forensics.cyber-kill-chain.ch

Menu

Grundzüge der digitalen Forensik

Definition und Begriff

Die digitale Forensik ist eine junge Teildisziplin der klassischen Forensik, die sich seit den 1980er Jahren langsam etabliert.

Hier wird der Begriff digitale Forensik / digital-forensische Untersuchungen (englisch: Digital forensic investigations (DFI)) benutzt anstelle des Begriffs Computerforensik. Mit digitaler Forensik wird auch die blosse Untersuchung von Datenträgern eingeschlossen unabhängig von einem Computer.

Aus dem Begriff Forensik1Wer forensisch tätig ist, tritt in irgendeiner Form vor einem Forum auf. Statt vieler: Etymologie nach Duden “lateinisch forensis, eigentlich = zum Forum gehörend”; Bedeutung nach … Continue reading heraus ergibt sich eine Zielsetzung, die mit digital forensischen Untersuchungen erreicht werden soll: Am Ende der Untersuchung sollen gerichtlich verwertbare Beweise vorliegen.2Vgl. Geschonneck, S. 2; Heinson, S. 16 f. mit weiteren Ausführungen und Referenzen;

Synonym benutzte Begriffe: IT-Forensik, Computerforensik, Digital Forensic Investigations

Grundsätze

Gewisse Prinzipien der digital-forensischen Beweissicherung haben sich mittlerweile als Stand der Wissenschaft etabliert:

[…]

IRFOREN SW01  – bis SW05

IRFOREN  SW06 – Geschichte der IT-Forensik

ebenso tuccillo fordin: –> vermutlich angelehnt an RFC

Die Spielregeln – Grundsätze der digitalen Forensik
1. Rechtmässigkeit bei Erhebung der Spur einhalten
2. Verhältnismässigkeit der Massnahmen wahren
3. Authentizität der Spur gewährleisten
4. Integrität der Spurenlage bewahren
5. Vier-Augen-Prinzip anwenden (kritische Phasen)
6. Nachvollziehbarkeit des Vorgehens sicherstellen
7. Bedeutung der Befunde belegen und begründen
– Was bedeutet der Grundsatz?
– Welcher Zweck wird mit dem Grundsatz verfolgt?
– Wer trägt die Verantwortung für dessen Einhaltung?
– Wie wird die Einhaltung sichergestellt?

Digital forensic investigations (DFIs), tätigkeit nach oder manchmal auch während eines Vorgangs3Rowlings

IRFOREN!!!

FORDIN folien studieren und in literatur nachforschen

aus prof tuccillo fordin ’01/48

Klassische IT-Forensik: (Lange) nach dem Ereignis
– Nach dem Einleiten einer Untersuchung
– Sicherstellung von Spuren gemäss Grundsätzen

Incident Response: Kurz nach Feststellung oder noch während Ereignis
– Sicherstellung von Spuren gemäss Grundsätzen
– Vermeidung weiterer Schäden

Forensic Readiness: Vor Ereignis
– Präventiv, auf Vorrat, ohne konkreten Auslöser
– Aufzeichnung potentiell relevanter Spuren gemäss Grundsätzen
– Auswertung im Bedarfsfall gemäss Grundsätzen

143bis blog post hier einarbeiten

https://dblp.org/db/journals/ijde/ijde2.html

Chain of Custody, Beweissicherung, Verwertbarkeit anschneiden



Overview: Grundzüge der digitalen Forensik

Vorgehensweise bei digital-forensischen Untersuchungen

Das S-A-P-Modell

weitere vorgehensmodelle:

-SAP Modell
-BSI Modell
-CFFTPM Modell
-Investigativ Process Model

 C:\Users\RK\Downloads\IRFORENSICS 06 – Geschichte der IT-Forensik.pdf

Abgrenzungen und Abwägungen betr. Live Forensic und Post Morten forensic, in  C:\Users\RK\Downloads\IRFORENSICS 06 – Geschichte der IT-Forensik.pdf seite 57 und 58 und weitere

Das S-A-P-Modell4Bangerter, S. 266; BSI, S. 24; Geschonneck, S. 68; Marschall, S. 98; Dolle, S. 183. Auch Heinson strukturiert den Teil “Technik und Verfahren” seiner bis heute einzigartige und umfassende … Continue reading5Der Ursprung des S-A-P-Modells ist unklar. Sämtliche eruierten Autoren nehmen das S-A-P als gegeben an und verwenden die englischsprachigen Begriffe für Sichern, Analysieren, Präsentieren. Es … Continue reading ist mit seinen drei Phasen eines der kompaktesten Modelle für digital-forensische Untersuchungen. Es gibt zahlreiche weitere Prozessmodelle (siehe unten weitere Modelle), die allesamt letzten Endes auf die konkrete Situation angepasst und individualisiert werden müssen.

An dieser Stelle liegt der Fokus auf dem S-A-P-Modell; die weiteren Modelle werden soweit sinnvoll angeführt und detailliert mit Quellenangaben für die weiterführende Erschliessung referenziert.

Das S-A-P-Modell reduziert die gesamte Komplexität einer digital-forensischen Untersuchung auf drei Phasen:

  1. Secure
  2. Analyze
  3. Present

Secure beinhaltet das Sicherstellen des Bweismaterials. Gedanklich notwendig ist dafür die Vorbereitung des Sicherhstellungsprozesses mit organisatorischen und technischen Vorkehren und unternehmensintern im Rahmen der Forensic Readiness-Bestrebungen (siehe unten).6Vgl. Geschonneck, S. 68;Heinson, S. 27 ff.; Marschall, S. 98; Dolle, S. 183 Die gesamte Untersuchung profitiert hier vom Einsatz erfahrener Forensiker mit möglichst umfassender Kenntnis des zu untersuchenden Systems, da nur jenes Datenmaterial den weg in den Gerichtsprozess oder zu den Entscheidträgern im Unternehmen findet, das auch sichergestellt wurde.

Die Analyze-Phase dreht sich um das Interpretieren der sichergestellten Spuren. Hier ist tiefes Wissen um technische Zusammenhängen unerlässlich. Die Forensiker haben keine rechtlichen Fragen zu stellen oder Schlüsse zu ziehen, sondern sich ausschliesslich auf die objektiv vorliegenden Findings zu beziehen und haben darzulegen, welche Geschehensabläufe sich aus diesen Findings ergeben.7Vgl. Geschonneck, S. 69; Heinson, S. 53 ff.; Marschall, S. 98; Dolle, S. 183

In der Present-Phase werden die Analyseergebnisse aufbereitet und in die notwendige Form gebracht, so dass z.B. die Entscheidträger oder die Gerichte auf der Basis der vorgelegten Ergebnisse ihre Schlüsse ziehen können. Das kann u.a. Rapporte, Gutachten oder das persönliche Erscheinen der Forensiker beinhalten.8Geschonneck, S. 69; Heinson, S. 65 ff.; Marschall, S. 98; Dolle, S. 183

Praktische Vorgehensweise

Folgende generelle Vorgehensweise kann als Ausgangspunkt für digital-forensische Untersuchungen genutzt werden:9Im Einzelfall muss die Vorgehensweise auf die angetroffene Situation abgestimmt werden. Gesetzliche Vorgaben (bei hoheitlichen Untersuchungen z.B. im Rahmen der StPO) sind zwingend einzuhalten. Bei … Continue reading

[…]


Angelehnt an: Bayuk Jennifer, CyberForensics, S. 10; Geschonnek, Heinson, Messier, Casey etc alle hier etwas einbauen

Rechtsprechung

Meinen BGer noch einbauen

BGer 6B_1056 vom 28.05.2022 Pornografie nach Art. XY StGB

Zusammenkürzen:Der Beschwerdeführer wendet sich gegen den
Schuldspruch wegen Pornografie. Er rügt diesbezüglich
Unregelmässigkeiten bei der Datensicherung und stellt infrage, dass die
pornografischen Dateien, für welche er verurteilt wurde, bei ihm
sichergestellt wurden. Er argumentiert, er habe auf Internet nie bewusst
nach harter Pornografie gesucht und jeweils sofort gelöscht, was ihm
strafbar erschienen sei. Er macht zumindest sinngemäss geltend, er sei
für nicht lesbare, gelöschte bzw. überschriebene, von der Polizei jedoch
wiederhergestellte, undatierte Dateien verurteilt worden. 
Die Vorinstanz legt dar, der Beschwerdeführer habe am
9. August 2016 noch zugegeben, verbotene Pornografie (Kinder- und
Tierpornografie, nicht aber Gewaltvideos) heruntergeladen und konsumiert
zu haben (angefochtenes Urteil E. 7.6 S. 10). Weiter geht aus dem
angefochtenen Entscheid hervor, dass der Beschwerdeführer in
Berücksichtigung der Verfolgungsverjährung einzig für Dateien verurteilt
wurde, welche erwiesenermassen in der Zeit ab dem 8. September 2013
heruntergeladen wurden (angefochtenes Urteil S. 19). Er wurde nicht für
sofort gelöschtes Material, sondern für bei ihm auf (teilweise nicht
mehr ans Internet angeschlossenen) externen Festplatten, CDs und DVDs
sichergestellte pornografische Aufzeichnungen schuldig gesprochen. Die
Vorinstanz verwirft daher die vom Beschwerdeführer im Berufungsverfahren
vorgetragene Begründung, die Daten seien durch einen Hackerangriff auf
seinen Computer gelangt (vgl. angefochtenes Urteil S. 18). Sie stellt
zudem fest, der Beschwerdeführer habe kinderpornografische Inhalte via
“eMule” auch Dritten zugänglich gemacht (angefochtenes Urteil S. 20). 
Was der Beschwerdeführer dagegen vorträgt, erschöpft
sich in einer unzulässigen appellatorischen Kritik am angefochtenen
Entscheid. Darauf ist nicht einzutreten. An der Sache vorbei geht
insbesondere auch der Einwand des Beschwerdeführers, 342 Seiten der DVD
act. 094 mit eindeutig legalen Dateien seien nicht ausgedruckt und zu
den Akten gereicht worden, da der Beschwerdeführer nicht behauptet, er
sei für diese Dateien verurteilt worden. Bezüglich welcher, angeblich
legaler Filme oder Bilder zu Unrecht ein Schuldspruch ergangen sein
soll, zeigt der Beschwerdeführer nicht konkret auf. 
Nicht zu hören ist der Beschwerdeführer zudem, soweit
er geltend macht, die Einvernahme vom 9. August 2016 sei nicht
verwertbar, da er sich mit den diesbezüglichen Ausführungen der
Vorinstanz nicht auseinandersetzt. Diese begründet ausführlich, weshalb
davon auszugehen ist, dass der Beschwerdeführer am 9. August 2016
entgegen seinen Vorbringen verhandlungsfähig war und sein Geständnis
daher verwertbar ist (vgl. angefochtenes Urteil S. 12-15).

[…]

[…]

Software zur Beweissicherung im Speziellen

essay studieren und einpflegen: https://www.lawfareblog.com/dangers-posed-evidentiary-softwareand-what-do-about-it

[…]

[…]

C:\Users\RK\l8-x1-rk\FS22\WIPRO\Literatur\Literatursammlung-WIPRO\2021_Book_AdvancesInDigitalForensicsXVII.pdf

Alles einpflegen: C:\Users\RK\l8-x1-rk\FS22\WIPRO\Literatur\Literatursammlung-WIPRO\Seminararbeiten-Forensik-2013.pdf Investigation 10Carrier, Kap. 1; Computer11Carrier, Kap. 2; Acquisition12Carrier, Kap. 3;

Weitere Modelle​

Modelle, die einen weiteren Detaillierungsgrad aufweisen als das S-A-P-Modell, enthalten im Minimum die drei Stufen des S-A-P-Modells. 13Ausführlich hat sich Eoghan Eoghan Casey sowie Claudia Armbruster zu den verschiedenen Prozessmodellen und deren Unterschieden geäussert: Casey, Digital Evicence, S. 189; Armbruster, Kap. 1.3 ab S. … Continue reading

 

 

C:\Users\game\l8-game\FS22\WIPRO\Literatur\Literatur-WIPRO-triagiert-brauchbar-in-Quellenverzeichnis-erfasst\Casey
Eoghan-Digital Evidence and Computer Crime-Digital Evidence and
Computer Crime-2011.pdf

PDF-S. 2

 

18

Die Vorgehensweise basiert auf einem Modell des forensischen Prozesses, in
welchem die einzelnen Untersuchungsschritte in logisch zusammengehörige
Abschnitte gegliedert werden. Es gibt unterschiedliche Modelle des forensischen
Prozesses. Der Großteil dieser ist sehr stark auf Strafverfolgungsbehörden
ausgerichtet. Beispielhaft sei hier auf das in [Cas04] vorgestellte „Investigative
Process Model“ verwiesen. Dieses nimmt eine Aufteilung in 12 Abschnitte vor,
eines dieser Abschnitte ist beispielsweise das „Identifizieren und Beschlag-
nehmen“. Das „S-A-P Modell“ aus [Ges08] hingegen nimmt eine Teilung in die
drei Abschnitte „Secure“, „Analyse“ und „Present“ vor. Auch dieses ist
vornehmlich auf die Verfolgung von Straftaten ausgerichtet.

10-Stufen-Modell von Rowlingson14Rowlingson, S. 8 ff.

  • Identification,
  • Preservation,
  • Analysis,
  • Documentation,
  • Presentation.
 

EDRM

weitere quellen
  https://www.isaca.org/resources/isaca-journal/past-issues/2014/importance-of-forensic-readiness
 
  https://security-guidance.service.justice.gov.uk/forensic-readiness-guide/#forensic-readiness-guide
 
Die Good Practice Guide 18 Forensic REadyness ist nur noch archivalisch erhätlich, wurde wohl mit der Eingliederung des CESG ins NCSC der Briten aufgehoben. Hintergründe und Ablauf unklar. Nicht mehr als direkte Quelle nutzen.

Ist das ein Forensic Readyness-Modell? Scheint bis auf Stufe 1 auch SAP zu entsprechen. EDRM durchlesen und dann ergebnis hier festhalten.

 

 https://edrm.net/wp-content/uploads/2020/04/EDRM-clean-poster-24×36-1.pdf

 

  https://edrm.net/resources/frameworks-and-standards/edrm-model/

 

Information Governance – Getting your electronic house in order to mitigate risk & expenses should e-discovery become an issue, from initial creation of ESI (electronically stored information) through its final disposition.

Identification – Locating potential sources of ESI & determining its scope, breadth & depth.

Preservation – Ensuring that ESI is protected against inappropriate alteration or destruction.

Collection – Gathering ESI for further use in the e-discovery process (processing, review, etc.).

Processing – Reducing the volume of ESI and converting it, if necessary, to forms more suitable for review & analysis.

Review – Evaluating ESI for relevance & privilege.

Analysis – Evaluating ESI for content & context, including key patterns, topics, people & discussion.

Production – Delivering ESI to others in appropriate forms & using appropriate delivery mechanisms.

Presentation – Displaying ESI before audiences (at depositions, hearings, trials, etc.), especially in native & near-native forms, to elicit further information, validate existing facts or positions, or persuade an audience.

Forensic Readiness

[…]

Forensic Readiness ist im Rahmen von WIPRO nicht bearbeitet worden. Es wurde einzig Quellerecherche betrieben, soweit es sich bei der Bearbeitung der übrigen Themen ergeben hat.

Arbeitsnotizen

Separate Seite erstellen?

Zu verarbeitende Quellen

  • Digital Forensics Acquisition Kill Chain? Siehe FS22\WIPRO\Literatur\Literatursammlung-WIPRO\2021_Book_AdvancesInDigitalForensicsXVII.pdf
Referenzen
Referenzen
1 Wer forensisch tätig ist, tritt in irgendeiner Form vor einem Forum auf. Statt vieler: Etymologie nach Duden “lateinisch forensis, eigentlich = zum Forum gehörend”; Bedeutung nach Duden: “gerichtlichen oder kriminologischen Zwecken dienend, im Dienste der Rechtspflege stehend; gerichtlich” siehe Duden, Link zu “forensisch”.
2 Vgl. Geschonneck, S. 2; Heinson, S. 16 f. mit weiteren Ausführungen und Referenzen;
3 Rowlings
4 Bangerter, S. 266; BSI, S. 24; Geschonneck, S. 68; Marschall, S. 98; Dolle, S. 183. Auch Heinson strukturiert den Teil “Technik und Verfahren” seiner bis heute einzigartige und umfassende Dissertation zur IT-Forensik im rechtlichen Kontext nach dem SAP-Modell.
5 Der Ursprung des S-A-P-Modells ist unklar. Sämtliche eruierten Autoren nehmen das S-A-P als gegeben an und verwenden die englischsprachigen Begriffe für Sichern, Analysieren, Präsentieren. Es fällt auf, dass in der englischsprachigen Literatur das S-A-P-Modell nicht ein einziges Mal erwähnt wird. Daraus lässt sich eine deutschsprachige Herkunft ableiten. Alexander Geschonneck benutzte diese Bezeichnung im Jahr 2006 am CeBIT-Forum, weshalb er der Begründer dieses Modells sein dürfte.
6 Vgl. Geschonneck, S. 68;Heinson, S. 27 ff.; Marschall, S. 98; Dolle, S. 183
7 Vgl. Geschonneck, S. 69; Heinson, S. 53 ff.; Marschall, S. 98; Dolle, S. 183
8 Geschonneck, S. 69; Heinson, S. 65 ff.; Marschall, S. 98; Dolle, S. 183
9 Im Einzelfall muss die Vorgehensweise auf die angetroffene Situation abgestimmt werden. Gesetzliche Vorgaben (bei hoheitlichen Untersuchungen z.B. im Rahmen der StPO) sind zwingend einzuhalten. Bei unternehmensinternen Untersuchungen können Weisungen bestehen, wobei solche Weisungen im Konfliktfall mit vorgesetzten Stellen zu klären sind. Falls für die forensische Untersuchung ein Abweichen zwingend notwendig ist und Klärung (trotz allfälliger Eskalation) der Untersuchung weiterhin Grenzen auferlegt, müssen diese Grenzen detailliert dokumentiert sein.
10 Carrier, Kap. 1;
11 Carrier, Kap. 2;
12 Carrier, Kap. 3;
13 Ausführlich hat sich Eoghan Eoghan Casey sowie Claudia Armbruster zu den verschiedenen Prozessmodellen und deren Unterschieden geäussert: Casey, Digital Evicence, S. 189; Armbruster, Kap. 1.3 ab S. 13.
14 Rowlingson, S. 8 ff.