Sie befinden sich hier: Termine » Prüfungsfragen und Altklausuren » Hauptstudiumsprüfungen » Lehrstuhl 1 » Forensik 2 2016-02-18   (Übersicht)

Forensik 2 2016-02-18

Fach: Fortgeschrittene forensische Informatik

Prüfer: Prof. Freiling

Beisitzer: Werner Massonne

Prüfung fing mit deutlicher Verzögerung an (an mir lags nicht) und dauerte trotzdem die vollen 20 Minuten. Papier und Stift liegen bereit, hab ich aber nicht genutzt.

Fragen

F: Sie kennen ja den üblichen Ablauf von mündlichen Prüfungen bei mir, oder?

A: Ja, denk schon.

F: Also, mit was wollen Sie anfangen?

A: Stimmt, so war das ja in AppITSec. Darauf bin ich jetzt aber nicht vorbereitet. Naja, machen wir halt mal was zu Live-Analyse?

F: OK, da gibt es ja die Flüchtigkeitshierarchie. Was besagt die?

A: Es gibt in einem Computer Zustände unterschiedlicher Flüchtigkeit. D.h. sie bleiben unterschiedlich lange bestehen, entweder grundsätzlich oder ohne Stromzufuhr. Z.B. sind Caches oder Register sehr flüchtig, Festplatten weniger. Sichern sollte man grundsätzlich in Reihenfolge absteigender Flüchtigkeit, wobei bei Registern z.B. fraglich ist, ob man sie überhaupt gesichert bekommt.

F: Und gibt es da eine Standard-Reihenfolge, nach der man vorgehen sollte?

A: Es gibt schon eine Abstufung der Flüchtigkeiten üblicher Daten, aber im Endeffekt muss man im Einzelfall entschieden, worauf es ankommt und wie man vorgehen möchte.

F: In der klassischen Spurensicherung gibt es ja ein Standard-Verfahren, wenn man an einen Tatort kommt (sichern, dokumentieren etc.). Gibt es so etwas auch in der Live-Forensik?

A: Nicht wirklich. Auch hier kommt es wieder sehr drauf an, womit man es zu tun hat und was man erreichen will. Man muss sich eine Strategie für den Einzelfall überlegen.

F: Häufig will man ja den Arbeitsspeicher sichern, was gibt es da für Möglichkeiten mit spezieller Hardware?

A: Einerseits direkten Speicherzugriff mittels FireWire oder heutzutage Thunderbolt. Andererseits gibt es auch Spezialkarten, die – wenn ich die Folien richtig interpretiert habe – im Unternehmensumfeld gleich vorab eingebaut werden für den Fall, dass man mal Speicher dumpen muss.

F: Dann haben wir diese verschiedenen Verfahren ja kategorisiert nach Verfügbarkeit und Atomarität. Was wäre denn ein Beispiel für hohe Atomarität und wie sieht es da mit der Verfügbarkeit aus?

A: Recht viel atomarer als mit der eben angesprochenen Karte wird es wohl nicht. Die Verfügbarkeit ist da aber natürlich nicht toll, da sie vorab eingebaut worden sein muss.

F: Wie ist es mit Virtualisierung?

A: VM-Snapshots sind auch sehr atomar und sichern wahrscheinlich sogar die Register mit. Aber das geht natürlich nur bei virtualisierten Systemen.

F: Wenn man alle Computer der Welt mit einer möglichst guten Möglichkeit für Speichersicherung ausstatten würde, wie sähe die aus? Wie würden Sie die Welt umgestalten, um sie für forensische Sicherung zu optimieren?

A: Also wirklich für forensische Sicherung optimieren, nicht wie ich wirklich würde, gut. Dann hätte halt jedes Gerät einen Port als Backdoor, über den man (hoffentlich authentifiziert) den Zustand sichern kann.

F: Dann haben wir die Verfahren ja zusätzlich noch nach diesen drei Kriterien klassifiziert…

A: Ja, das waren Konsistenz, Integrität und wieder die Atomarität.

F: Korrektheit, nicht Konsistenz. Was bedeuten die denn?

A: Stimmt, irgendwas mit 'K' war es. Atomarität meint, dass ich den ganzen Speichern möglichst auf einmal sichern möchte und keinen inkonsistenten Zustand durch Zugriffe parallel zur Sicherung habe. Korrektheit heißt, dass das Verfahren selbst den Speicher nicht verändern sollte. Und was war gleich wieder Integrität…

F: Integrität heißt eigtl., dass der Speicher durch die Sicherung möglichst wenig verändert werden sollte. Korrektheit bedeutet, dass das Ergebnis dem Speicherinhalt entsprechen sollte.

A: OK, dann meinte ich grade die Integrität.

F: Kommen wir mal zum juristischen Teil. Da haben wir uns ja mit Hausdurchsuchungen beschäftigt und dann werden da häufig Dinge beschlagnahmt, was bedeutet das?

A: Die Hausdurchsuchung ansich ist erstmal ein Mittel der Strafverfolgung, sie wird in §§ 102 ff. StPO geregelt. Um Dinge mitzunehmen, gibt es eigtl. drei Möglichkeiten: Sicherstellung, Beschlagnahme und Mitnahme zur Durchsicht.

F: Wie unterscheiden sich Sicherstellung und Beschlagnahme?

A: Sicherstellung geht praktisch nur bei freiwilliger Herausgabe. Ansonsten muss ein Richter, Staatsanwalt oder, ich glaube auch, entsprechen befugter Polizist die Beschlagnahme anordnen.

F: Wie läuft die Mitnahme zur Durchsicht ab, da gibt es doch Regelungen zur Zeit für die Rückgabe?

A: Ja, die muss angemessen zügig erfolgen.

F: Und was gibt es für besondere Regeln für elektronische Geräte bei der Mitnahme zur Durchsicht?

A: Die Durchsicht darf sich auch auf elektronische Daten beziehen, die von dem mitgenommenen aus erreichbar sind, sofern man diese nicht schnell genug anderweitig sicherstellen kann.

F: Was heißt das praktisch?

A: Man dürfte z.B. auf einen E-Mail-Account zugreifen, wenn das Passwort auf dem Rechner gespeichert ist. Allerdings nur, wenn der Provider in Deutschland ist.

F: Wurde dazu wohl bei den Juristen explizit was gesagt?

A: Ja – bei dem Termin waren Sie nicht da, oder? Wenn der Server im Ausland steht, ist das ein Völkerrechtsverstoß (Souveränität des anderen Staats). Allerdings wird darauf wohl praktisch nicht so sehr geachtet und fürs Strafverfahren ist das Völkerrecht auch egal, es gibt kein Verwertungsverbot oder so.

F: Dann gibt es ja noch die Möglichkeit der Telekommunikationsüberwachung, was heißt das?

A: Das ist ein Strafverfolungswerkzeug, das Eingriffe in das Telekommunikationsgeheimnis legitimiert. Damit darf Telekommunikation abgehört werden, das ist aber nur der Weg zwischen den Kommunizerenden; nicht an den Endpunkten.

F: Wie muss ich mir das Vorstellen und welche Schwierigkeiten gibt es dabei?

A: Man zapft eben beim Provider die Leitung an und lauscht mit. Aber es ist eben nicht immer feststellbar, was Telekommunikation ist: Beim Telefonie geht es noch, aber bei E-Mail ist es schon schwieriger. Ein Entwurf z.B. ist definitiv noch keine Telekommunikation, sondern wird es erst durchs Verschicken. Aber was ist etwa, wenn die verschickte Mail auf dem Weg zum eigenen Provider verloren geht?

F: Nun handelt es sich um VoIP und die Daten sind verschlüsselt, was ändert das?

A: Juristisch erstmal nichts, aber man kann mit den Daten wahrscheinlich wenig anfangen.

F: Deshalb gibt es dann ja die Idee, die Daten an anderer Stelle abzugreifen…

A: Sie wollen jetzt auf Quellen-TKÜ hinaus, oder? Dabei installiert man auf dem Rechner eine Malware, die die Daten vor der Verschlüsselung abgreift. Nach gängiger Rechtsauffassung zählt das als Telekommunikationsüberwachung, wenn die Software nicht noch mehr Funktionen hat.

F: Das sagen einige Gerichte, ja; höchstrichterlich ist es nicht geklärt. Aber die Online-Durchsuchung ansich ist ja nach dem BKA-Gesetz auch erlaubt, was ist da der Unterschied?

A: Beim allem, was wir bisher besprochen haben, geht es um Verfolgung geschehener Straftaten durch die Landespolizeien. Das BKA-Gesetz regelt, soweit ich weiß zumindest auch, die Prävention zukünftiger Straftaten.

F: Kann man das denn immer trennen?

A: Nein, inzwischen gibt es ja auch Vorbereitungs-Straftatbestände, wo schon die Planung unter Strafe steht. Da verwischt das zusehends.

F: Dann kommen wir nochmal zurück zur Forensik, da haben wir ja noch das CSI-Modell behandelt. Wofür stehen die Buchstaben?

A: 'S' und 'I' sind relativ einfach: Das 'S' bezeichnet den „Support“, d.h. ein physisches Beweisstück, als Beispiel hatten wir da einen Handschuh mit Blut drauf. 'I' ist die „Information“, also was es aussagen soll. 'C' steht für Claim, das ist eine abstrakte Aussage über „Support“ und ansich auch die „Information“.

F: Ja, kann man so sagen. In der klassischen Forensik wäre das halt, was auf dem Evidence-Bag draufsteht, also „Handschuh mit Blutspur vom Tatort“. Wie verändern sich die drei nun bei einer Auswertung, wenn ich bspw. von dem Handschuh Blut abtupfe?

A: Die Information des Handschuhs erstmal nicht. Je nachdem, wie sehr das Abtupfen ihn verändert (wenn bspw. Blut abbröselt), ist der Support aber verändert. Damit müsste man auch den Claim anpassen, etwa zu „Handschuh vom Tatort, von dem Blut abgetupft wurde“.

F: Und wie verhält es sich mit dem Wattestäbchen vom Abtupfen, das ja als zusätzlicher Beweis von dem Handschuh „abstammt“?

A: Das hat eben eigene 'S', 'I' und 'C'; etwa „Wattestäbchen mit Blut vom Tatort“.

F: Wie lässt sich das auf digitale Spuren übertragen, wenn ich etwa ein Image von einer Festplatte mache?

A: Die Information bleibt hoffentlich gleich. Der Support ändert sich, damit auch der Claim.

F: Und wenn es nicht nur um die Daten geht, sondern etwa auch um die Farbe der Festplatte?

A: Dann war es ursprünglich eine andere Information, die ich nicht übertragen habe.

F: Dann müsste ich die neue Platte vielleicht anmalen oder so. Ich glaube, wir machen Schluss.

Bewertung

Wurde schnell wieder rein gebeten und bin mit der Note sehr zufrieden :).

Er meinte, die Verwechslung bei Korrektheit/Integrität wäre die einzige Kleinigkeit gewesen. Die wäre aber insbesondere durch den guten Jura-Teil aufgewogen worden.

Vorbereitung

Nicht allzu lang, in Summe vielleicht ein knapper Tag. Ich hatte aber schon ein gewisses Vorwissen und das Lernen, auch der juristischen Teile, fiel mir leicht.

Die relevanten „informatischen“ Inhalte stehen alle auf den Folien. Bei den Jura-Terminen war ich immer anwesend. Auch wenn die Lösungen mit Erläuterungen hochgeladen werden hilft das denke ich, da man schon mit der Denkweise vertraut ist und die Schwerpunkte aus den langen Erläuterungen kennt.

Ich würde sagen, die Frage orientieren sich in Schwerpunkten und Schwierigkeitsgrad am Fragenkatalog; stammen aber natürlich nicht alle daraus. Teilweise wird natürlich auch nochmal genauer nachgehakt.