem Warten nach Angabe von genauen Dateinamen einige Daten auf CD gebrannt erhalten.
Ich wollte mal einen Rechner, bzw. Peripherie zurückerhalten, da es Standardgeräte waren oder eine Strafbarkeit für einzelne Teile nicht konkretisiert war (s/w-Laserdrucker bei Urheberverletzung von Playstation-CDs). Na, der PC wurde sowieso nur auf Verdacht mitgenommen, weil jemand gebrannte Playstation-CD hat liegenlassen.
Aber das beirrt die Behörden nicht, die behalten ersteinmal alles, wie es beliebt. Ein Kopieren der Festplatte und Herausgabe der Hardware wurde immer abgelehnt.
Also liegt es wohl entweder an den Beamten/örtliche Unterschieden oder gibt es inzwischen genug Rechtssprechung, dass man ein Anspruch darauf hat?
Es kann ja auch nicht sein, dass illegale Daten gesucht werden, die dann beim Beschuldigten verbleiben könnten.
Oder es sehr genau nehmen, mitteilen, dass man persönliche Daten/Tagebuch/Familienbriefe gespeichert hat, so dass eine Untersuchung nur im Beisein des StA gestattet ist?
@7: "Oft werden die Daten dann aber auch von Dienstleistern analysiert so dass auch verschlüsselte Daten auf lange Sicht nicht ein 100 %iger Schutz sind."
Das Märchen wird gerne erzählt. Ein Schlüssel der lang genug ist und ein sauberer Algorithmus sorgen dafür, dass eine Verschlüsselung praktisch unknackbar ist.
Was die Datenretter oft tatsächlich finden sind unverschlüsselte Fragmente einst verschlüsselter Dateien im SWAP.
Lurker: Wenn man ein Image erstellt, kopiert man Daten. AFAIK soll das zumindest bei einigen Polizeidienststellen gängige Praxis sein.
@7
"Oft werden die Daten dann aber auch von Dienstleistern analysiert so dass auch verschlüsselte Daten auf lange Sicht nicht ein 100 %iger Schutz sind."
Ich will ja gar nicht vortäuschen, daß ich viel Ahnung hätte, aber eine ordentliche Verschlüsslung der ganzen Platte und ein ordentliches Passwort sollten zumindest vor dem unerwünschten Auslesen der Daten durch andere auch auf sehr, sehr lange Sicht schützen.
Nun ja, die Festplatte in ihrer physikalischen Form ist für die Behörden ggf. auch von Bedeutung.
Dann wird nämlich ein Datenretter beauftragt, der Dir auch gelöschte und überschriebene Daten wiederherstellen kann.
Und die werden beim Imaging nicht unbedingt erfasst, weil der Lesekopf u.U. nicht empfindlich genug ist.
Das geht zwar nicht immer und immer vollständig, aber was glaubt ihr, warum militärisch sicheres Löschen erst ab einigen Überschreibvorgängen angenommen wird?
Deshalb empfehle ich auch immer, keine gebrauchten Festplatten zu verkaufen/verschenken/etc.
Das sollte bei Unternehmen sowieso selbstverständlich sein.
Daten sind oft wertvoller, als mancher denkt.
@13: ,,Und die werden beim Imaging nicht unbedingt erfasst, weil der Lesekopf u.U. nicht empfindlich genug ist.''
Diese Aussage war zu Zeiten von 7 Zoll-Disketten absolut korrekt. Damals war es möglich, anhand des Restmagnetismus, beziehungsweise kleiner Unterschiede in der Stärke eines Feldes zu bestimmen, ob das Bit drunter einen O oder I war.
Auch wurden bei einer Low-Level-Formatierung die Sektor- und Spur-Informationen neu geschrieben, was oft tatsächlich alte Daten in Randbereichen unbeschädigt zurückgelassen hat.
Heutzutage sind die Strukturen von Festplatten so klein, dass keine Möglichkeit mehr existiert, um anhand des Restmagnetismus überschriebene Bytes zu rekonstruieren. Kann sein, dass man auf heutigen Platten in zehn oder zwanzig Jahren tatsächlich wieder Differenzen in den Feldern sichtbar machen kann. Wird aber schwierig, weil Störungen durch andere Felder relativ groß sind.
Low-Level formatiert werden nur noch Disketten. Bei Festplatten ist eine Low-Level-Formatierung mit den Tools der Hersteller heutzutage nur noch die Markierung defekter Blöcke (in einem kleinen Flash-ROM auf der Plattenelektronik oder auf einer versteckten Spur).
@10: Wieso Märchen? Wieso sind Daten demnächst knackbar, wozu heute theoretisch 10 Mio. Jahre benötigt würden?
Klar ist, dass bei zu kleiner Passwortlänge oder falscher Verschlüsselung (SWAP, temp. Dateien nicht beachtet, gelöschte Bereiche, Dateireste, etc.) doch noch Daten ersichtlich werden könnten.
Das BSI hat vor ca. 3 Jahren nach meinen Kenntnissen bis zu einer bestimmten Passwortlänge Zeichen Brute-Force-Attacken im privaten Bereich durchgeführt, wozu mehrere Monate veranschlagt wurden. Rein rechnerisch wäre ich da noch im Stunden-Bereich nach eigenen Berechnungen.
Sicherlich auch abhängig vom Delikt. Bei Terrorgefahr lassen die den Cluster voll laufen und kommen vielleicht auf ein paar Stellen mehr.
75^12 sind schon verdammt viele Kombinationen (2x Alphabet + 10 Ziffern + Sonderzeichen).
Jede weitere Stelle vervielfacht die Zeit um ca. 75, je nachdem, wieviele Sonderzeichen mitgetestet werden. Da kann man sich ausmalen, dass hier nicht explosionsartig lange Passwörter geknackt werden können.
Bei unbekannten Verschlüsselungsverfahren dürfte es noch schwieriger werden.
Militärisch sicheres Löschen bei der US-Armee ist nicht das zig-fache Überschreiben der Platte, gängie Praxis bei denen wenn nicht geschlampt wird ist die Sprengung der Festplatte. Ich kann mir vorstellen, dass das in anderen Ländern genauso ist.
@10: Grds. ist es sicherlich eine Frage des betriebenen Aufwandes und des tatsächlichen Nutzen bzw. der erwartbaren Verfügbarkeit. Es gibt sicherlich einige Institute die sich hierauf spezialisiert haben und auch die technischen Mittel haben. Die Frage ist natürlich ob eine Beauftragung in diesen Bereich immer erfolgt. Allerdings kann man bei anständiger Verschlüsselung und aufwändigen Passwort hier sicher den Aufwand entsprechend hoch halten….
sorry, zu schnell die Sendetaste gedrückt. Meine Erfahrungen in diesen Bereich beruhen jedoch nicht auf eigene Erfahrungen sondern auf Arbeitsberichten einer Bekannten, die in einen solchen Institut eine zeitlang während der Ausbildung im Polizeidienst gearbeitet hatte.
Bei der Wahl von exotischen Dateisystemen und entsprechenden Algorithmen ist hier aber sicher ein erheblich größerer Aufwand als bei einer NTFS Verschlüßelung zu sehen. Wobei selbst Ontrack zugibt, dass die Wiederherstellung von verschlüsselten Daten bei einer 128 Bit Verschlüsselung sehr zeitaufwändig ist…
Siehe auch:
http://www.ontrack.de/datenrettung-faq/verschluesselte-daten.aspx
Die Polizeibehörden benutzen gerne Encase – http://www.encase.com/ – um Festplatten und andere Datenträger bitgenau zu kopieren. Mit einem portablen Computer kann das vor Ort geschehen, auch wenn man an einem Ausbau der Festplatte bzw. Umklemmen des Datenkabels normalerweise nicht vorbeikommt. Ein zertifizierter Writeblocker sorgt beim Kopieren dafür, dass keine Daten auf den entsprechenden Datenträger geschrieben werden kann. Was die Datenträgerformate angeht: FAT12, FAT16, FAT32, NTFS, Macintosh HFS, HFS+, Sun Solaris UFS, Linux EXT2/3, Reiser, BSD FFS, Palm, TiVo Series One and Two, AIX JFS, CDFS, Joliet, DVD, UDF and ISO 9660.
Alles weitere findet Ihr auf: http://www.encase.com/lawenforcement/ef_index.asp
@19: Was ist daran besser als am bitgetreuen Kopieren mit einem "Live-System"? Und was haben die unterstützten Dateisysteme zu sagen? Wenn jeman die Partitionstabelle überschrieben hat, komme ich um die bitgetreue Kopie der ganzen Platte nicht drumherum, achja ZFS und XFS fehlen. Und was macht die Polizei mit meinen Datensicherungs-DVDs, die roh, d.h. ohne Dateisystem mit Tarbällen beschrieben sind? Als defekt wegwerfen?
@15: Genau! Und bei einem "echt zufälligen" Schlüssel mit 4096 Bit rekapitulieren wir den Aufwand nocheinmal, wenn Quantencomputer in großer Zahl erhältlich sind. Ein paar Bit Schlüssellänge mehr führen eben schneller zu exponentiell steigendem Knackaufwand als die Rechenleistung zeigt.
Ich finde es immer wieder faszinierend, wie viele Menschen den Regierungen, dem Militär und den Geheimdiensten Tools zum Knacken von Verschlüsselungen oder Auspüren gelöschter Daten zutrauen, die uns nicht zur Verfügung stehen. Diese Dienste arbeiten mit den gleichen Werkzeugen wie jeder normale Mensch und da kommt es einfach nur auf den Sachverstand an.
Achja, zur Rechenleistung moderner Maschinen: eine Enigma-Nachricht fehlt noch:
http://www.bytereef.org/m4_project.html
@20: Öh … was verstehst Du jetzt genau unter einem Live-System? Die entsprechende Platte muss immer – wegen dem Writeblocker – vom Hostsystem abgeklemmt werden. Und Encase macht bitgenaue Images einer kompletten Platte vom ersten bis zum letzten Bit. Was die anderen von Dir genannten Medien angeht: Schau mal bei Sourceforge nach. :-)
Ich will auch in die Expertenrunde…
Beim Militär werden keine Platten gelöscht sondern in einen Degausser geschoben (http://www.ibas.com/data-erasure/degausser).
@21: Ein von CD bootfähiges Linux bspw. Im Prinzip genügt schon ein simples Knoppix (mit dem zusätzlichen Bootparameter "noswap"!), wie es jeder Computerzeitschrift beiliegt. Und: ja, die Platte kommt vorsichtshalber in ein anderes System. Bevor man irgendwas macht, setzt man die Zugriffsrechte auf die Gerätedateien der Festplatte(n) auf 400. Dann kann bequem mit "dd" oder "dd_rescue" bitweise in eine Datei ziehen.
Ich hatte schön öfters Platten zu retten — wenn die Partitionstabelle noch lesbar ist, sichert man hier natürlich eher partitionsweise. Die Images kann man nachher mit "fsck" behandeln, Loopback mounten, auf andere Datenträger kopieren… Und bei der Suche nach Dateien oder Partitionsanfängen hat man beliebig viele Möglichkeiten, weil man eine Sicherheitskopie auf nur lesbaren Datenträgern hat.
Zum Thema Verschlüsselung: Das Knacken beruht im Normalfall entweder auf einer Schwachstelle im Verschlüsselungssystem oder dem schlichten erraten des Passwortes (brute force). Der erste Ansatz wird erschwert, wenn man nicht weiß was für eine Verschlüsselung eingesetzt wird. Außerdem gibt es mehrere Systeme, bei denen (zumindest zur Zeit) keine Schwachstelle bekannt ist (z.B. AES oder Blowfish). Da bleibt nur brute force. Und wie schon mehrfach erwähnt wurde, bei entsprechend langer Schlüssellänge und schön vielen Sonderzeichen ist das doch seeeehr Zeitaufwändig. :-)
Bei den aktuell schnellen Datenleitungen kann man sich doch sicher bei Bedarf seinen Speicherplatz auf einem Server in der Karibik mieten und konstant alle Informationen dort speichern und zur aktuellen Bearbeitung jeweils auch von dort aufrufen.
Was das knacken von verschlüsselten Daten angeht, sind Wörterbuchattacken u.ä. immernoch erschreckend gut … Menschen (bzw. deren Bequemlichkeit) sind halt leider eine riesige Schwachstelle
Und dann gibt es immernoch so Tricks, wie 2 Partitionen mit je einem PW zu verschlüsseln – eine zum Vorzeigen im Ernstfall, und eine andere, auf der dann z.B. privates gesichert ist
und was das Vernichten von Daten angeht, vermisse ich zumindest das Einschmelzen der Platte oder Programme, die die Platte xxx-mal mit zufälligen Daten überschreiben (letzteres ist m.E. eher Endbenutzergeeignet ;) )
@25: Ja, das ist kein Problem. Von mir aus sogar so, dass man lokal keine Anwendungen mehr ausführt: alle Programme laufen auf dem Server, übertragen wird nur der Desktop. Gestartet wird von USB-Stick oder CD im Scheckkartenformat. Lokal ist nicht einmal eine Festplatte nötig.
Wenn die Polizei klingelt, einfach Stecker ziehen und nach dem Reboot dort weiterarbeiten, wo Sie aufgehört haben. :-)
Ernsthaft: derartige Lösungen sind gut geeignet, wenn man oft unterwegs ist und an verschiedenen Rechnern arbeiten muss ("Home Office", "Telecommuting"). Server- und Client-Software gibt es je nach Serversystem zwischen günstig und kostenlos.
@26: Das mehrfache Überschreiben mit Mustern macht:
http://dban.sourceforge.net/
Hilft allerdings nicht, wenn eine Festplattenelektronik defekt ist. Dann könnte theoretisch jemand die Elektronik einer baugleichen Platte nehmen und an meine Daten kommen. Ich nehme dann die Sänderbohrmaschine. Ich schreddere auch Dokumente auf denen meine Kontonummer steht, man weiss ja nie…
Vielleicht bin ich ja paranoid.
@Yves
AFAIK traut man Degaussern doch nicht so weit… Das kann doch nur ein Schritt sein, bevor man die HDD mechanisch vernichtet.
Kritikpunkt soll doch sein, dass man nicht weiß, ob wirklich alles gelöscht ist.
Ich dachte immer, der einfachste Weg, verschlüsselte Partitionen bzw. Container zu entschlüsseln ist die Anordnung der Beugehaft. Da wird auch der härteste Hacker weich, wenn Ali und Ahmed ihm die Seife vor die Füße werfen.
@ Alex: Wenn du Beschuldigter bist, kannst du schweigen, ohne dass dir jemand was tut oder androht. Die Daschners im Land mal ausgenommen. Es gibt gegen Beschuldigte auch keine Beugehaft.
@23: klingt fantastisch, hab ich auch schon ein paar mal gemacht und funktioniert.
Bei einer Beschlagnahme ist aber selten einer dabei, der von der Materie einen blassen Schimmer hat und eine Festplatte von einem Föhn unterscheiden könnte – geschweige denn, eine Knoppix/PartPE-CD richtig anwenden. Das sind im schlimmsten Fall normale Dorfpolizisten, die vom digitalen Behördenfunk schon überfordert wären (darum die Verzögerung … ?)
Sie werden dabei mit Sicherheit nicht dem "Expertenrat" des Beschuldigten glauben und im Zweifelsfall ist das Zeug nicht mal mehr beweiskräftig. Bei Dateien, die bei der Durchsuchung per copy&paste kopiert wurden, würde ich vor vor Gericht die Echtheit anzuzweifeln versuchen.
@30, 31
bei zeugen ist allerdings beugehaft möglich, sofern ihnen kein zeugnisverweigerungsrecht zusteht.
und die geschichte mit "ali und ahmed" hat für mich irgendwie so ein leichtes xenophobes geschmäckle. ich glaube, da ist es ziemlich egal, ob das ali und ahmed oder kurt und und jürgen sind.
@33, der keinen Namen nannte: Was soll denn das, "xenophobes geschmäckle" … ich spüre urschwäbisches Gutmenschengefasel. Ich selbst werde von genügend Menschen Ali abgekürzt und kann meinen Stammbaum sieben Generationen nach Preussen rückverfolgen. Macht mich weder xenophob noch zum Nazi. Meine Güte, sonst noch wer hier zum Stachelbeeren rasieren?
@Alex: Nur dass bei "Ali" normalerweise niemand an eine Abkürzung für "Alex" denkt. Ali und Ahmed sind türkische bzw. vorderasiatische Namen, und damit ist der Verständnishintergrund deines flotten Spruchs die Annahme, dass Türken Mithäftlinge vergewaltigen. Ich glaube dir gerne, dass du dir nichts Böses dabei gedacht hast, aber das ist nunmal das, was rüberkommt.
@Jossi: is recht, is recht, wenn's das ist, "was rüberkommt", bei dir, dann isses das halt. Am besten ergehst du dich jetzt noch in Statistiken (wichtig, Verweis auf Wikipedia nicht vergessen), dass ohnehin die meisten Vergewaltigungen in Gefängnissen von Nicht-Türken begangen werden.
Ich revidiere hiermit, in aller Öffentlichkeit, mit vollem Nachdruck, nicht zu vergessen auch natürlich mit vollem Ernst meine Aussage von #30 und bitte darum, dass der letzte Satz folgendermaßen geändert wird:
"Da wird auch der härteste Hacker weich, wenn $NAME1 und $NAME2 ihm $GEGENSTAND vor die Füße werfen." wobei $NAME1 und $NAME2 bitte mit einem beliebigen Namen aus http://www.namens-lexikon.de zu ersetzen sind (bitte nach eigenem Weltverständnis, Geschmack und Gerechtigkeitssinn wählen). $GEGENSTAND sei mit einem beliebigen Duschutensil zu ersetzen, schließlich sollen auch die Seifenallergiker nicht diskriminiert werden. Nicht zu vergessen, die Hacker-Diskussion, da wird sicherlich auch noch wer was zu beitragen. Hr. Vetter, ich gehe davon aus, dass Sie dieser wertvollen Diskussion auch sicherlich weiter Raum schenken mögen.
Ich arbeite an einer Datenrettungsfirm. Und wir sagen diesies:
Die Wiederherstellung von Daten, die durch mechanische und elektromagnetische Defekte, Bedienungsfehler, Viren, Naturkatastrophen oder Computerkriminalität beschädigt oder zerstört worden sind, ist eine Kernkompetenz des Unternehmens. Dabei gelingt es den Experten von RSE Datenrettung, in nahezu 90% Prozent aller Fälle – unabhängig vom Speichermedium und dem eingesetzten Betriebssystem – alle wichtigen Kundendaten wiederherzustellen. Guck mal hier: http://www.rsedatenrettung.de
Um die Unversehrtheit des Originals zu gewährleisten, wird vor Beginn der Auswertung, mit speziellen forensischen Software-Tools, ein 1:1-Abbild des Datenträgers hergestellt. Dieses Abbild wird dann ausschließlich für die Untersuchung herangezogen. Diese Beweissicherheit ist die Vorrausetzung wenn die Untersuchungs Ergebnisse in Form eine EDV-Gutachtens vor Gericht eingebraucht werden sollen. Für die Auswertung wird professionelle forensische Software wie von Vogon oder Encase, die dem aktuellen Stand der Technik entspricht und bei Polizei und Justiz im Einsatz ist. Gefundene Beweismittel bzw. wiederhergestellte Daten werden auf einem separaten Datenträger (CD, DVD oder Festplatte) gesichert.
Mit den modernen Technologien wie NAS Storage, WD World Edition Books oder Remoute Backup, wird es eine Festplattenbeschlagnahme unmöglich, wenn die Festplatte ausserhalb der Durchsuchungsbereich sich befindet. Mehr Information gibt es auf der Seite http://www.hddlab.de