Du befindest dich hier: FSI Informatik » Prüfungsfragen und Altklausuren » Hauptstudiumsprüfungen » Lehrstuhl 1 » Forensik 2 2016-02-18

Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen der Seite angezeigt.

Link zu der Vergleichsansicht

Beide Seiten, vorherige ÜberarbeitungVorherige Überarbeitung
Nächste Überarbeitung		Vorherige Überarbeitung
pruefungen:hauptstudium:ls1:forensik2_2016-02-18 [18.02.2016 21:50] – Zwischensicherung F30pruefungen:hauptstudium:ls1:forensik2_2016-02-18 [18.02.2016 22:37] (aktuell) – Vorbereitung F30
Zeile 25: Zeile 25:
 **A:** Es gibt schon eine Abstufung der Flüchtigkeiten üblicher Daten, aber im Endeffekt muss man im Einzelfall entschieden, worauf es ankommt und wie man vorgehen möchte. **A:** Es gibt schon eine Abstufung der Flüchtigkeiten üblicher Daten, aber im Endeffekt muss man im Einzelfall entschieden, worauf es ankommt und wie man vorgehen möchte.
  
-**F:** In der klassichen Spurensicherung gibt es ja ein Standard-Verfahren, wenn man an einen Tatort kommt (sichern, dokumentieren etc.). Gibt es so etwas auch in der Live-Forensik?+**F:** In der klassischen Spurensicherung gibt es ja ein Standard-Verfahren, wenn man an einen Tatort kommt (sichern, dokumentieren etc.). Gibt es so etwas auch in der Live-Forensik?
  
 **A:** Nicht wirklich. Auch hier kommt es wieder sehr drauf an, womit man es zu tun hat und was man erreichen will. Man muss sich eine Strategie für den Einzelfall überlegen. **A:** Nicht wirklich. Auch hier kommt es wieder sehr drauf an, womit man es zu tun hat und was man erreichen will. Man muss sich eine Strategie für den Einzelfall überlegen.
Zeile 33: Zeile 33:
 **A:** Einerseits direkten Speicherzugriff mittels FireWire oder heutzutage Thunderbolt. Andererseits gibt es auch Spezialkarten, die – wenn ich die Folien richtig interpretiert habe – im Unternehmensumfeld gleich vorab eingebaut werden für den Fall, dass man mal Speicher dumpen muss. **A:** Einerseits direkten Speicherzugriff mittels FireWire oder heutzutage Thunderbolt. Andererseits gibt es auch Spezialkarten, die – wenn ich die Folien richtig interpretiert habe – im Unternehmensumfeld gleich vorab eingebaut werden für den Fall, dass man mal Speicher dumpen muss.
  
-**F:** Dann haben wir diese verschiedenen Verfahren ja kategorisiert nach Verfügbarkeit und Atomarität. Was wäre denn ein Beispiel für hohe Atomrität und wie sieht es da mit der Verfügbarkeit aus?+**F:** Dann haben wir diese verschiedenen Verfahren ja kategorisiert nach Verfügbarkeit und Atomarität. Was wäre denn ein Beispiel für hohe Atomarität und wie sieht es da mit der Verfügbarkeit aus?
  
 **A:** Recht viel atomarer als mit der eben angesprochenen Karte wird es wohl nicht. Die Verfügbarkeit ist da aber natürlich nicht toll, da sie vorab eingebaut worden sein muss. **A:** Recht viel atomarer als mit der eben angesprochenen Karte wird es wohl nicht. Die Verfügbarkeit ist da aber natürlich nicht toll, da sie vorab eingebaut worden sein muss.
Zeile 57: Zeile 57:
 **A:** OK, dann meinte ich grade die Integrität. **A:** OK, dann meinte ich grade die Integrität.
  
-**F:** Kommen wir mal zum juristischen Teil. TODO+**F:** Kommen wir mal zum juristischen Teil. Da haben wir uns ja mit Hausdurchsuchungen beschäftigt und dann werden da häufig Dinge beschlagnahmt, was bedeutet das? 
 + 
 +**A:** Die Hausdurchsuchung ansich ist erstmal ein Mittel der Strafverfolgung, sie wird in §§ 102 ff. StPO geregelt. Um Dinge mitzunehmen, gibt es eigtl. drei Möglichkeiten: Sicherstellung, Beschlagnahme und Mitnahme zur Durchsicht. 
 + 
 +**F:** Wie unterscheiden sich Sicherstellung und Beschlagnahme? 
 + 
 +**A:** Sicherstellung geht praktisch nur bei freiwilliger Herausgabe. Ansonsten muss ein Richter, Staatsanwalt oder, ich glaube auch, entsprechen befugter Polizist die Beschlagnahme anordnen. 
 + 
 +**F:** Wie läuft die Mitnahme zur Durchsicht ab, da gibt es doch Regelungen zur Zeit für die Rückgabe? 
 + 
 +**A:** Ja, die muss angemessen zügig erfolgen. 
 + 
 +**F:** Und was gibt es für besondere Regeln für elektronische Geräte bei der Mitnahme zur Durchsicht? 
 + 
 +**A:** Die Durchsicht darf sich auch auf elektronische Daten beziehen, die von dem mitgenommenen aus erreichbar sind, sofern man diese nicht schnell genug anderweitig sicherstellen kann. 
 + 
 +**F:** Was heißt das praktisch? 
 + 
 +**A:** Man dürfte z.B. auf einen E-Mail-Account zugreifen, wenn das Passwort auf dem Rechner gespeichert ist. Allerdings nur, wenn der Provider in Deutschland ist. 
 + 
 +**F:** Wurde dazu wohl bei den Juristen explizit was gesagt? 
 + 
 +**A:** Ja – bei dem Termin waren Sie nicht da, oder? Wenn der Server im Ausland steht, ist das ein Völkerrechtsverstoß (Souveränität des anderen Staats). Allerdings wird darauf wohl praktisch nicht so sehr geachtet und fürs Strafverfahren ist das Völkerrecht auch egal, es gibt kein Verwertungsverbot oder so. 
 + 
 +**F:** Dann gibt es ja noch die Möglichkeit der Telekommunikationsüberwachung, was heißt das? 
 + 
 +**A:** Das ist ein Strafverfolungswerkzeug, das Eingriffe in das Telekommunikationsgeheimnis legitimiert. Damit darf Telekommunikation abgehört werden, das ist aber nur der Weg zwischen den Kommunizerenden; nicht an den Endpunkten. 
 + 
 +**F:** Wie muss ich mir das Vorstellen und welche Schwierigkeiten gibt es dabei? 
 + 
 +**A:** Man zapft eben beim Provider die Leitung an und lauscht mit. Aber es ist eben nicht immer feststellbar, was Telekommunikation ist: Beim Telefonie geht es noch, aber bei E-Mail ist es schon schwieriger. Ein Entwurf z.B. ist definitiv noch keine Telekommunikation, sondern wird es erst durchs Verschicken. Aber was ist etwa, wenn die verschickte Mail auf dem Weg zum eigenen Provider verloren geht? 
 + 
 +**F:** Nun handelt es sich um VoIP und die Daten sind verschlüsselt, was ändert das? 
 + 
 +**A:** Juristisch erstmal nichts, aber man kann mit den Daten wahrscheinlich wenig anfangen. 
 + 
 +**F:** Deshalb gibt es dann ja die Idee, die Daten an anderer Stelle abzugreifen… 
 + 
 +**A:** Sie wollen jetzt auf Quellen-TKÜ hinaus, oder? Dabei installiert man auf dem Rechner eine Malware, die die Daten vor der Verschlüsselung abgreift. Nach gängiger Rechtsauffassung zählt das als Telekommunikationsüberwachung, wenn die Software nicht noch mehr Funktionen hat. 
 + 
 +**F:** Das sagen einige Gerichte, ja; höchstrichterlich ist es nicht geklärt. Aber die Online-Durchsuchung ansich ist ja nach dem BKA-Gesetz auch erlaubt, was ist da der Unterschied? 
 + 
 +**A:** Beim allem, was wir bisher besprochen haben, geht es um Verfolgung geschehener Straftaten durch die Landespolizeien. Das BKA-Gesetz regelt, soweit ich weiß zumindest auch, die Prävention zukünftiger Straftaten. 
 + 
 +**F:** Kann man das denn immer trennen? 
 + 
 +**A:** Nein, inzwischen gibt es ja auch Vorbereitungs-Straftatbestände, wo schon die Planung unter Strafe steht. Da verwischt das zusehends. 
 + 
 +**F:** Dann kommen wir nochmal zurück zur Forensik, da haben wir ja noch das CSI-Modell behandelt. Wofür stehen die Buchstaben? 
 + 
 +**A:** 'S' und 'I' sind relativ einfach: Das 'S' bezeichnet den "Support", d.h. ein physisches Beweisstück, als Beispiel hatten wir da einen Handschuh mit Blut drauf. 'I' ist die "Information", also was es aussagen soll. 'C' steht für Claim, das ist eine abstrakte Aussage über "Support" und ansich auch die "Information"
 + 
 +**F:** Ja, kann man so sagen. In der klassischen Forensik wäre das halt, was auf dem Evidence-Bag draufsteht, also "Handschuh mit Blutspur vom Tatort". Wie verändern sich die drei nun bei einer Auswertung, wenn ich bspw. von dem Handschuh Blut abtupfe? 
 + 
 +**A:** Die Information des Handschuhs erstmal nicht. Je nachdem, wie sehr das Abtupfen ihn verändert (wenn bspw. Blut abbröselt), ist der Support aber verändert. Damit müsste man auch den Claim anpassen, etwa zu "Handschuh vom Tatort, von dem Blut abgetupft wurde"
 + 
 +**F:** Und wie verhält es sich mit dem Wattestäbchen vom Abtupfen, das ja als zusätzlicher Beweis von dem Handschuh "abstammt"? 
 + 
 +**A:** Das hat eben eigene 'S', 'I' und 'C'; etwa "Wattestäbchen mit Blut vom Tatort"
 + 
 +**F:** Wie lässt sich das auf digitale Spuren übertragen, wenn ich etwa ein Image von einer Festplatte mache? 
 + 
 +**A:** Die Information bleibt hoffentlich gleich. Der Support ändert sich, damit auch der Claim. 
 + 
 +**F:** Und wenn es nicht nur um die Daten geht, sondern etwa auch um die Farbe der Festplatte? 
 + 
 +**A:** Dann war es ursprünglich eine andere Information, die ich nicht übertragen habe. 
 + 
 +**F:** Dann müsste ich die neue Platte vielleicht anmalen oder so. Ich glaube, wir machen Schluss.
  
 ===== Bewertung ===== ===== Bewertung =====
Zeile 63: Zeile 131:
  
 Er meinte, die Verwechslung bei Korrektheit/Integrität wäre die einzige Kleinigkeit gewesen. Die wäre aber insbesondere durch den guten Jura-Teil aufgewogen worden. Er meinte, die Verwechslung bei Korrektheit/Integrität wäre die einzige Kleinigkeit gewesen. Die wäre aber insbesondere durch den guten Jura-Teil aufgewogen worden.
 +
 +===== Vorbereitung =====
 +Nicht allzu lang, in Summe vielleicht ein knapper Tag. Ich hatte aber schon ein gewisses Vorwissen und das Lernen, auch der juristischen Teile, fiel mir leicht.
 +
 +Die relevanten "informatischen" Inhalte stehen alle auf den Folien. Bei den Jura-Terminen war ich immer anwesend. Auch wenn die Lösungen mit Erläuterungen hochgeladen werden hilft das denke ich, da man schon mit der Denkweise vertraut ist und die Schwerpunkte aus den langen Erläuterungen kennt.
 +
 +Ich würde sagen, die Frage orientieren sich in Schwerpunkten und Schwierigkeitsgrad am Fragenkatalog; stammen aber natürlich nicht alle daraus. Teilweise wird natürlich auch nochmal genauer nachgehakt.