In unserer hochdigitalen Welt enthalten Ermittlungen jeden Tag mehr digitales Material. Von Mobiltelefonen und Laptops bis hin zur Cloud und dem Dark Web. Das Auffinden und der Umgang mit diesen digitalen Materialien muss sorgfältig geschehen. Dies ist leicht zu kompromittieren, und Leads können schwer zu finden sein – bei jeder Art von Untersuchung, insbesondere aber bei CSAM-Ermittlungen.
Der Prozess der digitalen forensischen Untersuchung
Digitale forensische Untersuchungen befassen sich mit der Identifizierung, Aufbewahrung, Analyse und Präsentation aller Formen digitaler Beweismittel. Alle Beweise, die in einem Rechtsfall vorgelegt werden sollen, müssen überprüft werden. Bei digitalen forensischen Untersuchungen wird ein spezielles Verfahren angewandt, um sicherzustellen, dass die digitalen Beweismittel ordnungsgemäß gehandhabt werden. Dieser Prozess besteht aus vier Schritten: Erhebung, Untersuchung, Analyse und Berichterstellung.
Beweiserhebung
Beweise können entweder vor Ort, aus der Ferne oder in einem Labor gesammelt werden. Die Erhebungsmethoden unterscheiden sich je nach Art der Untersuchung, jedoch sind die allgemeinen Standards immer die gleichen. Dadurch wird sichergestellt, dass die Daten dabei nicht verloren gehen oder verändert werden. Ein gutes Beispiel sind forensische Kopien. Diese enthalten alle Daten des Originalmaterials, während das Original genau so belassen wird, wie es ist. Auf diese Weise können die forensischen Kopien näher untersucht werden, ohne das Risiko, das Original zu verändern.
Untersuchung
Nach der Beweiserhebung wird das gesamte Material überprüft, um dessen Relevanz festzustellen. Diese Überprüfung ist weniger detailliert wie die Analyse und konzentriert sich eher darauf, ein allgemeines Bild davon zu bekommen, welches Material vorhanden ist und wo. Die Ermittler kartieren die digitalen Beweise, wie sie organisiert sind und was weiter analysiert werden sollte und was nicht. Die Untersuchungsergebnisse geben die Richtung der digitalen forensischen Untersuchung als Ganzes vor.
Analyse
Die Analyse digitaler Beweismittel kann ein recht umfangreicher Vorgang sein. Je nach Art der Untersuchung kann es Tausende oder sogar Millionen von Dateien geben, die überprüft werden müssen. Aus diesem Grund gibt es spezielle Tools, die Ermittlern helfen, Informationen zu filtern. Ein gutes Beispiel ist Fenoz, eine von ZiuZ Forensic Investigation entwickelte Software, mit der Ermittler visuelle Daten wie Bilder oder Videos filtern können. Durch die Verwendung von Fenoz lassen sich unendlich viele visuelle Daten schnell und effizient untersuchen.
Berichterstellung
Nachdem die Ermittler alle relevanten Materialien analysiert und wichtige Beweise identifiziert haben, muss ein fundierter Bericht erstellt werden. Diese Berichte werden in Gerichtsverfahren verwendet. Die Struktur eines Berichts kann sich je nach Art der Untersuchung und den beteiligten Parteien ändern. Die Ermittler halten sich jedoch an allgemeine Standards und Richtlinien, um sicherzustellen, dass ihre Arbeit vor Gericht Bestand hat.
Arten digitaler forensischer Untersuchungen
Digitale forensische Untersuchungen sind, einfach ausgedrückt, alle Ermittlungen, die mit digitalen Beweismitteln zu tun haben. Da es so viele Arten von Beweisen und Geräten gibt, umfasst die digitale forensische Untersuchung mehrere Zweige. Diese reichen von der Arbeit mit physischen Geräten bis hin zu hochvolatilen Netzwerkdaten.
Computerforensik
Der erste Zweig der digitalen forensischen Untersuchung ist die Computerforensik. Diese Untersuchungen befassen sich mit physischen Computern und Speichergeräten. Die Ermittler befolgen ein festgelegtes Protokoll, um so viele Informationen wie möglich wiederherzustellen und gleichzeitig sicherzustellen, dass diese nicht kompromittiert werden. In diesem Prozess erstellen die Ermittler forensische Kopien aller Beweismittel. Die Originalgeräte müssen erhalten bleiben, um deren Legitimität zu beweisen. Nur ordnungsgemäß gehandhabte digitale Beweismittel können vor Gericht verwendet werden.
Mobilgeräteforensik
Als nächstes folgt die Forensik mobiler Endgeräte, zu der Smartphones, Tablets und GPS-Geräte gehören. Die Daten auf diesen Geräten sind flüchtiger und werden leicht beschädigt. Darüber hinaus variiert die Art und Weise, wie Informationen von mobilen Geräten abgerufen werden, je nach Typ und Betriebssystem. Da es Hunderte von Arten von mobilen Geräten gibt, sind viele verschiedene Techniken und Richtlinien erforderlich.
Netzwerkforensik
Der dritte Zweig ist die Netzwerkforensik. Hier verfolgen die Ermittler die Aktivitäten in einem digitalen Netzwerk. Da Netzwerkdaten sehr dynamisch sind und leicht verschwinden, ist es schwierig, mit ihnen zu arbeiten. Das Abrufen wichtiger Daten muss so schnell wie möglich erfolgen. Zudem müssen Daten analysiert werden, um nicht nur den Inhalt, sondern auch deren Herkunft zu finden.
Forensische Datenanalyse
Die forensische Datenanalyse steht oft im Zusammenhang mit Finanzkriminalität. Bei dieser Art der digitalen forensischen Untersuchung werden Daten aus Anwendungen, Datenbanken und Systemen analysiert, um Beweise zu finden. Mit speziellen Tools und Methoden werden große Datensätze effektiv analysiert und verarbeitet.
Datenbankforensik
Die Datenbankforensik steht in engem Zusammenhang mit der forensischen Datenanalyse. Diese Art der Untersuchung konzentriert sich auf Datenbanken und die darin enthaltenen Informationen. Was ist vorhanden, woher kam es, wie wurde es bearbeitet und wann? Datenbanken sind in der Regel sehr groß und werden von mehreren Benutzern gleichzeitig verwendet, was eigene Herausforderungen mit sich bringt.
IoT-Forensik
Einer der neueren Zweige der digitalen forensischen Untersuchung ist die IoT-Forensik, die sich mit dem Internet der Dinge beschäftigt. Ein Kühlschrank oder Thermostat kann wichtige Informationen enthalten, aber es ist ein mühsamer Prozess für Ermittler, sie zu erhalten. Darüber hinaus kann die Art und Weise, wie diese Geräte ein vernetztes System bilden, sehr komplex sein.
Digitale forensische Untersuchung und CSAM-Ermittlung
Digitale forensische Untersuchungen sind im Kampf gegen Material über sexuellen Missbrauch von Kindern (CSAM) von entscheidender Bedeutung. Da CSAM häufig in Form von digitalen Dateien wie Bildern und Videos vorliegt, verwenden Ermittler digitale forensische Tools und Technologien zur Verfolgung von Straftätern. Und CSAM-Ermittlungen gehen sogar noch einen Schritt weiter. Ermittler arbeiten oftmals an der Identifizierung der Opfer und verwenden KI-, Hash- und Metadatenanalysen, um sie zu retten. Von der Erkennung von Gesichtern und der Suche nach Standortdaten über die Zusammenstellung von Online-Gesprächen bis hin zur Nachverfolgung von Datenquellen. Um ein vollständiges Bild davon zu erhalten, was geschehen ist, sind digitale forensische Untersuchungstools wie Fenoz erforderlich.