Disk-Forensik/ Rechtliche Rahmenbedingungen/ Schutz der Beweismittel
Für die erfolgreiche Ermittlung von Tatverdächtigen und Tatabläufen ist die Gewinnung von Beweismitteln extrem wichtig. Hierbei muss vor allem darauf geachtet werden, dass die gewonnenen Beweise auch juristisch einwandfrei behandelt werden. Dies ist so außerordentlich wichtig, weil es sich bei den Tatspuren üblicherweise um digitale Spuren handelt, welche bei falscher Handhabung einerseits an Beweiskraft verlieren oder andererseits völlig unbrauchbar werden.
Erschwert wird die Beweissicherung dadurch, dass spannende Informationen nur eine Halbwertszeit lang verfügbar sind. Daher müssen in den ersten Minuten diese flüchtigen Daten koordiniert, erfasst und gesammelt werden. Besondere Vorsicht ist geboten, wenn sich der Angreifer zur Zeit der Beweissicherung noch im Einflussbereich des Systems befindet.
Jedoch muss jedem Beteiligten klar sein, dass bei jedem Schritt, der auf dem System unternommen wird, der Systemstatus sicher verändert wird.
Juristische Beweissicherung
[Bearbeiten]Die erhaltenen Beweise werden möglicherweise in ein Gerichtsverfahren (straf- oder / und zivilrechtlich) eingebracht. Die Verwertbarkeit der gewonnenen Beweise vor Gericht ist abhängig davon, wie die Beweise gesichert wurden. Bei den erhobenen Beweisen handelt es sich um einen Sachbeweis. Diese werden in Abhängigkeit zum Personenbeweis betrachtet.
Unter Sachbeweis fällt eine sichergestellte Festplatte, Logfiles, ein Gutachten oder auch Fingerabdrücke. Der Sachbeweis wurde von einer Person erhoben. Während eines Verfahrens wird dieser Sachbeweis von der Person eingebracht und im Zusammenhang auf seine Beweiskraft erläutert. Ein Sachbeweis alleine hat keine direkte Aussagekraft.
Ein Fingerabdruck auf einer Mordwaffe sagt aus, dass die Person die Waffe in der Hand hatte, wodurch der Fingerabdruck auf die Waffe kam. Dieser Beweis sagt nicht aus, dass der Fingerabdruck bei der Tatausführung auf die Waffe kam und ist daher auch kein Beweis für die Täterschaft. Eine andere Möglichkeit ist, dass der Täter beim Ausführen des Mordes Handschuhe getragen hatte und dadurch keine Fingerabdrücke hinterlassen hat.
Durch dieses Beispiel wird deutlich, dass ein Sachbeweis alleine nicht aussagekräftig ist. Erst wenn dieser Beweis durch eine Person erhoben wird und in Tatzusammenhang gebracht wird, ergibt sich die Beweiskraft. Der Sachbeweis ist somit eng mit einem Personenbeweis gekoppelt. Durch das professionelle Erheben von Beweisen und die Präsentation der Personen vor Gericht ergeht die Beweiskraft.
Wird ein Mitarbeiter oder Verantwortlicher als Zeuge gerufen, so hängt von dessen Glaubwürdigkeit auch jene der Beweise ab. Zeugen, die einen Beweis unrichtig darstellen, widerlegbare Behauptungen oder Interpretationen der Beweise darstellen, können vor Gericht unglaubwürdig erscheinen. Sachbeweise verlieren stark an Bedeutung, falls sich der Zeuge zu widersprechen scheint und sich unsicher präsentiert. Die Integrität eines Zeugen ist ein wesentliches Element des Beweises. Ein sachlich fundiertes Gutachten kann aufgrund der schlechten Darstellung zur Rechtsfindung nicht herangezogen werden.
Abhilfe gegen Falschaussagen kann durch die Dokumentation aller Tätigkeiten geschaffen werden. Diese kann noch vor der Aussage durchbesprochen werden, um das Gedächtnis aufzufrischen. Außerdem stellt die Dokumentation einen Gegenbeweis für einen eventuellen eintretenden Vorwurf der Beweisfälschung dar. Dieser Vorwurf ist berechtigt, da möglicherweise Betriebsfehler vertuscht werden.
Sehr entscheidend ist, dass Beweise von unterschiedlichen Personen erhoben werden, weil dadurch die Unabhängigkeit gewährleistet wird. Dies ist beispielsweise bei Ermittlungsbeamten gegeben. Natürlich können auch externe Spezialisten mit der Ermittlung betraut werden.
Durchgeführte Aktionen dokumentieren
[Bearbeiten]Alle Aktionen, die während der Ermittlung durchgeführt werden müssen dokumentiert werden. Diese angefertigte Dokumentation soll die Glaubwürdigkeit der Ermittlung verstärken.
Werden Beweise gesichert, dann müssen diese entsprechend dokumentiert werden, damit eine lückenlose Beweiskette dargelegt werden kann. Dabei soll jederzeit nachvollziehbar sein, wer, wann, wie Zugriff auf die Beweise hatte. Bei elektronischen Beweisen muss hier auf eine Prüfsumme zurückgegriffen werden. Weiters können Zeugen bei der Ermittlung hinzugezogen werden, die die durchgeführten Aktionen durch eine Unterschrift bezeugen.