==== Prüfungsfach ==== Forensische Informatik \\ Dauer: 20 Minuten \\ Prüfer: Prof. Dr.-Ing. Felix Freiling \\ Beisitz: Yan Zhuang, M.eng. \\ Ergebnis: Sehr gut ==== Allgemeines ===== Den Anfang macht die Frage danach, ob man in der letzten Vorlesung an der Beispielprüfung teilnehmen konnte. Falls nicht, dann wird kurz erklärt, dass Prof. Freiling zwischen den Rollen des Richters, Staatsanwalts und des Verteidigers des Mandaten wechselt. ==== Vorbereitung ==== Bericht, Bericht, Bericht. Es läuft eigentlich genau so ab, wie von Prof. Freiling mehrfach in der Vorlesung angekündigt. D.h., wer einen Bericht angefertigt hat, wird auch primär über diesen befragt. Vorlesungsinhalte oder gar Details stehen sehr im Hintergrund. ==== Ablauf ==== **Richter**: Stellen Sie mir als Nicht-Techniker doch kurz einmal die Sachlage dar. \\ **Antwort**: Hier eben kurz die vorgefundene Struktur von //Kodi//, //Tvheadend// und //OScam// dargestellt. Das Ganze ging so ca. 4 Minuten lang. //**Staatsanwalt stimmt in allem mit der Aussage überein. Verteidiger erwartungsgemäß nicht.**// **Verteidiger**: Es ist korrekt, dass mein Mandat auf dem besagten Wohnzimmer-PC //Kodi// betrieben hat. Jedoch wohnt mein Mandat in einer WG und die von der Polizei vorgefundenen und von Ihnen analysierten Systeme //Tvheadend// und //OScam// gehören überhaupt nicht meinem Mandanten. Mein Mandat hatte zwar ebenfalls ein System mit //Tvheadend// im Betrieb, das auch zufällig die gleiche IP-Konfiguration wie die des vorgefundenen Systems hatte. Dennoch stehen die Systeme in keinem Zusammenhang mit den beschlagnahmten Systemen. Ich kann keine Verbindung zwischen //Kodi// und dem beschlagnahmten //Tvheadend// erkennen. \\ **Antwort**: Hier muss man sorgfältig über die Log-Dateien von //Kodi// und //Tvheadend// argumentieren, dass die beiden Systeme miteinander kommuniziert haben. Prof. Freiling versucht einen noch weiter in die Bredouille zu bringen, indem er nach der Argumentation mit den Zeitstempeln einwirft, dass die Umschalt- und Aufnahmezeiten der Systeme gar nicht übereinstimmen (sind ca. 20s auseinander). Im Folgenden bietet man den geforderten Nachweis am besten über die relativen Umschaltzeiten, die in beiden Log-Dateien annähernd identisch sind. Es ist auch noch zu erwähnen, dass Prof. Freiling User/PW (ist admin/123456) als für nicht ausreichend erachtet. Erwähnen sollte man es aber denke ich trotzdem. **Verteidiger**: Okay, mein Mandat gibt nun doch zu, dass das untersuchte System mit //Tvheadend// von ihm ist. Mit dem System, auf dem //OScam// gefunden wurde, hat er allerdings nichts zu tun. \\ **Antwort**: In diesem Fall erachtet Prof. Freiling die Antwort mit Username/Password (card/share) offenbar als aussagekräftiger. Das kann man noch weiter durch Port, Key und so weiter unterstreichen. **Freiling**: Username "card", Passwort "share" - das ist doch quasi ein Geständnis für den Verdachtsfall von Cardsharing, meinen Sie nicht? \\ **Antwort**: Die Frage nach Schuld, Unschuld oder Teilschuld hat der Richter und nicht ich zu fällen.