Die digitale Forensik ist eine junge Teildisziplin der klassischen Forensik, die sich seit den 1980er Jahren langsam etabliert.
Hier wird der Begriff digitale Forensik / digital-forensische Untersuchungen (englisch: Digital forensic investigations (DFI)) benutzt anstelle des Begriffs Computerforensik. Mit digitaler Forensik wird auch die blosse Untersuchung von Datenträgern eingeschlossen unabhängig von einem Computer.
Aus dem Begriff Forensik1Wer forensisch tätig ist, tritt in irgendeiner Form vor einem Forum auf. Statt vieler: Etymologie nach Duden “lateinisch forensis, eigentlich = zum Forum gehörend”; Bedeutung nach … Continue reading heraus ergibt sich eine Zielsetzung, die mit digital forensischen Untersuchungen erreicht werden soll: Am Ende der Untersuchung sollen gerichtlich verwertbare Beweise vorliegen.2Vgl. Geschonneck, S. 2; Heinson, S. 16 f. mit weiteren Ausführungen und Referenzen;
Synonym benutzte Begriffe: IT-Forensik, Computerforensik, Digital Forensic Investigations
Gewisse Prinzipien der digital-forensischen Beweissicherung haben sich mittlerweile als Stand der Wissenschaft etabliert:
[…]
IRFOREN SW01 – bis SW05
IRFOREN SW06 – Geschichte der IT-Forensik
ebenso tuccillo fordin: –> vermutlich angelehnt an RFC
Die Spielregeln – Grundsätze der digitalen Forensik
1. Rechtmässigkeit bei Erhebung der Spur einhalten
2. Verhältnismässigkeit der Massnahmen wahren
3. Authentizität der Spur gewährleisten
4. Integrität der Spurenlage bewahren
5. Vier-Augen-Prinzip anwenden (kritische Phasen)
6. Nachvollziehbarkeit des Vorgehens sicherstellen
7. Bedeutung der Befunde belegen und begründen
– Was bedeutet der Grundsatz?
– Welcher Zweck wird mit dem Grundsatz verfolgt?
– Wer trägt die Verantwortung für dessen Einhaltung?
– Wie wird die Einhaltung sichergestellt?
Digital forensic investigations (DFIs), tätigkeit nach oder manchmal auch während eines Vorgangs3Rowlings
IRFOREN!!!
FORDIN folien studieren und in literatur nachforschen
aus prof tuccillo fordin ’01/48
Klassische IT-Forensik: (Lange) nach dem Ereignis
– Nach dem Einleiten einer Untersuchung
– Sicherstellung von Spuren gemäss Grundsätzen
Incident Response: Kurz nach Feststellung oder noch während Ereignis
– Sicherstellung von Spuren gemäss Grundsätzen
– Vermeidung weiterer Schäden
Forensic Readiness: Vor Ereignis
– Präventiv, auf Vorrat, ohne konkreten Auslöser
– Aufzeichnung potentiell relevanter Spuren gemäss Grundsätzen
– Auswertung im Bedarfsfall gemäss Grundsätzen
143bis blog post hier einarbeiten
https://dblp.org/db/journals/ijde/ijde2.html
Chain of Custody, Beweissicherung, Verwertbarkeit anschneiden
weitere vorgehensmodelle:
-SAP Modell
-BSI Modell
-CFFTPM Modell
-Investigativ Process Model
C:\Users\RK\Downloads\IRFORENSICS 06 – Geschichte der IT-Forensik.pdf
Abgrenzungen und Abwägungen betr. Live Forensic und Post Morten forensic, in C:\Users\RK\Downloads\IRFORENSICS 06 – Geschichte der IT-Forensik.pdf seite 57 und 58 und weitere
An dieser Stelle liegt der Fokus auf dem S-A-P-Modell; die weiteren Modelle werden soweit sinnvoll angeführt und detailliert mit Quellenangaben für die weiterführende Erschliessung referenziert.
Das S-A-P-Modell reduziert die gesamte Komplexität einer digital-forensischen Untersuchung auf drei Phasen:
Secure beinhaltet das Sicherstellen des Bweismaterials. Gedanklich notwendig ist dafür die Vorbereitung des Sicherhstellungsprozesses mit organisatorischen und technischen Vorkehren und unternehmensintern im Rahmen der Forensic Readiness-Bestrebungen (siehe unten).6Vgl. Geschonneck, S. 68;Heinson, S. 27 ff.; Marschall, S. 98; Dolle, S. 183 Die gesamte Untersuchung profitiert hier vom Einsatz erfahrener Forensiker mit möglichst umfassender Kenntnis des zu untersuchenden Systems, da nur jenes Datenmaterial den weg in den Gerichtsprozess oder zu den Entscheidträgern im Unternehmen findet, das auch sichergestellt wurde.
Die Analyze-Phase dreht sich um das Interpretieren der sichergestellten Spuren. Hier ist tiefes Wissen um technische Zusammenhängen unerlässlich. Die Forensiker haben keine rechtlichen Fragen zu stellen oder Schlüsse zu ziehen, sondern sich ausschliesslich auf die objektiv vorliegenden Findings zu beziehen und haben darzulegen, welche Geschehensabläufe sich aus diesen Findings ergeben.7Vgl. Geschonneck, S. 69; Heinson, S. 53 ff.; Marschall, S. 98; Dolle, S. 183
In der Present-Phase werden die Analyseergebnisse aufbereitet und in die notwendige Form gebracht, so dass z.B. die Entscheidträger oder die Gerichte auf der Basis der vorgelegten Ergebnisse ihre Schlüsse ziehen können. Das kann u.a. Rapporte, Gutachten oder das persönliche Erscheinen der Forensiker beinhalten.8Geschonneck, S. 69; Heinson, S. 65 ff.; Marschall, S. 98; Dolle, S. 183
Folgende generelle Vorgehensweise kann als Ausgangspunkt für digital-forensische Untersuchungen genutzt werden:9Im Einzelfall muss die Vorgehensweise auf die angetroffene Situation abgestimmt werden. Gesetzliche Vorgaben (bei hoheitlichen Untersuchungen z.B. im Rahmen der StPO) sind zwingend einzuhalten. Bei … Continue reading
[…]
Meinen BGer noch einbauen
BGer 6B_1056 vom 28.05.2022 Pornografie nach Art. XY StGB
[…]
[…]
essay studieren und einpflegen: https://www.lawfareblog.com/dangers-posed-evidentiary-softwareand-what-do-about-it
[…]
[…]
C:\Users\RK\l8-x1-rk\FS22\WIPRO\Literatur\Literatursammlung-WIPRO\2021_Book_AdvancesInDigitalForensicsXVII.pdf
Modelle, die einen weiteren Detaillierungsgrad aufweisen als das S-A-P-Modell, enthalten im Minimum die drei Stufen des S-A-P-Modells. 13Ausführlich hat sich Eoghan Eoghan Casey sowie Claudia Armbruster zu den verschiedenen Prozessmodellen und deren Unterschieden geäussert: Casey, Digital Evicence, S. 189; Armbruster, Kap. 1.3 ab S. … Continue reading
C:\Users\game\l8-game\FS22\WIPRO\Literatur\Literatur-WIPRO-triagiert-brauchbar-in-Quellenverzeichnis-erfasst\Casey
Eoghan-Digital Evidence and Computer Crime-Digital Evidence and
Computer Crime-2011.pdf
PDF-S. 2
18
Die Vorgehensweise basiert auf einem Modell des forensischen Prozesses, in
welchem die einzelnen Untersuchungsschritte in logisch zusammengehörige
Abschnitte gegliedert werden. Es gibt unterschiedliche Modelle des forensischen
Prozesses. Der Großteil dieser ist sehr stark auf Strafverfolgungsbehörden
ausgerichtet. Beispielhaft sei hier auf das in [Cas04] vorgestellte „Investigative
Process Model“ verwiesen. Dieses nimmt eine Aufteilung in 12 Abschnitte vor,
eines dieser Abschnitte ist beispielsweise das „Identifizieren und Beschlag-
nehmen“. Das „S-A-P Modell“ aus [Ges08] hingegen nimmt eine Teilung in die
drei Abschnitte „Secure“, „Analyse“ und „Present“ vor. Auch dieses ist
vornehmlich auf die Verfolgung von Straftaten ausgerichtet.
Ist das ein Forensic Readyness-Modell? Scheint bis auf Stufe 1 auch SAP zu entsprechen. EDRM durchlesen und dann ergebnis hier festhalten.
https://edrm.net/wp-content/uploads/2020/04/EDRM-clean-poster-24×36-1.pdf
https://edrm.net/resources/frameworks-and-standards/edrm-model/
Information Governance – Getting your electronic house in order to mitigate risk & expenses should e-discovery become an issue, from initial creation of ESI (electronically stored information) through its final disposition.
Identification – Locating potential sources of ESI & determining its scope, breadth & depth.
Preservation – Ensuring that ESI is protected against inappropriate alteration or destruction.
Collection – Gathering ESI for further use in the e-discovery process (processing, review, etc.).
Processing – Reducing the volume of ESI and converting it, if necessary, to forms more suitable for review & analysis.
Review – Evaluating ESI for relevance & privilege.
Analysis – Evaluating ESI for content & context, including key patterns, topics, people & discussion.
Production – Delivering ESI to others in appropriate forms & using appropriate delivery mechanisms.
Presentation – Displaying ESI before audiences (at depositions, hearings, trials, etc.), especially in native & near-native forms, to elicit further information, validate existing facts or positions, or persuade an audience.
[…]
Forensic Readiness ist im Rahmen von WIPRO nicht bearbeitet worden. Es wurde einzig Quellerecherche betrieben, soweit es sich bei der Bearbeitung der übrigen Themen ergeben hat.
Separate Seite erstellen?
↑1 | Wer forensisch tätig ist, tritt in irgendeiner Form vor einem Forum auf. Statt vieler: Etymologie nach Duden “lateinisch forensis, eigentlich = zum Forum gehörend”; Bedeutung nach Duden: “gerichtlichen oder kriminologischen Zwecken dienend, im Dienste der Rechtspflege stehend; gerichtlich” siehe Duden, Link zu “forensisch”. |
---|---|
↑2 | Vgl. Geschonneck, S. 2; Heinson, S. 16 f. mit weiteren Ausführungen und Referenzen; |
↑3 | Rowlings |
↑4 | Bangerter, S. 266; BSI, S. 24; Geschonneck, S. 68; Marschall, S. 98; Dolle, S. 183. Auch Heinson strukturiert den Teil “Technik und Verfahren” seiner bis heute einzigartige und umfassende Dissertation zur IT-Forensik im rechtlichen Kontext nach dem SAP-Modell. |
↑5 | Der Ursprung des S-A-P-Modells ist unklar. Sämtliche eruierten Autoren nehmen das S-A-P als gegeben an und verwenden die englischsprachigen Begriffe für Sichern, Analysieren, Präsentieren. Es fällt auf, dass in der englischsprachigen Literatur das S-A-P-Modell nicht ein einziges Mal erwähnt wird. Daraus lässt sich eine deutschsprachige Herkunft ableiten. Alexander Geschonneck benutzte diese Bezeichnung im Jahr 2006 am CeBIT-Forum, weshalb er der Begründer dieses Modells sein dürfte. |
↑6 | Vgl. Geschonneck, S. 68;Heinson, S. 27 ff.; Marschall, S. 98; Dolle, S. 183 |
↑7 | Vgl. Geschonneck, S. 69; Heinson, S. 53 ff.; Marschall, S. 98; Dolle, S. 183 |
↑8 | Geschonneck, S. 69; Heinson, S. 65 ff.; Marschall, S. 98; Dolle, S. 183 |
↑9 | Im Einzelfall muss die Vorgehensweise auf die angetroffene Situation abgestimmt werden. Gesetzliche Vorgaben (bei hoheitlichen Untersuchungen z.B. im Rahmen der StPO) sind zwingend einzuhalten. Bei unternehmensinternen Untersuchungen können Weisungen bestehen, wobei solche Weisungen im Konfliktfall mit vorgesetzten Stellen zu klären sind. Falls für die forensische Untersuchung ein Abweichen zwingend notwendig ist und Klärung (trotz allfälliger Eskalation) der Untersuchung weiterhin Grenzen auferlegt, müssen diese Grenzen detailliert dokumentiert sein. |
↑10 | Carrier, Kap. 1; |
↑11 | Carrier, Kap. 2; |
↑12 | Carrier, Kap. 3; |
↑13 | Ausführlich hat sich Eoghan Eoghan Casey sowie Claudia Armbruster zu den verschiedenen Prozessmodellen und deren Unterschieden geäussert: Casey, Digital Evicence, S. 189; Armbruster, Kap. 1.3 ab S. 13. |
↑14 | Rowlingson, S. 8 ff. |