Fremdvergabe
Im November 2007 teilte mir die Polizei mit, der beschlagnahmte Computer meines Mandanten werde “in Fremdvergabe von einer Drittfirma” ausgewertet.
Seitdem ist über ein Jahr vergangen. Ein Auswertungsergebnis liegt noch nicht vor.
Wir haben es nicht eilig. Aber trotzdem ist die Frage erlaubt, wieso die (überlastete) Polizei ausgerechnet Firmen beauftragt, die es zeitlich noch weniger auf die Reihe bekommen.
Ich habe gerade mal nach der Firma gegoogelt, die in dem Schreiben der Polizei genannt ist. Irgendwie scheint das Unternehmen sich aufgelöst zu haben. Nicht auszudenken, wenn die Hardware meines Mandanten in einer Insolvenzmasse untergegangen ist.
Auf welcher Rechtsgrundlage erfolgt diese Vergabe eigentlich? Und wie wird das Risiko illegaler Zugriffe in dieser Firma neutralisiert / reduziert?
Was ich nicht verstehe, ist dass ich in einem Seminar hörte, die Festplatten würden inzwischen kopiert und die beschlagnahmten Geräte sofort zurückgegeben.
Das war dann wohl eine irrtümliche Äußerung des Referenten!
Was eigentlich etwas unverständlich ist: Wenn Eigentum in der Bundesrepublik so wichtig ist, wieso können untergeordnete Behörden wie die Polizei aufgrund eines bloßen Verdachts die Eigentumsrechte von anderen derart massiv beschädigen, und dies über einen derart langen und durch Sachgründe nicht zu rechtfertigenden Zeitraum, ohne Sanktionen befürchten zu müssen?
Was passiert eigentlich, wenn der Rechner dann weg ist?
Wer bezahlt den Schaden?
Wenn diese Information* als Geheimtipp die Runde macht, wundert der Insolvenzverwalter sich bei der Versteigerung, warum gebrauchte olle PC plötzlich mehr kosten als neue beim Ichbinblöd-Markt.
*psssst. die Firma XY wird versteigert. Da hatte die Bullizei die ganzen PC aus den Kinderpornonazihorrorfällen zur Auswertung abgeliefert….
Muss eine staatliche Behörde dann eigentlich später für so einen Fuckup geradestehen? Oder hat am Ende keiner Schuld?
@ Durstiger Anwaltsbärenmann:
Wenn man denn dazu willens und in der Lage ist …
In der Regel sollte diese Auswertungen von öffentlich bestellen und vereidigten Sachverständigen vorgenommen werden können. Diese haben entsprechende persönliche und fachliche Überprüfungen abgelegt – die auch fortlaufend überwacht werden. Dumm ist halt nur, das es in Deutschland einen einzigen Sachverständigen gibt der auf diesem Gebiet vereidigt ist. Und wer die Prüfungen kennt, der weis auch warum …
Wie sieht das denn überhaupt mit Ersatzansprüchen aus, wenn so ein Rechner mal eben für über ein Jahr kassiert wurde und hinterher nichts gefunden wurde? Immerhin hat aktuelle IT-Hardware einen noch rapideren zeitlichen Wertverlust als Neuwagen…
"..Nicht auszudenken, wenn die Hardware meines Mandanten in einer Insolvenzmasse untergegangen ist."
Je nach dem was auf diesem PC zu finden ist, kann das die Beweislage für die StA auch deutlich verschlechtern ;-)
Also ein Bekannter von mir war leider Gottes von der berüchtigten Operation Himmel betroffen. Gefunden wurde natürlich überhaupt nichts in dem Zusammenhang. Seinen PC bekam er rund 9 Monate später zurück, das Verfahren wurde eingestellt. Die Festplatte wurde allerdings einbehalten da sich auf ihr zwei (!!) urheberrechtlich fragliche Sounddateien befanden. Nur leider war das Motherboard beschädigt und die Hardware war veraltet. Wie sieht das in diesem Fall denn aus? Ich meine die Polizei kann ja schlecht abstreitet das der Rechner vorher kaputt war und hinterher war er es definitiv
Mir stellt sich hierbei eher die Frage, wie es mit dem Schutz der Privatsphäre bestellt ist.
Inzwischen wurde ja höchstrichterlich festgestellt, daß auf Computern persönliche Dinge gespeichert sind.
Wie kann es also sein, daß solch eine Platte an irgendwelche Firmen gegeben wird?
Hatte ich schon mal gefragt, aber keine Antwort bekommen:
Wenn man sich während der Zeit der Beschlagnahme einen gleichwertigen Rechner mietet, und es sich hinterher herausstellt, daß man sich nichts hat zuschulden kommen lassen, bekommt man dann die Mietaufwendungen für den Ersatzrechner nach dem StrEG erstattet?
@11
Sinngemäße Aüßerung eines bekannten Strafverteidigers:
Verfahren nach StrEG und/oder zivilrechtliche Verfahren dauern zu lange, der Ausgang ist ungewiss, die entstandenen Schäden müssen bis ins letzte Detail belegbar sein, der ursprüngliche Tatvorwurf wird wieder "aufgewärmt" (mit möglichen Folgen für den Beschuldigten), ein zu frühes Einleiten (bzw. Ankündigen) dieser Verfahren, wird das ursprüngliche Verfahren entsprechend verschärfen (bis hin zu dem Punkt, an dem etwas gefunden wird), sinnvoll erst bei wirklich großen (nachweisbaren) Schäden.
Strafrechtliche Schritte gegen die Behörden und deren Mitarbeiter stellen ein noch höheres Risiko für den zu unrecht Beschuldigten dar.
Bin ich eigentlich der einzige der die ganze Sache mit dem Computer beschlagnahmen überhaupt garnicht nachvollziehen kann? Ich meine das komplette kopieren der Festplatten vor Ort ist absolut kein Problem, dauert evtl ein wenig aber die Polizei kann ja nebenbei weiter in der Privatsphäre des Beschuldigten herum stochern. Wenn das aus Gründen der Beweissicherung rechtlich nicht möglich ist (Warum auch immer) dann könnten sie doch wenigstens nur die Festplatte beschlagnahmen oder haben Hacker inzwischen eine Möglichkeit gefunden ihren "Kram" im Ram zu verstecken? Ich könnte den Verlust meiner Festplatte gerade noch so verkraften, den Verlust meines PCs allerdings weniger
Aus dem Sachverhalt könnte man eine anständige Hausarbeit zimmern!
@15 Das Kopieren von Festplatten war mal üblich (zu Zeiten von BBS/Mailboxen) und ist heute, würden die div. BGH/BVerfG-Urteile von den Behörden ernstgenommen, immernoch möglich.
p.s. die Vergabe an Drittfirmen ist im übrigen illegal
StPO §110 (1) "Die Durchsicht der Papiere des von der Durchsuchung Betroffenen steht der Staatsanwaltschaft und auf deren Anordnung ihren Ermittlungspersonen (§ 152 des Gerichtsverfassungsgesetzes) zu." 152 GVG bestimmt das nur Beamte und Angestellte im öffentlichen Dienst Ermittlungspersonen sein können und keine Privatpersonen/firmen.
15/Olaf
Die (untechnisch ausgedrückte) Beschlagnahme des gesamten Comptuers kann sich über § 111b StPO (Sicherung durch Beschlagnahme und Arrest) rechtfertigen, da in vielen Fällen der gesamte Computer bei Verurteilung gemäß § 74ff. StGB eingezogen würde.
also, ich kann nur aus eigener Erfahrung sagen das man da nichts zu erwarten hat. Mir wurde mal meine gesamte Werkstatt ausgeräumt und ich bekam nichts zurück. Die betreffende Wache war auch *aufgelöst" worden und die Sachen nichtmehr aufzufinden.
Ich bin zwar in dem Fall auch rechstkräftig verurteilt worden aber die Werkzeuge hatten damit nichts zu tuen.
Aber ich will auch nicht wissen wiviele Pc´s von Raubkopiermördern schon im "Staatsdienst" sind…die eigenen sich dafür ja besonders gut.
PS: Gabs dazu hier nocht auch mal was?
Könnte man nicht wenn die Polizei vor der Tür steht den Rechner per Telefon mündlich an einen Bekannten verkaufen und eine hohe Vertragsstrafe bei nicht Lieferung aushandeln? Dann dürfte der Schaden ja leicht auszurechnen sein. Auch wenn der Staat bestimmt ne Ausrede findet nicht bezahlen zu müssen.
@2: In der Praxis sollte die Auswertung so aussehen, dass von der Festplatte ein forensisches Image gezogen wird und davon dann ein Backup gemacht wird zur internen Datensicherheit. Ab dem Zeitpunkt ist der Auswerter nicht mehr auf die Hardware angewiesen und arbeitet nur noch mit dem Image. Ob sie zurückgegeben wird liegt aber nicht bei ihm. Ich glaube das wäre eher selten, schließlich ist die Original-Festplatte das eigentliche Beweismittel (an dem ggf. das Image verifiziert werden muss).
Leider gehen die wenigsten Firmen so vor wie beschrieben, weil es Zeit und Ressourcen kostet. Ein forensisches Image ist immer so groß wie das gesamte Quelllaufwerk (abzüglich einer gewissen Kompression, auf die oft verzichtet wird). In Zeiten von >1TB-Platten ist die Bereitstellung erheblicher Mengen logischen Speichers dafür erforderlich und das leistet sich nicht jedes Unternehmen.
Also der Weitergabe solcher Aufträge an Externe stehe ich durchaus auch kritisch gegenüber. Und über Aktion Himmel ist eigentlich alles gesagt. Auswertezeiten von 1 Jahr sind natürlich auch unzulässig, da sollte ein Verteidiger eigentlich wissen, was er zu unternehmen hat.
Davon ab, werden PC – wenn es sich um den Vorwurf von Kinderpornographie und nicht eine Auswertung bezüglich anderer Inhalte handelt – eigentlich nur beschlagnahmt, wenn eine Sichtung vor Ort zumindest die Existenz von Kinderpornographie ergeben hat. Und dass man in diesem Fall die Festplatte nicht spiegelt und dem Besitzer die Kinderpornographie lässt, versteht sich doch von selbst und bedarf keiner Erklärung.
@15(Olaf)
Man kann von einem durchschnittlichen Kriminalbeamten nicht unbedingt erwarten, dass er eine Festplatte beschädigungsfrei ausbaut. Schon gar nicht, dass er eine Kopie erstellt, die nachweislich(!) forensischen Regeln folgt. Dazu fehlt ihm die Ausbildung. Ein Verteidiger hätte da wohl leichtes Spiel, dieses Beweismittel in Frage zu stellen.
Könnten die auf der Platte vermuteten Dateien selbst illegal sein, wie zum Beispiel bei Ermittlungen wegen KiPo oder Urheberrechtsverletzungen, wird der Staatsanwalt sie zudem aus dem Verfügungsbereich des Beschuldigten entfernen wollen/müssen.
Nach meiner Meinung fehlt eine gesetzlich festgelegte Frist, nach denen solche Gegenstände zurückgegeben werden müssen. Dann könnten die Computer nicht mehr schneller beschlagnahmt werden als sie ausgewertet werden können. Es gibt zwar theoretisch den Anspruch, dass Verfahren nicht länger als nötig dauern sollen, aber was das dann in der Praxis heißt…
Ich bin aber auch der Meinung, dass man auch die unvermeidlichen "Unannehmlichkeiten" einer Strafverfolgung in Kauf nehmen muss. Das trifft nun einmal nicht immer "die Richtigen". Wichtig ist meiner Meinung nach auch, dass die "Unschuldsvermutung" auch im sozialen Umfeld gelten muss, man also auch dort einen Verdächtigen nicht wie einen Schuldigen behandeln darf.
@Detlev
Das die Beamten nicht in der Lage sind Kopien zu erstellen sehe ich noch ein, aber das beschädigungsfreie ausbauen einer Festplatte? Ich meine soviel Sachverstand braucht man dafür nun wirklich nicht. Die Gefahr, dass die Festplatte beim Ausbau beschädigt wird halte ich bei sachlicher Demontage für äußerst gering, genauso wahrscheinlich kann der Computer beim Transport beschädigt werden. Und irgendwas müssen die guten Staatsdiener ja schließlich auch können…
@23: Man kann von einem durchschnittlichen Beamten nicht erwarten, dass er eine Festplatte unfallfrei ausbaut? Wenn es sich um einen Desktoprechner handelt, kann man das einem Schimpansen beibringen.
Zum letzten Absatz: Das kann man bei den meisten Menschen absolut vergessen.
@24(Olaf)
Es ist nicht einmal gesagt, dass die Beamten eine Festplatte immer auch als solche erkennen können. Es gibt ja nicht nur die Standard 3.5"-Platten. Auf einer Steckkarte könnte zum Beispiel auch noch Massenspeicher installiert sein. Da nehmen die halt lieber alles mit.
Ich habe in meinem Betrieb gerade einen Fall, indem ich einem Kunden Betrug vorwerfe. Gesicherte Beweise soll dafuer die Polizei beschaffen, indem Sie die fragwuerdige Festplatte auswertet.
Der erste Termin bei der Kripo zur zusaetzlichen Zeugenaussage war allerdings ernuechternd. Die schnelle Auswertezeit von 3 Monaten resultierte daraus, dass die Techniker die Festplatte angeschlossen und festgestellt haben, dass diese leer ist.
Natuerlich ist sie leer, die Beweise lagern trotzdem darauf, wenn man die geloeschten Dateien wieder herstellt.
Nach einem entsprechenden Hinweis und Ruecksprache mit der Staatsanwaltschaft geht das Geraet nun zur intensiven Auswertung zum LKA.
Haette man die Anzeige richtig gelesen, waere das Geraet dort schon in der Warteschlange weiter vorn und die Auswertung wuerde "nur noch" knapp 9 Monate dauern. Auf vorsichtige Anfrage wurde mir eine Auswertezeit von ca. 12 Monaten genannt.
@11: Das verstehe ich nicht ganz. Diese Urheberrechtsgeschichten sind doch Antragsdelikte – wenn keine Antrag des Geschädigten vorliegt, fällt doch auch die Verfolgung flach.
Das Behörden Rechner "beschlagnahmen" um (potentielle) Beweise zu sichern,… Hm,… okay…
Aber dauert dies wirklich so lange? Was machen die denn damit? Zocken? Passwörter raten? Oder steht das Ding einfach in der Ecke rum?
@Detlev
Nach Ihrer Argumentation könnte man auch alle Möbel einkassieren, könnte ja ein Massenspeicher drin versteckt sein. Und jemand der halbwegs Ahnung von der Materie hat wird sicherlich keinen verstecken Massenspeicher in seinen PC bauen sondern viel mehr seine Festplatte verschlüsseln.
Die Hardware kann man sowieso nicht mehr nutzen, nachdem die Polizei daran herumgefummelt hat. Wer seine Festplatten nicht verschlüsselt, der riskiert auch, dass die Polizei Daten verändert oder selbst Beweise generiert. Meines Wissens ist es keineswegs immer Standard (gewesen), dass nur mit einer Kopie der Festplatte gearbeitet wird.
Pinky: Was heißt gelöscht? Wenn die Festplatte einmal überschrieben wurde, stellt die Daten bei heutigen Festplatten niemand wieder her. Dass die Techniker zu doof für ein einfache undelete sind, kann ich mir nicht ganz vorstellen.
@31/Rosenbutter
Die Sektoren einmal überschreiben soll ausreichen, um sie nicht wiederherstellen zu können? Mit Nullen? Du musst Festplatten aus der Zukunft haben. Meine vor drei Wochen gekauften können das nicht.
Abseits von den Diskussionen der Heise-Trolle: Ein Blick in die InsO hilft auch hier weiter, dass das Eigentum des Mandanten garantiert nicht in irgendeiner Insolvenzmasse untergehen kann.
28/KaiBerlin
Das ist so nicht richtig. Es ist entweder ein Strafantrag nötig oder die Staatsanwaltschaft hält aufgrund besonderen öffentliches Interesse an der Strafverfolgung dieselbe für notwendig. (§ 109 UrhG)
@31 Kleiner Hint: Die gängigen Auswertungsprogramme (auch beim LKA) erkennen noch nicht einmal alle üblichen Dateisysteme (und wenn's mit dem Ausbau/Spiegeln nicht klappt wird die Software auch direkt auf dem Rechner (hauptsächlich bei Notebooks) installiert (mit allen Spuren…))
Zudem schützt das Verschlüsseln auch nicht vor generierten Beweisen (bzw. wie soll man beweisen das da vorher verschlüsselte Daten waren)
Also mal schnell ne HDD wipen ist aber auch nicht drin, hab eine 250GB Platte mit dem Peter Gutmann Verfahren 35mal überschrieben via 0&0 safeerase, der spaß hat den ganzen Tag und die halbe nacht gedauert ..
Alten 486er bei Ebay gekauft? Bei heutigen Festplatten mit ihren enormen Datendichten stellst du nach einmaligem Nullen nichts mehr her – Ontrack und Konsorten übrigens auch bei viel Geld _nicht_, die Zeiten sind vorbei ;).-
@32
Das reicht in der Regel für heute übliche Festplatten. Wer paranoider ist, kann die Sektoren auch mehrfach überschreiben, was aber nicht davor schützt, dass Sektoren, die von der Festplatte als defekt markiert wurden, inkl. der dort möglicherweise noch z.T. vorhandenen Daten, wiederhergestellt werden können. Deshalb sollte die gesamte Festplatte von Anfang an verschüsselt werden.
32(Kai): Natürlich nicht mit Nullen. Mit 23en.
@27: Selbstständiges Beweissicherungsverfahren beantragen und dem Richter den Hinweis geben das man gern jemanden benennen kann bei es nicht Jahre dauert … Das sollte helfen …
Frage an die Experten: Werden denn bei so einem ad-hoc-Image auch verschlüsselte und versteckte Verzeichnisse erfasst (oder bedarf es hierfür besonderer EDV-Kenntnisse)?
@41
Image heißt einfach gesagt, dass die "Rohdaten" der Festplatte kopiert werden (d.h. idR einfach alle Sektoren), was da drin steht, interessiert zu dem Zeitpunkt noch nicht und wird erst später analysiert.
http://de.wikipedia.org/wiki/Speicherabbild
Die Anmerkungen des <a href="http://www.jur-blog.de/strafrecht-und-it/rechtsanwalt/2009-01/computer-durchsuchung-in-fremdvergabe-zu-lawblog/" rel="nofollow">Kollegen Exner</a> seien – insbesondere auch den Strafverfolgern – zur Lektüre empfohlen.
Festplatten gehen auch kaputt, wenn sie in einem Wechselrahmen steckten. So viel Unwissenheit beim Ausbau brauchen die also gar nicht.
Außerdem reicht für die Behörden inkl. Amts- und Landgericht auch mal, dass die theoretische technische Möglichkeit besteht, dass gesuchte (analoge) Daten auf dem Rechner sind, um ihn für Jahre zu beschlagnahmen.
Schadenersatz gibt es faktisch nicht. Wie will man einen Schaden für einen Rechner nachweisen, der 3 Jahre weg war? Ansonsten suchen die solange, bis die irgendwas anderes "zufällig" finden.
Also: Verschlüsseln und verschlüsselte Backups machen. Einzige Möglichkeit, wenn man von den Daten abhängt.
41 (PC-Laie): *Eigentlich* sollte von der kompletten Festplatte ein 1:1 Rohdaten-Image gezogen werden. Da ist dann wirklich alles drauf, was auf der Festplatte auch drauf ist, Partitionen, "versteckte" Partitionen, "versteckte" oder verschlüsselte Ordner und Dateien, "gelöschte", aber nicht überschriebene Dateien, wirklich alles.
Wenn du hingegen eine Festplatte *richtig* verschlüsselst, dann ist da nicht mal mehr eine Partitionstabelle oder ein Master Boot Record drauf. Sowas geht AFAIK aber nicht mit Windows (für eine reine Datenpartition ist das meines Wissens zwar möglich, aber wenn man schon die Paltte verschlüsselt, dann sollte man auch gleich das komplette System mitverschlüsseln, damit die grünen Engel das Beweismateriel nachher nicht aus irgendwelchen Systemverzeichnissen, in denen temporäre Dateien abgelegt werden, fischen können), mit Linux dagegen ist das kein Problem. Dabei wird im wesentlichen alles, was unbedingt nötig ist, um die Festplatte entschlüsseln zu können (im Falle von Linux das "/boot"-Verzeichnis mit den Kernel-Images sowie ein wenige KB großes Programm, das sich um die Ver-/Entschlüsselung kümmert) auf einen bootfähigen und portablen Datenträger (z.B. eine Speicherkarte oder ein USB-Stick) ausgelagert. Auf diesem externen Bootmedium kann man dann auch gleich eine Schlüsseldatei ablegen, mit der die Festplatte im Rechner verschlüsselt ist. Sicherheitshalber (Für den Fall dass das Boot-Medium bei der Hausdurchsuchung gefunden werden sollte) empfiehlt es sich, diese Schlüsseldatei auf einer gesonderten, mit einem Passwort verschlüsselten Partition auf dem Boot-Medium unterzubringen. Wenn die Leute vom LKA/BKA dann überhaupt das Schema, nach dem du dein verschlüsseltes System installiert/eingerichtet hast, kapieren, und du ihnen nicht in einem hämischen Anflug von Zynismus (aber geflissentlicher Vermeidung jeglicher Äußerungen, die ein spitzfindiger Richter als "Beamtenbeleidigung" auslegen könnte) haarklein erklärst, warum sie den Wunsch, an deine Daten kommen zu können, besser schon gestern begraben hätten, müssen die nämlich erstmal das Passwort knacken, mit dem du die Schlüsseldatei gesichert hast (wohlgemerkt nur im Fall wo sie dein Bootmedium überhaupt finden!, ansonsten hätten sie ihren Wunsch besser schon vorgestern begraben).
Bei diesem Schema gibt es meines Wissens nur noch 4 Methoden, an die Daten zu kommen:
1.) Versuchen das Passwort (oder die Schlüsseldatei) mit Bruteforce herauszufinden. Bei der Schlüsseldatei auch heute de facto technisch noch nicht möglich, beim Passwort hängt es davon ab, ob du ein sicheres Passwort gewählt hast oder nicht. Faustregel: Keine Wörter aus irgendeinem (Wörterbuch), schon gar keine Namen (auch nicht mit Zahlen-Anhängsel!). Ansonsten: Je länger, desto besser, und sogar noch wichtiger: Groß- und Kleinbuchstaben, Zahlen und vor allem Sonderzeichen verwenden! Fertig ist das (praktisch) absolut sichere Passwort.
2.) Die sogenannte "Cold-Boot-Attacke": Vor 1 oder 2 Monaten haben US-Forscher rausgefunden, dass RAM mitnischten gelöscht wird, sobald der PC abgeschaltet wird. Vielmehr kann man problemlos die Daten noch Stunden danach (z.T. auch ohne Kühlung, wenn die RAM-Riegel stark gekühlt werden mit Kältespray o.ä. bleiben die Daten im RAM noch deutlich länger erhalten) auslesen. Dazu reicht es, den PC (man muss nichtmal einen "speziellen" PC nehmen, technisch gesehen kann man sogar den Rechner des Verdächtigen nehmen), von einer speziellen Boot-CD/USB-Stick booten. Auf der CD ist ein Tool enthalten, was das RAM des Rechners (dieses wird auch beim Hochfahren nicht gelöscht) automatisch nach AES-Verschlüsselungs-Keys durchsucht. Natürlich funktioniert das nicht nur mit AES-Keys, sondern auch mit beliebigen anderen Daten. Einer der Forscher, die dieses Phänomen entdeckt haben, hat auf dem Jahres-Congress des CCC in Berlin vor 3 Wochen erzàhlt, dass er *sehr* kurze Zeit nachdem er siene Forschungsergebnisse veröffentlicht hatte, schon anfragen vom Department of Homeland Security bekam, ob er ihnen nicht zur Hand gehen wolle. Er hat das zwar wohl mehr oder weniger abgelehnt, allerdings scheint ein anderer Forscher aus der Gruppe der Versuchung nicht widerstanden zu haben… Gegen diese Attacke hilft im Ernstfall nur eins: Rohe Gewalt. Wenns Morgens um 7 klingelt, und durch die Jalousien kann man ein Polizei-Fahrzeug erkennen: PC aufschrauben, RAM-Riegel raus und ab damit in die Mikrowelle! RAM-Riegel kosten 50-100 Euro, ein Anwalt (sorry Udo ;) oder ein Gerichtsverfahren wird u.U. deutlich teurer, vom schlechten Gefühl, dass irgendein unsympatischer Mensch mit übermäßig ausgeprägter Neugier und fettigen Donuts in der Hand eure privaten Mails durchgelesen hat, mal gar nicht zu reden.
3.) Verdeckte Wohnraum-Überwachung z.B. mit Kameras, manipulierung des Computers, indem z.B. ein Hardware-Keylogger versteckt eingebaut wird, ein "Bundestrojaner", der Administrator-, root- oder System-REchte erlangt und so zur Laufzeit unbemerkt den Schlüssel der verschlüsselten Partition aus dem RAM auslesen kann.
4.) Folter (der Fall Kurnaz zeigt, wie erfolgreich und effektiv das Outsourcing auf diesem Gebiet funktioniert).
Gegen diese 4 Methoden kann man sich aber nicht wirklich effektiv absichern, teils ist man da auf das Vertrauen in den bröckelnden Rechtsstaat, teils auf das Vertrauen in die Inkompetenz der Ermittlungsbehörden angewiesen.
@35: Selbstverständlich erkennen CF-Tools die üblichen Dateisysteme und etliche unübliche (die gängige Auswertungssoftware in Deutschland ist X-Ways). Wenn nicht, liegt das daran, dass die Anwender sich die Lizenzierung eines Dateisystems gespart haben. Da sind Behörden nun mal deutlich knapper gestellt als Firmen, daher auch die Fremdvergabe (an Unternehmen, die parallel auch Privatkunden betreuen).
@41: Das forensische Image ist nicht mit den Erzeugnissen von Endverbraucher-Software vergleichbar, auch nicht mit der oft angebotenen "Sektor für Sektor" Kopie. Es enthält ganz einfach jedes physisch auf der Platte erhaltene Bit, egal ob es in eine Partition gefasst ist oder nicht, oder ob es der Anwender überhaupt je in eine Partition hätte einschließen können. Festplatten sind heute komplexe Geräte mit vielen eigenständigen Funktionen. Deshalb ist wichtig, die Platte mit den Analysewerkzeugen nicht nur lesen sondern ggf. auch umkonfigurieren zu können, z.B. um ein herstellerseitiges oder nachträgliches Downsizing aufzuheben.
Die Auswertung der Ordnerstruktur, so wie sie der Anwender mal sah, ist nur der erste Schritt und ein kleiner Teil der Arbeit. Die wichtigsten Erkenntnisse ergeben sich aus der Indizierung des gesamten ausgelesenen Datenvolumens ohne Berücksichtigung der logischen Systematik der Dateien. Sog. One-look-Algorithmen erkennen und extrahieren beispielsweise auch Texte und Pixel-Informationen in Fragmenten, ohne dass eine vollständig intakte Datei wiederherstellbar sein müsste. Schon weil das alles eine erhebliche Betriebszeit erfordert, kann das nicht an der Originalplatte ausgeführt werden.
Die Kopie oder der Ausbau nur der Platte ist keine Option. Die Daten können in vielfältiger Weise mit anderer Hardware verknüpft sein: Es könnte ein Trusted-Platform Modul eingesetzt worden sein. Der Benutzer könnte auf einem Speicher an seinem Router eine Keyfile abgelegt haben, damit eine verschlüsselte Partition auf seinem Laptop nur zuhause zugänglich ist. Ein Drucker könnte einen internen Seitenspeicher für die letzten x Ausdrucke haben und vieles mehr.
Allerdings bleibt die Auswertung regelmäßig hinter den Möglichkeiten zurück. Ich möchte nicht ausschließen, dass die Polizei auch mal den "Experten" in der Abteilung sucht, der schon erfolgreich Windows installiert hat, und dieser dann auf dem Originalgerät herum hackt.
@46: Interessant. Witzig war auch mal, dass der Stromverteiler und NTBA mitgenommen wurde. Was könnte da eigentlich drauf gespeichert worden sein ?
Es hängt sicher auch vom Vorwurf ab, aber heutzutage werden Handys, Drucker und Lautsprecher offensichtlich seltener einkassiert.
Warum nicht den Rechner in Einzelteilen unter den Tisch schrauben oder auf einen Betonsockel :-P ?
Weil dann eben einfach noch dein Pkw-Anhänger zwecks Abtransport beschlagnahmt wird :D
46: Interessant, danke für die Erklärungen. :)
Ich hab mir mal die Produktbeschreibungen auf der X-Ways-Seite durchgelesen, X-Ways Investigator dürfte bei so manchem Linux-System versagen. Beispielsweise scheint es einige in der Unix-Welt doch recht verbreitete Dateisysteme wie z.B. JFS oder XFS nicht zu kennen. X-Ways Capture, ein Tool zur "Beweissicherung von Windows- und Linux-Systemen im laufenden Betrieb" scheint es nur als x86-Version für Windows und Linux entdecken, Hinweise auf eine 64Bit-Version oder ein vergleichbares Tool für OS X konnte ich auf der Seite nicht finden. Da die Programmierer von X-Ways auch nur mit Wasser kochen, dürfte es ohne root-Rechte zumindest unter Linux mehr oder weniger unmöglich sein, im laufenden Betrieb den Hauptspeicher auszulesen (es sei denn man hat sein System unsicher konfiguriert). Bei richtig gesetzen Zugriffsrechten wird man vermutlich auch keine entschlüsselten Laufwerke auslesen können, falls diese nicht schon gemountet sind.
@46
[...]Sog. One-look-Algorithmen erkennen und extrahieren beispielsweise auch Texte und Pixel-Informationen in Fragmenten, ohne dass eine vollständig intakte Datei wiederherstellbar sein müsste.[...]
So langsam stellt sich aber bei Lesen von soetwas zuindest ir die Frage wie tief denn der Blick der Strafverfolger überhaupt gehen darf?
Denn Datenfragmente die weder vom User selber noch von anderen verwendbar sind, die auch nicht mehr vollständig als Datei hergestellt werden können, als Beweismittel heranzuziehen, ruft bei mir ein sehr ungeutes Gefühl hervor, denn es hat den Touch der allumfassenden Überwachung. Warum kommt mir da der Ausspruch "Gott sieht alles" in den Sinn? Wenn ich als User eine Datei sicher lösche, dann will ich die Informationen die in der Datei waren nicht mehr, eigentlich sollte dann auch dies die Grenze für Strafverfolger sein oder würden die auch ohne Probleme in die Gedanken eines Verdächtigen schauen, wenn sie das in Zukunft können?
Hier im US-TV kam vor kurze eine Sendung über "Roboter" wo darauf hingewiesen wurde, daß Kühlschrank, Kaffee-Tassen, Kleidung d.h. so gut wie jedes Gerät irgendwann mit künstlicher Intelligenz ausgestattet sein wird und zudem vernetzt ist. Zusätzlich jeder von uns sich per "Implantant" ins Internet einklinken kann…..
"Schöne neue Welt"? Oder eher eine schöne neue Welt für Strafverfolger? Denn die können dann alles und jedes auswerten und ihre Schlüsse daraus ziehen…..oder gibt es dann das Aussageverweigerungsrecht für Computer, computerähnliche Gegenstände und Roboter?
bombjack