Fach: Fortgeschrittene forensische Informatik

Prüfer: Prof. Freiling

Allgemein: Atmosphäre, Note, Notenbesprechung: Insgesamt alles super.

Kleiner Tipp für alle, die viel Zeit in die Übungen gesteckt haben: Die Übungen als Einstiegsthema fand ich sehr angenehm: Wenn man sie gemacht hat, kann man dazu einiges sagen und es kamen bei mir währenddessen wenig Rückfragen, sondern ich konnte sehr frei erklären.

Freiling: Fangen wir mit der Prüfung an. Mit welchem Thema möchten Sie beginnen?
Ich: Mir wären die Übungen am liebsten, falls das geht.

Freiling: Ja, natürlich. Mit welcher denn? Fälschungsaufgabe oder Planspiel?
Ich: Ich finde beide gut, aber ich würde die Fälschungsaufgabe nehmen.

Freiling: So, dann würde ich Sie jetzt - auch auf die Gefahr hin, dass Sie sich deanonymisieren - mal fragen, wie denn Ihr Ansatz war. Hat er geklappt?
- Ich habe dann meinen Ansatz erklärt, sowohl vom Gedankengang her als auch mit technischen Details, wo sie mir interessant schienen. Anschließend, was und warum der Analysebericht die Fälschung erkannt hat. Prof. Freiling hat dabei relativ wenig unterbrochen. Im Laufe des Gesprächs sind wir dann auch auf die Frage gekommen, ob es leichter ist, Browser-Spuren zu verwischen oder falsche Browser-Spuren anzulegen und warum. Außerdem habe ich (von mir aus) erklärt, was ich jetzt, nach den Erfahrungen der Übung, für den besten Ansatz halten würde, wenn ich die Aufgabe noch einmal hätte und warum/welche Schwierigkeiten man damit umgehen kann. Irgendwo bin ich auch darauf eingegangen, worauf ich bei der Analyse geachtet habe, um nachzuweisen, ob das Image manipuliert wordern ist, vielleicht hat Prof. Freiling das aber auch als Frage gestellt - ich habe den genauen Gesprächsverlauf nicht mehr 100%ig im Kopf.

Freiling: Kommen wir dann doch noch zum Planspiel. Was war denn anders als bei den Analysen, die Sie in Forensik 1 durchgeführt haben?
- Da habe ich meine Analyse erklärt und bin auf ein paar Unterschiede eingegangen: Der Untersuchungsgegenstand war ein anderer ⇒ andere Dateitypen interessant, die anders auszuwerten sind (z.B. Videos anstatt Browserhistory). Dateitypen, die z.T. nicht öffentlich dokumentiert sind. Auftrag durch die Stattsanwaltschaft war teilweise ungünstig formuliert oder musste präzisiert werden, etc.

Freiling: Was halten Sie von Fragen wie „Ist das Opfer auf dem Videomaterial zu sehen?“ als Analyseauftrag?
- Schwierig, weil die Identifizierung Einschätzung des Richters sein muss.

Freiling: Warum braucht man dann denn einen Sachverständigen für die Auswertung? Was kann der denn dann überhaupt sagen?
- Kann Manipulationen erkennen oder von technischen Fehlern unterscheiden: An Beispielen aus dem Planspiel erklärt, z.B. kann er Zusammenhänge herstellen und einschätzen, ob die Zeitstempel bewusst manipuliert wurden oder ob technische Ursache hinter den Zeitsprüngen stecken. Kann einschätzen, ob die Zeitstempel echt sind und prüfen, ob wenig bekannte und undokumentierte Datenformate, die man nicht ohne zusätzliche Software auslesen kann, vielleicht trotzdem weitere Informationen enthalten.

Freiling: Das Debriefing hatten wir ja bereits in der Vorlesung. Aber trotzdem: Können Sie etwas zur Zusammenarbeit mit den Juristen sagen? In welchem Team waren Sie?
- Verteidigungsteam, dazu habe ich noch kurz erzählt, wie unsere Kommunikation mit den Juristen lief.

Freiling: Welche Datenkategorien gibt es für den Arbeitsspeicher? Vergleichen Sie diese mit den Carrier-Datenkategorien.
- Das habe ich wie in den Folien aus dem Foliensatz Live Analyse 2 erklärt.

Freiling: Hm, dann fehlt uns eigtl. noch ein Jura-Thema. §100a und §100b STPO, was ist der Unterschied?
- Dazu habe ich das erzählt, was in den Folien stand.

Freiling: In der Praxis werden 2 Ansätze diskutiert:

1. Man schleust einen Trojaner in das System ein und fängt die Kommunikation aus der Anwendung ab, bevor sie verschlüsselt wird.
2. Man holt sich aus der Anwendung den Schlüssel, schickt diesen an die Polizei und sie entschlüsseln damit den Inhalt der Messengernachrichten, die über die Leitung gehen.

Was sind die Vor- und Nachteile der beiden Ansätze im Hinblick auf §100a?

Vorteil bei Variante 2: Es wird tatsächlich nur die laufende Kommunkation abgefangen, bei Variante 1 könnte ja z.B. der Strom am Router ausfallen und die Nachricht könnte nicht wirklich rausgehen, aber so wirken als ob.
Nachteil: Variante 2 wird von §100a nicht abgedeckt, weil man den Schlüssel nicht exfiltrieren darf.
- Hier bin ich zwar sofort auf den Vorteil, aber nicht sofort auf den Nachteil gekommen. Prof. Freiling hat dann dem Gesprächsfluss folgend Fragen gestellt, die mich aber eher mehr verwirrt haben, und als ich meinte, dass ich seine letzte Frage nicht ganz verstanden habe, hat er die Frage noch einmal anders gestellt, worauf ich dann auch auf den Nachteil gekommen bin. Nach der Prüfung meinte er allerdings, dass er wohl bei diesen Fragen ein wenig gesprungen sei und wahrscheinlich deswegen die Verwirrung entstanden sei und er mir das nicht negativ anrechnet. Generell ist es bei ihm wohl besser nachzufragen, wenn man eine Frage nicht versteht :)