In Hamburg möchte ein Untersuchungsausschuss den Cum-Ex-Skandal aufarbeiten. Doch dem Gremium fehlen offenbar zwei sichergestellte Laptops mit Hunderttausenden E-Mails. Ausgerechnet der Chefaufklärer der Affäre soll die Asservate an sich genommen haben.
Ich hab verschiedene Fragen dazu. Einige eher profaner Natur. Aber eine interessiert mich wirklich:
Wie genau kam man denn auf die Idee, dass die beste Möglichkeit diese E-Mails aufzubewahren auf den Laptops ist? Gerade bei solchem wichtigem Material hätte ich erwartet dass das redundant auf sehr dauerhaften Datenträgern gesichert wird.
Magnetband, DVD, irgendwas! Hä?
Ich bin mir ziemlich sicher, dass es hier Anweisung von oben gegeben hat.
Bei jedem Aktivisten, dem das Handy oder andere Geräte beschlagnahmt wird, wird genau das als erstes gemacht.
Ich hätte echt gerne einen Experten dazu gesprochen. Wir haben doch in Deutschland wohl oder übel für ALLES eine Vorschrift. Mir kann doch keiner erzählen, dass es die für Beweissicherung nicht gibt. Und die soll dann so scheisse sein, dass sie keine Redundanz fordert wo möglich?
https://www.bka.de/DE/UnsereAufgaben/Ermittlungsunterstuetzung/Technologien/IT-Forensik/it_forensik.html
Zumindest das BKA sieht Sicherung von Beweismitteln an erster Stelle
In der Praxis bricht die Verwaltung gerade durch die Bank zusammen, weil man Jahrzehnte evidente Probleme - wie überall - in der Politik einfach ignoriert hat.
Dazu gehören auch Justizverwaltung und Sicherheitsbehörden. Also will ich damit sagen, ohne es natürlich zu wissen, dass kann auch einfach Inkompetenz kraft Personalnot sein. Glaub ich natürlich bei einer Thematik dieser Bedeutung nicht, weil das darf nicht sein und das muss jedem Beteiligten klar sein. Heißt nur, es ist nicht unmöglich. Leider passiert das auch in wichtigen Bereichen heutzutage ständig.
Das rechtlich korrekte Sicherstellen von Daten für spätere Gerichtsverfahren ist der Knackpunkt der IT-Forensik. Wenn du die Daten von sichergestellten Laptops schon mal präventiv extrahierst ohne Beschluss ist das vor Gericht nicht gültig. Was der genaue Stand hier ist, weiß ich leider nicht.
Aus Interesse: Wie sind denn da genau die Regeln? Wie definiert so ein Beschluss welche der Daten extrahiert werden dürfen? Und ist ein Image der Festplatte ziehen ohne die Daten anzuschauen schon Extraktion?
Ich habe leider die Paper über das Sicherstellen von Digitalen Beweismitteln ohne Veränderung so öde gefunden, dass ich dort nicht tief drin bin. Das Klonen der Festplatte ist selbstverständlich eine genutze Methode, ob es dort weitere Hürden gibt kann ich mich nicht mehr genau erinnern, aber deine geklonte Platte ist ja evtl immer noch verschlüsselt, was je nach Sicherheitsmethoden des Geräts die Extraktion ohne Veränderung erschweren kann. Mit der Rechtslage in Deutschland kenne ich mich erst recht nicht aus.
Die Ermittlungsbehörden greifen nicht grundlos auf Software wie Cellebrite zu, wenn die Version zugelassen ist, müssen sie sich keine Gedanken mehr machen. Blöd halt nur wenn die Version hackbar war und die Zulassung für Beweismittelextraktion nachträglich entzogen wird. Wenn du auf arxiv.org nach “digital forensics” suchst, findest du einige case-studies und andere Abhandlungen.