Disk-Forensik/ Rechtliche Rahmenbedingungen/ Dokumentation

Aus Wikibooks

Alle Aktionen, die während der Ermittlung durchgeführt werden, müssen dokumentiert werden. Diese angefertigte Dokumentation soll die Glaubwürdigkeit der Ermittlung verstärken. Werden Beweise gesichert, dann müssen diese entsprechend dokumentiert werden, damit eine lückenlose Beweiskette dargelegt werden kann. Dabei soll jederzeit für Dritte nachvollziehbar sein, wer, wann, wie Zugriff auf die Beweise hatte. Bei elektronischen Beweisen muss hier auf eine Prüfsumme zurückgegriffen werden. Weiters können Zeugen bei der Ermittlung hinzugezogen werden, die die durchgeführten Aktionen durch eine Unterschrift bezeugen.

Damit die gefundenen Beweise später vor Gericht verwendet werden können, dürfen an Herkunft, Besitztum und Unversehrtheit keine Zweifel bestehen. Dies wird vor allem durch eine Dokumentation erreicht, welche den kompletten Ablauf der Ermittlung lückenlos darstellt und deren Authentizität oder Glaubwürdigkeit vor Gericht gegeben ist. Die grundlegende Bedeutung der Dokumentation bei der Spurensicherung findet sich auch in vielen nationalen [5, S.3-7] und internationalen [4] Normen wieder.

Art der Dokumentation[Bearbeiten]

Es grundsätzlich unerheblich, ob noch in schriftlicher Form in diversen, teilweise vorgefertigten Formularen protokolliert wird oder ob dies bereits in elektronischer Form erfolgt. Sollte die Dokumentation jedoch elektronisch erfolgen, ist besonders darauf zu achten, dass die Dokumente fälschungssicher sind, also zum Beispiel mit einer digitalen Unterschrift versehen werden. Dies ist erforderlich, um die Glaubwürdigkeit solcher elektronischer Dokumente vor Gericht sicherzustellen. Besonders die folgenden Punkte sollten dabei beachtet werden, um die Integrität solcher elektronischer Dokumente sicherzustellen [1, S.209]:

  • Schutz der Dokumente und Dateien durch sämtliche, durch das jeweilige Betriebssystem zur Verfügung gestellten Mittel, wie Zugriffskontrolllisten (Access Control List, ACL), Verschlüsselung, Benutzerverwaltung, usw.
  • Sämtliche Dateizugriffe auf diese Dokumente protokollieren (Logging), dabei sowohl Erfolg, als auch Misserfolg der Zugriffe erfassen.
  • Verwenden von digitalen Unterschriften, Zertifikaten, Zeitstempel, Hashwerten, u. dgl. zum Signieren der Dokumente.
  • Durchführen von sicheren Backups, sicheres Verwahren dieser Backups mit Kontrolle der Zugriffe auf diese Backups (z.B. Tresor).
  • Periodisches Ausdrucken der wichtigsten Dokumente, danach diese unterschreiben und sicher verwahren.

Gerade im Bereich der elektronischen Beweissicherung existieren in der Zwischenzeit einige Applikationen, welche genau diese Punkte beachten und für sicheres Signieren, Backup und Verwalten der elektronischen Dokumente sorgen. Diese Anwendungen garantieren durch eine Kombination aus eindeutigem Zeitstempel in Verbindung mit einer kryptographischen Hashfunktion die eindeutige und manipulationssichere Kennzeichnung der elektronischen Dokumente. Gerade in Verbindung mit der digitalen Signatur eines Online-Notars, also eines beglaubigten Notars, der Online digitale Unterschriften anbietet, lassen sich so elektronische Dokumente erzeugen, welche auch höchste Anforderungen an die Integrität erfüllen können.

In [1,S.331ff] sind Beispielformulare für die Beweisaufnahme und -sicherstellung angeführt.

Dokumentation bei der Beweisaufnahme[Bearbeiten]

Das Dokumentieren eines jeden Schrittes und jeder durchgeführten Tätigkeit hat oberstes Gebot. Alles was nicht lückenlos dokumentiert ist, lässt sich möglicherweise nicht mehr genau darlegen, wenn es zu einer Gerichtsverhandlung kommt. Dies oft aus dem einfachen Grund, dass diese Verhandlungen meistens Jahre später stattfinden und dann die Erinnerung des zuständigen Ermittlers an die durchgeführten Tätigkeiten nicht mehr in der Detailtreue vorhanden ist, wie sie vor Gericht erforderlich wäre. Somit kann dann die Glaubwürdigkeit des Ermittlers bzw. der gesamten Ermittlung beeinträchtigt werden. Selbst wenn zum Zeitpunkt der Beweismittelerhebung ein Gerichtsverfahren nicht als wahrscheinlich erscheint, sollte dennoch mit derselben Sorgfalt bei der Dokumentation vorgegangen werden, wie dies bei einer Erhebung für ein Gerichtsverfahren erfolgen würde. Sollte aus einem kleinen Delikt nach der Analyse der Beweise ein größerer Fall werden und dieser vor Gericht ausgetragen werden, so kann eine lückenlose Dokumentation über den Ausgang des Verfahrens entscheiden.


Die folgenden Punkte sollte man beim Sammeln von Beweismaterial und der Erstellung einer Dokumentation in jedem Fall beachten.

  • Fotografieren des kompletten Erhebungsprozesses sowie des behandelten Systems. Gerade bei Beweisaufnahmen, in denen nur Images eines laufenden Systems angefertigt werden können bzw. die Hardware vor Ort bleiben muss, sind Fotos (am besten in elektronischer Form) die optimale Lösung, wenn man sich später an kleine Details oder den Erhebungsvorgang erinnern soll.
  • Sollte ein komplettes System sichergestellt werden, so sollte ein manipulationssicheres Klebeband mit Seriennummer zur Kennzeichnung verwendet werden. Dieses dient einerseits dazu, die sichergestellten Systeme untereinander eindeutig unterscheiden zu können, andererseits auch dazu, um Manipulationen an den Systemen während des Transportes in das eigene Labor / Lager feststellen zu können. Das Klebeband bzw. ein entsprechender Aufkleber sollte so angebracht werden, dass bei einem Öffnen des Gehäuses das Siegel zerstört wird. Die Seriennummer braucht keinem fixen Schema zu folgen, sollte jedoch Informationen zu laufender Nummer, aktuelles Datum, jeweiliger Fall und der Person, die das System sichergestellt hat, enthalten. Sollte es erforderlich sein, das System im eigenen Labor zur Untersuchung zu öffnen, so sollte es anschließend wieder neu versiegelt werden und mit einer geänderten Seriennummer bezeichnet werden, die zusätzlich die Information beinhaltet, wie oft das System bereits geöffnet wurde. Die Seriennummer kann natürlich auch alphanumerische Zeichen enthalten. Amerikanische Ermittler haben dazu das Merkwort „DICED“ eingeführt, welches angibt, welche Informationen auf einem Beweismittel vermerkt gehören [2, S.5]:
    • Date
    • Initials
    • Case (number)
    • Exhibit (number)
    • Description of the evidence and where it was recovered
  • Für die Sicherstellung von Geräten und Systemen sollen entsprechende Transportboxen verwendet werden. Da bei einem sichergestellten System normalerweise die Originalverpackung nicht mehr vorhanden ist, muss ein entsprechendes alternatives Transportmedium verwendet werden. Dieses muss die sichergestellten Systeme beim Transport in das eigene Labor bzw. Lager vor schädlichen Umwelteinflüssen schützten. Eine entsprechende Kennzeichnung an der Außenseite der Verpackung sollte angebracht sein und auf den empfindlichen Inhalt hinweisen. Dazu gehören unter anderem folgende Kennzeichnungen [2, S.29ff]:
    • „Diese Seite nach oben transportieren.“
    • „Zerbrechlich – Sensible Elektronikbauteile enthalten.“
    • „Fernhalten von Magneten oder Magnetischen Feldern erforderlich.
  • Für die Sicherstellung von wichtigen Kleinteilen sollen manipulationssichere Beweismitteltaschen verwendet werden. Gerade Kleinteile wie Disketten, Festplatten, aber auch Speicherkarten, welche auf magnetische oder elektrostatische Einflüsse empfindlich reagieren, müssen sorgfältig behandelt und vor Umwelteinflüssen geschützt werden. Dazu dienen manipulationssichere Beweismitteltaschen, welche es zu diesem Zweck in spezieller Ausfertigung aus elektrostatisch abweisendem Kunststoff gibt. Diese sollten ebenso wie die großen Transportboxen gekennzeichnet sein.
  • Beschriften und Dokumentieren der Kabelverbindungen. Grundsätzlich ist es von Vorteil, sämtliche Kabel an beiden Enden zu beschriften und zu dokumentieren, wo sie angeschlossen waren. Zusätzlich zu einem Foto lässt sich mit diesen Informationen somit immer der Originalzustand rekonstruieren.
  • Ein Beweiszettel oder Evidence Custody Form muss jedem Beweisstück beigelegt sein, um den Weg verfolgen zu können. Dieser Beweiszettel dient zur Darstellung aller Informationen, die das Beweisstück betreffen. Dazu zählen einerseits die Informationen über das sichergestellte Beweisstück selbst sowie über den zuständigen Ermittler, andererseits auch über den Weg, den das Beweisstück im Zuge der Ermittlung gegangen ist. Dazu enthält der Beweiszettel Ausgabevermerke, wobei jede Ausgabe / Verwendung des Beweisstückes lückenlos erfasst werden muss. Zusätzlich ist auf dem Beweiszettel auch die Schlussübergabe vermerkt, also die Information, welche Aktion am Ende des Verfahrens mit dem Beweisstück durchgeführt wurde (Rückgabe, Zerstörung, …). Beispiele: [3, S.72], Evidence Custody Form [1, S.331].
  • Ein Inventarisierungsblatt oder Evidence Collection Worksheet für die Inventarisierung. Für die erste Systeminventarisierung sollte ein entsprechendes Arbeitsblatt benutzt werden, damit keine wesentlichen Informationen übersehen werden. Diese Informationen umfassen zum Beispiel den Namen des Besitzers, den Ort der Sicherstellung, in welchem Zustand das System war, welche Aktionen durchgeführt wurden, aus welchen Komponenten das System besteht (inkl. den jeweiligen Seriennummern), sowie den Namen des Ermittlers. Beispiel: Evidence Collection Worksheet [1, S.335].
  • Ein Zugriffsarbeitsblatt oder Evidence Access Worksheet für die Zugriffsüberwachung. Dieses Arbeitsblatt dient zum Nachverfolgen aller Zugriffe, die auf die sichergestellten Daten erfolgt sind. Dies betrifft sowohl die original Daten (original Systemfestplatte), als auch Images, welche angefertigt wurden. Dieses Arbeitsblatt enthält vor allem Informationen zu den jeweilig verwendeten Medien, zur Zugriffszeit und zum Zugriffsdatum, die dabei verwendete Hardware, sowie den Namen des Ermittlers. Beispiel: Evidence Access Worksheet [1, S.337].