Nicht aufgeschrieben
Heute das Vergnügen mit einem Sachverständigen für EDV-Technik gehabt. Es ging darum, was er auf sichergestellter Hardware gefunden hat und woher diese Daten möglicherweise gekommen sind. Stichwort Schadsoftware.
Eine meiner ersten Fragen war, welches Betriebssystem der Besitzer der Hardware verwendet hat. Der Sachverständige antwortete:
Das weiß ich nicht mehr, das habe ich mir auch nicht aufgeschrieben.
Es dauerte zwar noch etwas, aber das Verfahren wurde eingestellt…
Seit wann ist den das Bs des Benutzers in irgendeiner Form für den Inhalt der Festplatte/ Datenträger relevant? Maximal Fat32 oder Ntfs ist von Interesse wenn man Daten sucht.
Schadsoftware oder auch Viren sind auch erstmal so zu finden. Alles weitere betrifft doch dann eher die Bringschuld des Mandanten–> Stichwort Virenscanner, Firewall
Mich wundert in diesem Land fast nichts mehr:
"Unter den Blinden ist der Einäugige SACHVERSTÄNDIGE König"
Ha! Vermutlich war's Linux und er konnte die Platte(n) nicht lesen. Sozusagen sachverständigensichere Verschlüsselung.
Was hätten denn gefunden werden sollen?
@gr3if: Warum das OS wichtig ist, hast Du mit Deinem Post gerade selbst beantwortet…
@ 1:
Weil Windows-BS aufgrund ihrer Verbreitung tendenziell eher im Fokus potentieller Angreifer stehen, die Auswahl an Schadsoftware daher grösser ist und damit auch die Wahrscheinlichkeit, Opfer ebensolcher geworden zu sein – Virenscanner und Firewall hin oder her?
Es ist schon erstaunlich, wer sich bei uns alles "Sachverständiger" nennen darf. Noch lustiger sind dann immer die "…-Experten" unter den Politikern.
@gr3if: Ein Gutachten ist nicht viel wert, wenn solch simplen Fakten nicht aufgeführt werden, und es spricht nicht gerade für die Qualifikation des Sachverständigen.
Schliesse mich gr3if an. Der Sachverständige bekam ne HD, hat diese in sein eigenes System eingehangen (ob er Win, Linux hat, spielt hier keine Rolle) und hat dann die Daten untersucht.
Ob da auf der HD nun ein Ordner Windows drauf ist oder WINDOWS oder WinNT oder /etc spielt für ihn keine Rolle.
Lobo
@Lobo: Täterwissen?
Die Frage nach dem BS ist dann relevant wenn man ausschließen will ob Bilder, fremde Dateien, Schadsoftware durch Trojaner oder ähnliche Programme auf den Rechner gelangt sein könnten. In meinem LFS System ist das sehr unwahrscheinlich. Bei meiner Windowsspielkiste vermag ich das nicht mit 100 % ausschließen (theoretisch ja, praktisch, vielleicht denn es ist Steam installiert… *g*).
Teutone
Das Verhalten des Sachverständigen kann man nur als unprofessionell bezeichnen.
Er muss es ja (nach langer Zeit) nicht mehr wissen, aber er muss die Durchführung der Untersuchung inkl. aller Findings dokumentieren.
Und die Kenntnis des eingesetzten BS ist zwar nicht zwingend für die Feststellung vorhandener Schadsoftware wohl aber im Hinblick auf deren Wirkfähigkeit relevant.
@UV: Ist das eigentlich die übliche Sachverständigenqualität ?
Toller Sachverständiger. Das sind die Basics, die vorliegen müssen. Ist ein OS drauf gewesen und wenn ja, welches. Das ist einfach auszulesen, zumindest wenn eine vernünftige forensische Software benutzt worden ist.
Aus den weiteren Parametern zum OS ist dann auch der letzte Zugriff, Login und Benutzerkonten etc. herauszulesen.
Erst wenn das festgestellt ist, wird nach dem tatsächlich gesuchten Dateien gefiltert.
Zumindest ist das hier so.
@Lobo:
Nunja. Wenn ein Sachverständiger noch nicht einmal weiß, welches Betriebssystem drauf war, dann wird er die Platte nicht wirklich gründlich untersucht haben.
Dazu gehört ja wohl auch, den Systemordner mal zu untersuchen, und wenn man noch nicht mal weiß, ob der "Windows" hieß oder "root" oder "Papierkorb" dann isser wohl nicht sonderlich sachverständig. Zumindest nicht für diesen Fall.
Wenn ich ein System untersuchen soll, dann tue ich das. Und dann weiß ich auch, was da für ein Betriebssystem lief.
Ich stelle mich mal gegen dieses Sachverständigen-Bashing hier:
Allein entscheidend für die Frage ob der Mann gute Arbeit geleistet hat oder nicht ist doch, was man ihn gefragt hat. Ist ja nun nicht so, dass man jemandem ne Festplatte in die Hand drückt und sagt: "Mach mal was sachverständiges!" Die im Rahmen der gestellten Frage relevanten Tatsachen müssen dokumentiert werden und weiter nichts. Und wer täglich dutzende Rechner ansieht, der darf m.E. auch mal nach Monaten vergessen haben, welches OS der eine oder andere davon hatte.
Der "Sachverständige" hat vermutlich gar nichts gemacht. Jede noch so billige Forensik-Software schreibt ein Protokoll, in dem u.a. auch das BS aufgeführt wird. Da braucht er nur mal "Copy and Paste", und schwupps ist alles in seinen Unterlagen. Also hat er vermutlich gar nichts gemacht. Oder er war besoffen.
@ct:
Naja… stell es mir schon recht schwierig vor wenn so etwas einem KFZ Sachverständigen passiert.
Richter: "Das Unfallopfer wurde von einem blauen Auto angefahren?"
SV: "JA"
RA: "Welche Marke?"
SV: "Weiß nicht mehr, habs auch nicht aufgeschrieben."
Stell mir dann die Frage ob im laufe des Verfahrens das blaue Auto rot werden würde. ;)
@ct: Und einfach mal aufschreiben braucht der Sachverständige auch nicht? Ich halte das schon für eine wichtige Information und letztendlich sollte auch ihn es interessieren, ob das, was auf der Platte ist, irgendeine Relevanz hat. Ein Linux-Wurm entfaltet unter Windows keine Wirksamkeit und umgekehrt auch nicht. Wie kann man nun behaupten, die Angabe des OS wäre nicht wichtig, nur um einen unbekannten und wahrscheinlich schlampig arbeitenden Sachverständigen in Schutz zu nehmen. Verstehe ich nicht.
seht es mal so: ihr fragt euch jetzt, ob das BS wichtig ist oder nicht. Ich rechne mich zu denen, die mit dem PC halbwegs aufgewchasen sind, kann die Frage, ob das wichtig ist, (wie ihr) auch nciht sicher beantworten.
Ich stell mit jetzt vor, ich bin Richter und der Verteidiger fragt den SV eine vielleicht unwichtige, aber grundlegende und einfache Frage. Der weiß die nicht. Zack, kommt der Typ mir doch schon halb inkompetent vor, obwohl er sicher richtig was auf dem KAsten hat. Erster Eindruck zählt und so. Jetzt stellt der Verteidiger noch ein bis zwei Fragen, die ins Detail gehen und den Anschein machen, wichtig zu sein (Könnte Wurm XY dies und jenes gemacht haben?), SV antwortete wieder halbherzig, zack – dem Typen glaub ich ab jetzt herzlich wenig, schon eher dem engagierten VErteidiger, der sich zumindest vorbereitet und sich was "aufgeschrieben" hat.
Selbes Beispiel, der Richter ist jetzt aber 58. BS weiß er, denkt sich, dass der SV nicht einmal sowas kennt.
Kurze Diskussion, Einstellung des VErfahrens, um sich mit dem Sch… nicht auseinandersetzen zu müssen.
Wie wird man eigentlich zum IT-Sachverständigtem?
@16 und 17
Wie gesagt: Ausschlaggebend ist die Frage.
Nach der Farbe eines Autos wird kaum ein SV befragt werden. Aber bleiben wir mal beim Beispiel Auto: Ein KfZ Sachverständiger wird gefragt, ob die Stoßdämpfer defekt sind (zB in einem Prozess wegen Gewährleistungsansprüchen). Dies prüft er und sagt dann im Prozess aus, dass das nicht so war. Daraufhin kommt überraschend die Frage, ob die Ölwanne leckt. Natürlich hätte er das beim Aufbocken auf einen Blick gesehen, aber es war eben nicht interessant weil nicht für die Frage relvant und wurde also nicht notiert. Da die Untersuchung Monate her ist, kann er sich nicht erinnern. Der SV hat hier richtig gehandelt, bezweifeln kann man, ob ihm die relevanten Fragen vollständig gestellt wurden.
Im PC-Bereich dürfte das OS beim Beispiel des Linux-Wurms bestimmt relevant sein. Wäre aber auch denkbar, dass der SV nur gefragt wurde, ob zB KiPo auf der Festplatte ist. Er hätte dann mE alles notwendige getan, wenn er feststellt, dass keine versteckten Partitionen etc existieren, dann den gesamten Festplatteninhalt nach Video- und Bilddateien scant und diese checkt. Nehmen wir mal an, er hat KiPo gefunden. Antwort ist also schlicht: "Ja, es gab folgende Bilder/Videos".
Die Verteidigung könnte nun vortragen, vielleicht sind die Dateien ja durch Schadsoftware auf den Rechner gekommen. Neue Frage, neuer Auftrag und erst jetzt wird das OS relevant.
Ein weitsichtiger Richter würde hier natürlich gleich beides fragen, aber es ist nicht Sache des SV zu überlegen was für den Prozess möglicherweise relevant ist. Der darf sich durchaus auf die gestellten Fragen beschränken.
Ist "Sachverständiger" die Steigerung von "Experte" oder anders herum?
An alle für die die Frage des OSs nicht relevant scheint: Das ist in etwa so, als ob ein KFz-Sachverständiger nicht sagen kann, ob das von ihm untersuchte Fahrzeug einen Diesel- oder einem Ottomotor hat. Auch wenn das nicht unbedingt erheblich ist, so würde es doch ein seltsames Licht auf den Sachverständigen werfen.
es kommt doch am ende auf den inhalt des auftrages an den sv an … wenn der sv alles erledigt hat wofür er beauftragt wurde ist das bs, der letzte login usw. doch im rahmen der beauftragung nicht relevant. insofern kann man den sv eigentlich zur falschen antwort beglückwünschen, es hätte heissen müssen: im sinne meiner arbeiten nicht relevant.
ps. es gibt viele andere dinge die ein sv zu seinem fall wissen muss und weswegen man gefühlte 95% der sv's wirklich abschiessen könnte …
pps. ob das ein ÖBUV SV hätte ich da mal gewusst …
Die Frage des Betriebssystems stellt sich durchaus – und nicht nur, um "Sachverständige" oder so genannte "Experten" bloß zu stellen. So gibt es durchaus Rechner, auf denen immer noch ein MSDOS läuft. Ein Mandant hatte sich in den 90ern "daran gewöhnt" und lobte z.B. den "Komfort eines Wordperfect 5.1, an das kein Office heran kommt". Man muss die Meinung nicht teilen (auch wenn ich es tue), zeigt aber eine gewisse Relevanz. Sofern ein derartiges System im Einsatz ist, erübrigen sich viele Fragen.
Auch bei älteren "modernen" Systemen werden Fragen aufgeworfen: Wer etwa grosspurig eine "Bringschuld" des Mandanten hinsichtlich Virenscanner und Updates einfordert, wird bei einem Windows ME (für das es keine Updates mehr gibt) nicht viel verlangen können.
Auch die Frage des Dateisystems ist von Relevanz, wobei der Satz von oben zu kurzsichtig ist:
"Maximal Fat32 oder Ntfs ist von Interesse wenn man Daten sucht."
Ein Journaled-Filesystem, etwa das Ext3, dürfte speziell im Rahmen der Datenwiederherstellung eine ganz andere Rolle spielen als ein VFAT/FAT32 (je nach Löschalgorithmus jedenfalls).
Im Prinzip, nicht nur mit Blick auf die Glaubwürdigkeit des Sachverständigen aber eben auch, ist jede Frage zu jedem Stichpunkt von Bedeutung.
Dieser Sachverständige ist vermutlich genauso sachverständig wie die geschätzten Vorposter die bestreiten das es eine Bedeutung hat welches OS auf der Platte war. Dampfplauderer mit mangelhafter Praxis eben eher ohne Sachverstand.
mfg
@25
Auf die Gefahr der Wiederholung hin: Es kommt auf die Frage an. Noch ein Beispiel: Ein GEZ-Prozess. Die GEZ meint im PC sei eine TV-Karte eingebaut. Wozu müsste der SV hier den PC auch nur einschalten?
@22
Und nocheinmal: Es geht nicht ums Sagen Können, sondern darum obs gefragt ist. Wenn sich ein KfZ-SV zB heute auf Frage die Stoßdämpfer ansieht und Defekte protokolliert wird er quasi nebenbei erkennen, ob Diesel oder Benzin. Wenn er aber täglich 10 Autos prüft und dann in 3 Monaten vor Gericht zu den Stoßdämpfern aussagen soll, wird er es sicherlich nicht mehr wissen. Nicht gefragt, nicht relevant, nicht notiert.
@ct: Wenn er schon nicht sagen kann, welches OS oder zumindest welche grobe OS-Geschmacksrichtung verwendet wurde, dann kann er wohl auch nicht mehr sagen, welches Dateisystem auf der Platte war (denn das steht praktisch direkt in Verbindung zueinander). Dies hätte ihm aber auffallen müssen, da man meist nicht einfach so System A mit System B anfassen kann. Wenn U.V. schon die Frage gestellt hat, kann man sich ja denken, worauf das hinaus lief.
Darüber hinaus hält eine undokumentierte Beweis-Auswertung wohl kaum vor Gericht stand, oder? Und die Zeugenaussage des Sachverständigen ist bei solchen Erinnerungs-Lücken ebenfalls wertlos.
1.) Viele können offensichtlich das Zitat nicht ordentlich lesen.
Teil 1: "Das weiß ich nicht mehr, " ist nicht das Problem. Das muss sich auch keiner merken.
Teil 2: "das habe ich mir auch nicht aufgeschrieben." ist das Problem. Wenn ein System/Auto/Gegenstand (welcher Art auch immer) untersucht und beurteilt wird, hat zuerst eine grundsätzliche Beschreibung zu erfolgen. Also bei einem PC die Hardwarekonfiguration und die installierte Software. Beim Auto die Marke, Farbe, Fahrgestellnummer etc. Dieses dient der der eindeutigen Zuordnung des Berichts zum untersuchten Gegenstand.
Wie schon eingangs erwähnt muss der SV sich das nicht bis zum Verhandlung merken, aber zu einem vollständigen Bericht gehört so etwas dazu.
Erstaunlich wieviele SV/RA/RI es hier gibt … Am Ende sicherlich eine eine Frage der Sichtweise :
a) Die – Beweis-Auswertung – durch den SV beschränkt sich genau auf seinen Auftrag den er von Gericht erhält. Wenn er mehr macht hat er seinen Auftrag verfehlt und fliegt raus. Wenn dort steht "war Schadsoftware auf der Platte" und der SV hat die Frage beantwortet ist es vollkommen egal was für ein OS/BS auf der Disk war.
b) Wenn der SV nichts auf der Disk findet, sollte man schon hinterfragen können was für ein OS/BS auf der Disk war und ob der SV die Möglichkeiten der dazu in Frage kommenden Schadsoftware in Betracht gezogen hat.
Vielleicht leichter verständlich wenn man das ganze mal nicht mit *Schadsoftware*, sondern JPG's durchspielt. Es ist für ein Gutachten vollkommen egal was für ein OS/BS auf der Disk ist. Es gibt (gab) Bildchen oder es gibt keine auf der Disk.
Zählt der Bootloader von Truecrypt als Betriebssystem?
Vielleicht war die betreffende Hardware ja ein Monitor oder ein Drucker, dann istdieAntwort vielleichtv erständlich.
Wie so oft im lawblog. Es sind nicht alle Fakten bekannt und man kan so herrlich spekulieren und fabulieren. Ach, ist das schön :-)
Ich sehe das aber auch differenziert. Nehmen wir mal den Fall, dass auf einem Rechner Kinderpornos vermutet werden. Der Sachverständige schließt nun die Festplatte an seinen PC an (Treiber für etliche Dateisysteme sind enthalten), die wird erkannt, er lässt eine Suchsoftware drüberlaufen, die vielleicht sogar Prüfsummen bekannter verbreiteter Kinderpornos hat und die abgleicht, eventuell sogar Bilderkennung. Anders würde man wohl kaum vernünftig arbeiten können, oder werden wirklich immer alle Bilder, Videos und Texte (in allen möglichen Formaten) manuell angeschaut (kinderpornografische Schriften können auch Texte sein). Das hat er gemacht und das Programm hat nun nichts Verdächtiges gefunden.
Warum in aller Welt sollte er nun wissen, welches Betriebssystem verwendet wurde? Scheint vielleicht nicht wichtig gewesen zu sein. Wenn er bis zu dem Zeitpunkt, wo er gefragt wurde, dann vielleicht noch fünf weitere Rechner untersucht hat, könnte er sich vielleicht ohnehin nicht mehr dran erinnern.
War überhaupt ein Betriebssystem drauf? „Hardware“ könnte auch eine USB-Platte sein, die einfach nur zur Datenlagerung verwendet wird. Ergo: Kein Betriebssystem. Ich hatte mal einen PC mit relativ kleiner Festplatte, da habe ich von CD gestartet (Linux-Boot-CD) und auf der Festplatte nur meine Daten gespeichert. Wäre dieser Rechner beschlagnahmt worden und hätte die Polizei vielleicht nur die Festplatte ausgebaut und einem solchen Sachverständigen in die Hand gedrückt, hätte er auch kein Betriebssystem vorgefunden.
Achso: Einen dicken Lacher an gr3if, der anscheinend nur zwei Dateisysteme kennt
Um die Frage, ob eine Datei auf der Platte ist, zu beantworten, muß man zumindest auch die Fragen beantworten, wo und wie sie auf der Platte ist. Ansonsten ist die Antwort weitestgehend unbrauchbar.
Wenn ich also untersuche, z.B. ob die Datei gelöscht oder ungelöscht ist, z.B. welche Attribute und Zugriffsdaten sie trägt, z.B. ob sie sich auf dem
Desktop, im Browsercache, im Papierkorb oder auf einer versteckten Wiederherstellungspartition befindet — dann muß ich auch untersuchen, welches System auf dem Rechner läuft bzw. welches System auf die Platte zugegriffen haben könnte.
Ich glaube das enthüllt ziemlich eindeutig wie ein solcher Sachverständiger vorgeht, wenn ihm gesagt wird Daten zu extrahieren. Sehr wahrscheinlich hauen die nur noch eine darauf vorbereitete LiveCD in den Rechner und erledigen so ihren Task. Da ein solches System ja auf jedes Windows/Linux Dateisystem zugreifen kann, spielt es keine Rolle mehr, was für ein Betriebssystem installiert war.
Damit beabsichtige ich nicht zu verteidigen, wie gedankenlos diese Vorgänge offenbar durchgeführt werden. Offenbart es doch mindestens, wie oberflächlich diese ablaufen.
@ct: Es geht hier aber nicht um Hardware. Das Stichwort lautet "Schadsoftware". Und da ist es absolut relevant, was für ein OS drauf ist (und auch welche Schadsoftware).
@19
Indem man sich Visitenkarten mit seinem Namen und dem Titel "IT-Sachverständiger" drucken lässt. :-)
@19
Hm, wenn ich genauer hinschaue, hast du ja gefragt, wie man zum "IT-Sachverständigtem" wird.
Das ist noch viel einfacher. Sobald man von einer IT-Sache verständigt wurde, ist man IT-Sachverständigter. :-)
@ 26/ct
Es ist völlig unerheblich was der KFZ-SV zu untersuchen hat!
Er wird IMMER Marke, Typ, Bj. usw. dokumentieren. Allein schon um zu zeigen, daß er sich den PKW auch wirklich angesehen hat und es sich nicht evtl. um eine Verwechslung des zu begutachtenden PKW handelt.
Und genauso geht auch ein IT-SV vor, der seine Arbeit ordentlich macht. Wenn er nicht mal die Frage nach dem installierten BS beantworten kann, dann erübrigen sich sämtliche weiteren Fragen. Entweder er hat von IT keine Ahung oder ist ein fauler Hund – beides disqualifiziert ihn als Sachverständigen.
Eine Denkaufgabe für alle, die meinen, daß das OS in diesem Fall unerheblich ist:
Warum sagt der SV nicht einfach, daß die Tatsache für diesen speziellen Fall irrelevant ist? Weil sie es vielleicht nicht ist? Weil er nicht beurteilen kann, ob sie es ist? Weiter Grund, der mir gerade nicht durch den Kopf spukt?
Zusatzfrage an die USB-Platten-Theoretiker:
Warum schreibt er dann nicht auf, daß keines vorhanden war? Oder antwortet, daß in diesem Fall die Frage nicht zutreffend ist?
Könnte es nicht vielleicht auch um Psychologie gehen.
Die Frage ob das OS wichtig ist oder nicht wird ja auch hier kontrovers diskutiert.
Eigentlich ist das auch schnuppe.
Die Frage ist doch, wie jemand rüber kommt, der diese Frage nicht beantworten kann. Sowas muss man nicht wissen, aber doch wenigstens notieren, damit man das gegebenfalls nachsehen kann, wenn ein Prozeßbeteiligter versucht, einen mit solchen trivialen Sachen unglaubwürdig zu machen.
Es wirkt halt einfach unprofessionell. Dazu kommt noch, dass in meiner vorurteilsbeladener Welt die meisten Richter bestenfalls wissen, wo das Office Paket auf ihrem PC ist.
Und für jemanden, der sich nur sehr grob mit IT beschäftigt, ist die Frage welches BS immens wichtig (Win = Bäh, Linux und MacOS = sicher).
Aber der Sachverständige ist ja auch nur IT-Spezialist und kein Psychologe…
Spätestens wenn der Angeklagte behauptet ihm sei das poblematische Material untergejubelt worden, wird die Frage nach dem BS wichtig.
Gibt es irgend eine Möglichkeit, an das Protokoll dieser Gerichtssitzung ranzukommen? Zumindest von diesem Abschnitt? Oder wenigstens das Gericht, ein Aktenzeichen oder etwas ähnliches? So dass man das glaubwürdig zitieren kann?
Ich habe nämlich gelegentlich das Vergnügen, IT-Forensiker auszubilden und das wäre das absolute Negativbeispiel von dem niemand glaubt, dass es je passiert.
Und jetzt mal zur Diskussion, ob das BS relevant ist oder nicht:
1) Die absolute Grundregel der IT-Forensik ist: ALLES DOKUMENTIEREN! Ja, wirklich jeden Schritt!
2) Völlig unabhängig von der Fragestellung muss immer der Untersuchungsgegenstand beschrieben werden. Und dazu gehört von den Seriennummern der Festplatte über die Hersteller der Komponenten auch das Betriebssystem und noch viele andere Daten. Einfach alle Information, die vor Gericht erlauben, den Vorfall einzuschätzen. Und ein guter IT-Forensiker hat immer
a) entweder eine Antwort auf die Fragen oder
b) einen guten, ernsthaften Grund, warum er das nicht hat.
Und nun zum Beispiel, Thema Schadsoftware:
Fall 1) Wir finden entsprechende Daten auf einem Rechner mit Window 98, völlig ungepachtem Betriebssystem und uraltem IE, fehlendem Virenscanner, etc. Das Stichwort lautet "Scheunentor"
Fall 2) Wir finden entsprechende Daten auf einem Linux-Rechner mit selbst kompiliertem Kernel, aktuellstem Firefox und gehärteten Libraries, alles von der Sorte Hochsicherheitstrakt
Der Verdächtigte sagt mit einem treuen Augenaufschlag: "Ja, da mögen ja diese komischen Daten auf meinem Rechner gewesen sein, aber ich war das nicht, dass muss irgend ein böser (TM) Hacker gewesen sein"
Ich denke, das BS macht hier einen deutlichen Unterschied, oder?
@Der Glasperlenspieler: Schön, hast mir grade viel Tipparbeit abgenommen ;-)
Es gibt ja auch so ganz schlaue — Sachverständige wie Ermittler — die installieren ein Programm X, das der Beschuldigte benutzt haben will, kurzerhand auf seinen beschlagnahmten Rechner um zu testen, ob es denn auf diesem auch tatsächlich läuft.
Und selbstverständlich macht ein ordentlicher Forensiker sich eine Sicherungskopie und arbeitet mit der Kopie, denn schon ein Bootvorgang mit dem Originalrechner ändert auf der Originalplatte Bits und Bytes.
Das Betriebssystem ist in dem angesprochenen Beispiel sehr wohl von Bedeutung ob der Beurteilung, ob die Daten, um die es hier geht, durch den Beschuldigten oder vielleicht durch ein Schadprogramm auf den Rechner gelangt sind.
@ 26 (ct)
Nicht alles was hinkt ist ein Vergleich! Ein DVBT-Stick in der Satteltasche vom Fahrrad macht das Fahrrad ja wohl auch nicht zu einem Fall für die GEZ – oder?
MfG
@ holofloh
Das Fahrrad nicht aber der DVBT-Stick
Der Zählt als Empfangsgerät Reicht auch schon ein Einfacher VHS Videorecorder damit dir die GEZ auf den Nerf Geht
@ Schlupp Es heißt Nerv. Nerfen würde dich die GEZ nur indem sie dich schwächer macht.
Aber das will sie ja nicht sie will nur dein Geld.
Platte vor forensischer Kopie hardwaremässig auf read-only setzen und dies dokumentieren.
Bingo! 1. Frage: "Im Gutachten ist die Massnahme, mittels derer ein aktiver Zugriff auf die Platte verhindert wurde, nicht angeführt. Welche wurde(n) ergriffen?"
Ich kenne Leute, die gar nicht wissen, wie man Platten hw-seitig schreibschützt und IT-Gutachten über ausgelesene Platten verfassen!
Stuff
@Bernhard: bis hin zu dwords!
Nach meinem Empfinden mangelt es an einem Standard bei der IT-Forensik.
In meinem Strafverfahren (wissentliche Falschbeschuldigung durch meinen ehemaligen Arbeitgeber) wurde ebenfalls ein "Gutachten" in Auftrag gegeben. Es enthält meinen Namen 53 Mal, jedoch weder Hersteller, Modell, Seriennummer, Betriebssystem oder Inventarnummer. Im Falle letzterer wird sogar die Existenz geleugnet.
Somit ist unklar, welches Gerät überhaupt untersucht wurde. Statt dessen heisst es in diesem "Gutachten" immer "…das Notebook von Herrn K…", "…somit ist klar, dass Herr K…" usw.
Erstellt wurde das "Gutachten" von einer ausländischen Firma ohne IT-Forensik-Referenzen, die zudem dem ehemaligen Arbeitgeber nahe steht.
Trotz allem wurde dieses "Gutachten" von der Staatsanwaltschaft ohne Vorbehalte akzeptiert.
Zur gleichen Zeit bekleckerte sich die IT-Forensik der Polizei mit Ruhm, indem sie ein Mobiltelefon "auswertete", was angeblich durch "elektronisches Auslesen" geschah. Das dies nicht der Fall gewesen sein kann, zeigt sich in Form zahlreicher Rechtschreibfehler bei Namen und Zahlendrehern bei Telefonnummern, die allerdings sämtlich korrekt gespeichert waren.
Das Verfahren ist letztlich eingestellt worden, die Angst vor so viel Unprofessionalität bei Polizei & Staatsanwaltschaft bleibt jedoch.
Heiteres Fälleraten.
Fakten:
- "sichergestellter Hardware":
Hardware kann eine einzelne Platte oder ein ganzer PC sein.
Da eine Schadsoftware auf einer externen Platte nur ganz selten Schaden anrichten kann (z.B. USB-Platte mit Autostart, ist aber sehr ungewöhnlich), wird es wohl um einen gesamten PC gehen.
- "Stichwort Schadsoftware":
Eine Schadsoftware kann sich nur entfalten, wenn die Schadsoftware auch zum BS passt. Deshalb ist die Frage nach dem BS nicht nur nettes Beiwerk oder der Versuch des SV-Bashings, sondern essentiell.
Experten! Wohin man auch blickt nur Experten und Fachleute!
@tom 2:
Es werden i.d.R. auch Drucker und Monitore mitgenommen, Tastaturen und Kabel bleiben auch nicht liegen.
#k.
Eigene Erfahrung von mir, nachdem die KriPo einen Computer von mir bei einer Hausdurchsuchung beschlagnahmt hat:
Ich hatte auf dem Desktop einen Ordner, mit dem Namen "Beweise". Dort drin hatte ich alle möglichen Seiten von Leuten gesichert, die mein Coyright missachtet haben, und Fotografien von mir veröffentlichten.
Über Tage hat die Kripo damit verbracht, zu überlegen, was das für Beweise sein sollen, weil die damit nix anfangen konnten. Wenn denn schon "Beweise" drauf steht, dann müssen da doch auch "Beweise" drin sein, dachten sie. So leicht kann man Nebelgranaten werfen.
Als ich den Computer dann wieder bekommen hab (das Verfahren wurde natürlich zu Recht eingestellt), hatte der dortige EDV-Sachverständige eine Diskette darin vergessen, auf dem alle möglichen Dateien und Notizen von ihm drauf waren.
Man arbeitet dort also sehr professionell, wie ich feststellen durfte.
@Abmahner:
ist das Ironie? Wenn er offensichtlich seine Notizen auf dem PC schrieb den er untersucht hatte….
@Abmahner: Das ist dann sicherlich schon etwas länger her, wenn der PC noch mit Disketten umgehen konnte… ;)
Nein ist keine Ironie, sondern so passiert.
Ist etwa 5 Jahre her, mein Rechner heute ist aber immer noch der gleiche.
@ 56\Fachmann
Naja, wenn man seinen PC bei Aldi kauft, dann mag sowas vlt. stimmen ;).
Ich baue meine PCs seit 386er Zeiten selber und mein aktueller PC ist ziemlich up-to-date (3 Kern, DX11-GK etc.) und hat trotzdem noch ein 1.44 MB Diskettenlaufwerk.
Nicht daß ich es häufig benutzen würde……aber ab und zu ist es sehr hilfreich.
@SwENSkE: Nee, hat nichts mit Aldi zu tun, sondern dass die nicht mehr (außer von Sony, und die wollen jetzt auch die Produktion stilllegen) produziert werden. Und die wirklich wichtigen Dinge kann man wunderbar auf einen USB-Stick kopieren und braucht die Disketten theoretisch auch nicht mehr.
@Fachmann: Nö, Verbatim produziert die ebenfalls noch, und wird sie im Gegensatz zu Sony auch erstmal weiterproduzieren :)
@SwENSke
@Fachmann
Dito. zum Thema Diskette:
http://computer.t-online.de/sony-stellt-produktion-der-3-5-zoll-diskette-ein/id_41443768/index
Das wars dann wohl mit der Diskette….also los schnell Hmasterkäufe ;-)
Die armen Tiere!