Forensische Informatik
Dauer: 20 Minuten
Prüfer: Prof. Dr.-Ing. Felix Freiling
Beisitz: Yan Zhuang, M.eng.
Ergebnis: Sehr gut

Den Anfang macht die Frage danach, ob man in der letzten Vorlesung an der Beispielprüfung teilnehmen konnte. Falls nicht, dann wird kurz erklärt, dass Prof. Freiling zwischen den Rollen des Richters, Staatsanwalts und des Verteidigers des Mandaten wechselt.

Bericht, Bericht, Bericht. Es läuft eigentlich genau so ab, wie von Prof. Freiling mehrfach in der Vorlesung angekündigt. D.h., wer einen Bericht angefertigt hat, wird auch primär über diesen befragt. Vorlesungsinhalte oder gar Details stehen sehr im Hintergrund.

Richter: Stellen Sie mir als Nicht-Techniker doch kurz einmal die Sachlage dar.
Antwort: Hier eben kurz die vorgefundene Struktur von Kodi, Tvheadend und OScam dargestellt. Das Ganze ging so ca. 4 Minuten lang.

Staatsanwalt stimmt in allem mit der Aussage überein. Verteidiger erwartungsgemäß nicht.

Verteidiger: Es ist korrekt, dass mein Mandat auf dem besagten Wohnzimmer-PC Kodi betrieben hat. Jedoch wohnt mein Mandat in einer WG und die von der Polizei vorgefundenen und von Ihnen analysierten Systeme Tvheadend und OScam gehören überhaupt nicht meinem Mandanten. Mein Mandat hatte zwar ebenfalls ein System mit Tvheadend im Betrieb, das auch zufällig die gleiche IP-Konfiguration wie die des vorgefundenen Systems hatte. Dennoch stehen die Systeme in keinem Zusammenhang mit den beschlagnahmten Systemen. Ich kann keine Verbindung zwischen Kodi und dem beschlagnahmten Tvheadend erkennen.
Antwort: Hier muss man sorgfältig über die Log-Dateien von Kodi und Tvheadend argumentieren, dass die beiden Systeme miteinander kommuniziert haben. Prof. Freiling versucht einen noch weiter in die Bredouille zu bringen, indem er nach der Argumentation mit den Zeitstempeln einwirft, dass die Umschalt- und Aufnahmezeiten der Systeme gar nicht übereinstimmen (sind ca. 20s auseinander). Im Folgenden bietet man den geforderten Nachweis am besten über die relativen Umschaltzeiten, die in beiden Log-Dateien annähernd identisch sind. Es ist auch noch zu erwähnen, dass Prof. Freiling User/PW (ist admin/123456) als für nicht ausreichend erachtet. Erwähnen sollte man es aber denke ich trotzdem.

Verteidiger: Okay, mein Mandat gibt nun doch zu, dass das untersuchte System mit Tvheadend von ihm ist. Mit dem System, auf dem OScam gefunden wurde, hat er allerdings nichts zu tun.
Antwort: In diesem Fall erachtet Prof. Freiling die Antwort mit Username/Password (card/share) offenbar als aussagekräftiger. Das kann man noch weiter durch Port, Key und so weiter unterstreichen.

Freiling: Username „card“, Passwort „share“ - das ist doch quasi ein Geständnis für den Verdachtsfall von Cardsharing, meinen Sie nicht?
Antwort: Die Frage nach Schuld, Unschuld oder Teilschuld hat der Richter und nicht ich zu fällen.