Heute diskutieren wir den Begriff Forensik und nehmen eine grobe Abgrenzung vor, was eine Spur, ein Indiz und ein Beweis ist. Die Frage, ob es das perfekte Verbrechen gibt, wird anhand der Locard’schen Regel bzw. Austauschprinzip diskutiert. Zum Abschluss werden noch einige für das Praktikum relevante Werkzeuge vorgestellt.
| Skript-Anfang | Kapitel 1 – Seite 1 |
|---|---|
| Skript-Ende | Kapitel 1 – Seite 21 |
Begrifflichkeiten
Welche grundlegenden Begriffe gibt es?
- Die bekannten IT-Schutzziele sind Integrität, Vertraulichkeit, Verfügbarkeit und Authentizität (Link)
- Datensammlung und Datenanalyse gehören zum Vorgehensmodell forensischer Prozesse
- Die Grundlage für die juristische Verwertbarkeit der forensischen Arbeit ist die Nachvollziehbarkeit
Was ist Forensik?
- Ein Blick in die Vergangenheit
- Beschäftigt sich nur mit Tatsachen
- Die Forensik nimmt keine Bewertungen vor
- Eine systematische Untersuchung, was in der Vergangenheit passiert ist
- Anwendung wissenschaftlicher Methoden zur Beantwortung von Fragen des Rechts
Was sind Fragen des Rechts?
- Wann war der Todeszeitpunkt?
- Was war die Tatwaffe?
Welche forensische Disziplinen gibt es?
- Rechtsmedizin
- IT-Forensik
- Ballistik (Kriminaltechnologie)
- Serologie/Toxikologie (Chemie)
Was ist die chain of custody?
- Die Dokumentation der Aufbewahrung von Beweismitteln
- Es wird dabei jeder Zugriff auf ein Beweismittel protokolliert
- Wer identifiziert die Spur?
- Wer entnimmt die Spur?
- Wer untersucht die Spur?
Was ist eine Spur (sign)?
- Hinweise, die zur Beantwortung von Fragen des Rechts beitragen oder nicht beitragen
- Die Spuren werden erstmal nicht gedeutet, denn nur Fakten sind für die Forensik relevant
- Materielle Spuren sind Fußspuren, Spritzer, Messer oder die Magnetisierung von Festplatten (schlecht auswertbar)
- Immaterielle Spuren sind das Verhalten von Personen oder Zeugenaussagen
Was ist ein Indiz (indication)?
- Es ist eine gewürdigte Spur
- Sie hat eine stärkere Gewichtung für einen Kriminalfall als eine Spur
Was ist ein Beweis (evidence)?
- Die juristische Wahrheit nach richterlicher Überzeugung
Locard’sche Regel
Gibt es das perfekte Verbrechen?
- Es gibt kein perfektes Verbrechen
- Ein perfektes Verbrechen setzt voraus, dass es keine Spuren gibt
- Nach dem Prinzip der Locard’schen Regel gibt es immer Spuren
- Ein Mangel an Spuren ist nur dadurch zu begründen, dass diese nicht gefunden wurden
Was ist die Locard’sche Regel?
- Beschreibt eine Wechselwirkung zwischen Täter, Tatort und Opfer
- Nach diesem Prinzip gibt es immer Spuren, die es nur zu finden gibt
- Der Täter hinterlässt Spuren am Tatort und am Opfer
- Das Opfer und der Täter nehmen Spuren vom Tatort mit
- Das Opfer hinterlässt Spuren am Tatort und am Täter
Werkzeuge
Welche Werkzeuge sind für uns interessant?
mmlszeigt die Partitionierung einer Festplatte bzw. eines Festplatten-Images- Mit
sha256sumberechnet man Hash-Summen, um Integrität von Daten zu prüfen - Zum Hashen sollten mindestens 200 Bit verwendet werden (MD5 und SHA-1 unzureichend)
Kann man allen Informationen trauen?
- Nein, da fast alle Daten, wie Beschreibungen, manipuliert werden können
- Informationen in der Primary Table lassen sich leicht fälschen
- Den Anfangs- und Endblöcken einer Partition kann man trauen, da sich diese prüfen lassen