3008571
/
DIF-Team-16
1
0
Fork 0
Code Issues Pull Requests Packages Projects Releases Wiki Activity
DIF-Team-16/Gutachten.md

23 KiB
Raw Blame History

1. Untersuchungsauftrag

Die Auftraggeberin, die Generalstaatsanwaltschaft (Frau Oberstaatsanwältin Blitzgescheit), beauftragte mit dem Auftrag vom 26.06.2025 das Team 16 des Sachverständigenbüro "Finde die Wahrheit" mit der forensischen Auswertung von sichergestellten Beweismitteln. Insbesondere war zu prüfen, ob sich anhand der Beweismittel Dateien mit kinderpornographischen Inhalten feststellen lassen. Hierzu sollte geprüft werden, ob sich gegebenenfalls Nutzung und/oder Verbreitung besagter Inhalte durch die Beschuldigte nachweisen lasse. Desweiteren waren elektronische Kommunikationen wie E-Mails oder Chats aus dem Beweismittel zu extrahieren. Die vollständige Dokumentation des Auftrags finden Sie im Anschluss.

2. Asservate

Zuordnung Ass.-Nr. ggf. fotografische Sicherung von Beschädigungen

3. Ergebniszusammenfassung

Es wurde festgestellt,

  1. dass in der Browser-History auf dem Datenträger mit der Lfd.-Nr 1 der Beschuldigten FLIEGNER im Verzeichnis ./barney/snap/firefox/common/.mozilla/firefox/sn0kzhia.default/places.sqlite Google-Suchen nach vermutlich kinderpornographischen Inhalten zu finden sind (Anlage 1)
  2. dass auf dem verschlüsselten Image auf dem Datenträger mit der Lfd.-Nr 1 im Verzeichnis /media/barney/067E7AF632AA2E11/xxx Bilder zu finden sind, die vermutlich als Kinderpornografie einzustufen sind (Anlage 2)
  3. dass sich auf dem Datenträger mit der Lfd.-Nr 1 gelöschte Dateien befinden, die vermutlich als Kinderpornografie einzustufen sind (Anlage 3)

4. Befund

was haben wir wo gefunden und wie ordnen wir es ein?

4.1 Befund: Browser-History

Nachfolgende Tabelle gibt auszugsweise die relevantesten Einträger der Browser-History des Nutzers barney wieder. Die vollständige Browser-History findet sich in Anlage 1.

History-Eintrag Suchbegriff Datum (UTC)
8 hot cheerleader Mon Jul 04 2022 16:47:08
10 hot cheerleader pics Mon Jul 04 2022 16:47:27
12 sexy girls cheerleader Tue Jul 01 2025 19:54:10
18 Enthält Weiterleitung zur Suche nach hot cheerleader auf www.shutterstock.com Wed Jul 02 2025 19:54:18

4.2 Befund: Verschlüsseltes Image

Bei der Überprüfung der übergebenen Speichermedien der Beschuldigten FLIEGNER wurde ein verschlüsseltes Veracrypt-Image /media/barney/067E7AF632AA2E11/xxx festgestellt. Nach Wiederherstellung des zur Entschlüsselung benötigten Passworts konnte festgestellt werden, dass das Verzeichnis drei Bilddarstellungen enthält, die vermutlich als Kinderpornografie einzustufen sind. Die Bilddarstellungen sind in Anlage 2 beigelegt.

4.3 Befund: Gelöschte Dateien

5. Untersuchungsgang

Chronologische und sachliche Beschreibung der Vorgehensweise

Datensicherung

Am 02.07.2025 um 11:20 besuchten die Sachverständigen des Sachverständigenbüro "Finde die Wahrheit" Niclas Frey und Viktor Linner das Büro von Frau Oberstaatsanwältin Blitzgescheit zur Sicherung der zur Begutachtung relevanten Daten von allen betrefflichen Asservaten im Fall FLIEGNER. Das Asservat wurde als img-Datei auf einer Toshiba v63700 - A 500GB HDD-Festplatte bereitgestellt. Um sicherzustellen, dass die Daten auf dem Asservat nicht durch die Sachverständigen versehentlich oder absichtlich verändert werden können, wurde ein Write Blocker der Firma "Logicube" des Typs WriteProtect USB wpu 201018 59° genutzt, der es unmöglich machte, die Toshiba-Festplatte zu beschreiben. Das für die begutachtung relevante Image wurde identifiert als Date ForImage9.img. Vor der Kopie des Images auf einen Datenträger der Sachverständigen wurde ein MD5-Hash des Images erstellt, um nach dem Kopiervorgang feststellen zu können, dass die Kopie identisch zum Original ist.

PS D:\> dir


    Verzeichnis: D:\


Mode                 LastWriteTime         Length Name
----                 -------------         ------ ----
-a----        01.07.2025     22:12    12748128256 ForImage9.img


PS D:\> Get-FileHash .\ForImage9.img -Algorithm MD5

Algorithm       Hash                                                                   Path
---------       ----                                                                   ----
MD5             9C9570F6F648BA1D0FF14F8CD6AACF39                                       D:\ForImage9.img

Danach wurde das Image kopiert, und von der Kopie wurde ein MD5-Hash erstellt.

PS D:\> Copy-Item .\ForImage9.img C:\Users\Vik\Desktop\ForImage9.img
PS D:\> Get-FileHash 'C:\Users\Vik\Desktop\ForImage9.img' -Algorithm MD5

Algorithm       Hash                                                                   Path
---------       ----                                                                   ----
MD5             9C9570F6F648BA1D0FF14F8CD6AACF39                                       C:\Users\Vik\Desktop\ForImage...

Zugriff auf das Image

Um auf das Image zugreifen zu können, nutzten die Sachverständigen quemu-utils:

sudo apt install qemu-utils
sudo modprobe nbd max_part=8
sudo qemu-nbd --connect=/dev/nbd0 ForImage9.img --read-only
lsblk /dev/nbd0
sudo mkdir /mnt/forensik
sudo mount /dev/nbd0p1 /mnt/forensik

Passwort-Extraktion

Die Sachverständigen extrahierten zunächst die Passwörter aller Nutzer aus der Datei /etc/shadow:

sudo cat ./etc/shadow

pc:$y$j9T$graH6StsN64vZy4TX6DLO1$jFAPKwPTtCP25YeK6fiAIcbse.xZb3XaFXnIuwfaej4:19175:0:99999:7:::
niels:$6$mysalt$XV5j4lT9Ut5S96EU11gyef6DVRi4GjOk7QCVMXDiGDkw.OvBPQcvRqgjiadq22fLuTMwT92GhAvMMg074LO7w.:19177:0:99999:7:::
barney:$6$mysalt$9SMwo3IGWSIppwbVACGblzrNYJtxG8pjChCdVKmiFCoGm075DAiKAIDooGtETCV5vruzdJeqwb3nYIjw7KtUv0:19177:0:99999:7:::

Die Hashes wurden in folgendem Format in einer Datei passwd.txt abgelegt:

pc:$y$j9T$graH6StsN64vZy4TX6DLO1$jFAPKwPTtCP25YeK6fiAIcbse.xZb3XaFXnIuwfaej4
niels:$6$mysalt$XV5j4lT9Ut5S96EU11gyef6DVRi4GjOk7QCVMXDiGDkw.OvBPQcvRqgjiadq22fLuTMwT92GhAvMMg074LO7w
barney:$6$mysalt$9SMwo3IGWSIppwbVACGblzrNYJtxG8pjChCdVKmiFCoGm075DAiKAIDooGtETCV5vruzdJeqwb3nYIjw7KtUv0

Das Format dient dazu, die Passwörter nach dem Cracken der jeweiligen Nutzer*in zuordnen zukönnen. Danach wurde begonnen, die Passwörter mittels Wörterbuchangriff zu cracken.

curl -b "MoodleSessionmoodlehsma=016e963ec86fc2134833450bbebb24e0" https://moodle.hs-mannheim.de/pluginfile.php/479555/mod_resource/content/1/wordlist.txt -L > wordlist.txt

hashcat --user passwd.txt wordlist.txt

Nach circa zwei Stunden konnten zwei der drei Passwörter wiederhergestellt werden:

niels:xaiCh7fi
barney:ahM4Hood

Das Passwort des Nutzers pc konnte nach ausgiebigen Versuchen vom Sachverständigenbüro nicht wiederhergestellt werden. Allerdings ist auch anzumerken, dass bis auf eine passwortgeschützte KeePass-Datei keine weitere Stelle im Asservat gefunden wurde, bei der die Verwendung eines Passworts notwendig gewesen wäre.

Browser-History

Der Kommandozeilenbefehl find wurde genutzt, um Browser-Histories des Browsers "Firefox" ausfindig zu machen:

find . -type f -name "places.sqlite"


./barney/snap/firefox/common/.mozilla/firefox/sn0kzhia.default/places.sqlite
./pc/snap/firefox/common/.mozilla/firefox/hsn68zcj.default/places.sqlite

In Folge dessen wurden alle Einträge der Datenbank nach Inhalten durchsucht. Die Tabelle moz_places enthielt die zuletzt besuchten Seiten des users barney: Auszug aus der Tabelle moz_places:

select * from moz_places

1|https://www.mozilla.org/privacy/firefox/||gro.allizom.www.|1|1|0|24|1656953208163056|A5SqOlBd6fKM|0|47356411089529||||1
2|https://www.mozilla.org/de/privacy/firefox/|Firefox Datenschutzhinweis — Mozilla|gro.allizom.www.|1|0|0|98|1656953208364479|FfSBQlDTyqsO|0|47360031482596|
  Our Privacy Notices describe the data our products and services receive, share, and use, as well as choices available to you.
|https://www.mozilla.org/media/img/mozorg/mozilla-256.4720741d4108.jpg||1
3|https://support.mozilla.org/products/firefox||gro.allizom.troppus.|0|0|0|137||yJd1VIvOpI_p|1|47358327123126||||2
[...]

Die vollständige Browser-History ist in Anlage 1 enthalten. Die neunte Spalte enhält Zahlen im Format 1656953208163056 (Beispiel aus der ersten Zeile der Ausgabe). Dies sind sogenannte 'Unix-Timestamps' - Zeitstempel in einem bestimmten Format. Diese Zeitstempel erlaubten es den Sachverständigen, die Browserdaten zeitlich einzuordnen.

Kürzlich genutzte Dateien

Die Date /home/barney/.local/sharerecently-used.xbel gibt Auskunft über kürzlich genutzte Dateien des Users barney:

Auszug aus /home/barney/.local/sharerecently-used.xbel:

<?xml version="1.0" encoding="UTF-8"?>
<xbel version="1.0"
      xmlns:bookmark="http://www.freedesktop.org/standards/desktop-bookmarks"
      xmlns:mime="http://www.freedesktop.org/standards/shared-mime-info"
>
  <bookmark href="file:///media/barney/067E7AF632AA2E11/Bilder" added="2022-07-04T16:30:33.590042Z" modified="2022-07-04T16:30:33.590048Z" visited="2022-07-04T16:30:33.590043Z">
    <info>
      <metadata owner="http://freedesktop.org">
        <mime:mime-type type="inode/directory"/>
        <bookmark:applications>
          <bookmark:application name="org.gnome.Nautilus" exec="&apos;org.gnome.Nautilus %u&apos;" modified="2022-07-04T16:30:33.590045Z" count="1"/>
        </bookmark:applications>
      </metadata>
    </info>
  </bookmark>
  <bookmark href="file:///media/barney/067E7AF632AA2E11/xxx" added="2022-07-04T16:34:14.977136Z" modified="2022-07-04T20:11:09.132408Z" visited="2022-07-04T16:34:14.977137Z">
    <info>
      <metadata owner="http://freedesktop.org">
        <mime:mime-type type="application/octet-stream"/>
        <bookmark:applications>
          <bookmark:application name="veracrypt" exec="&apos;veracrypt %u&apos;" modified="2022-07-04T20:11:09.132405Z" count="3"/>
        </bookmark:applications>
      </metadata>
    </info>
  </bookmark>
  <bookmark href="file:///home/barney/Pass.kdbx" added="2022-07-04T20:10:16.757839Z" modified="2022-07-04T20:10:16.757851Z" visited="2022-07-04T20:10:16.757841Z">
    <info>
      <metadata owner="http://freedesktop.org">
        <mime:mime-type type="application/x-keepass2"/>
        <bookmark:applications>
          <bookmark:application name="keepassxc" exec="&apos;keepassxc %u&apos;" modified="2022-07-04T20:10:16.757845Z" count="1"/>
        </bookmark:applications>
      </metadata>
    </info>
  </bookmark>
[...]

Für die Begutachtung waren hierbei folgende Erkenntnisse zu gewinnen:

  1. Die Datei /media/barney/067E7AF632AA2E11/xxx, deren Dateityp vorher nicht näher zu bestimmen war, wurde mit veracrypt bedient. Veracrypt ist ein Programm, welches zur Ver- oder Entschlüsselung von Dateien, Verzeichnissen oder ganzer Dateisysteme dient.
  2. Nach Zugriff auf die Veracrypt-Datei wurde auf /home/barney/Pass.kdbx zugegriffen. Es stellte sich später heraus (siehe Abschnitt Keepass-Datenbank), dass diese Datei eine KeePass-Datenbank ist. Die Zeitliche Abfolge der Zugriffe auf diese beiden Dateien legte nahe, dass das Passwort, was zur Entschlüsselung der Veracrypt-Datei benötigt ist, in der KeePass-Datenbank hinterlegt ist.

Keepass-Datenbank

Im Home-Verzeichnis des Users barney wurde eine passwortgeschützte KeePass-Datenbank gefunden:

ls
Bilder  Dokumente  Downloads  Musik  Öffentlich  Pass.kdbx  Schreibtisch  snap  Videos  Vorlagen

Die Datenbank ließ sich mit dem zuvor wiederhergestellen Passwort ahM4Hood öffnen. In der Datenbank war ein einziges Passwort im Verzeichnis "Root" hinterlegt. Titel des Datenbankeintrags war "VeraCrypt". Das Passwort war "littleGirls".

xxx-Datei

6. Anlagen

Anlage I: Vollständige Browser-History des users barney

1|https://www.mozilla.org/privacy/firefox/||gro.allizom.www.|1|1|0|24|1656953208163056|A5SqOlBd6fKM|0|47356411089529||||1
2|https://www.mozilla.org/de/privacy/firefox/|Firefox Datenschutzhinweis — Mozilla|gro.allizom.www.|1|0|0|98|1656953208364479|FfSBQlDTyqsO|0|47360031482596|
  Our Privacy Notices describe the data our products and services receive, share, and use, as well as choices available to you.
|https://www.mozilla.org/media/img/mozorg/mozilla-256.4720741d4108.jpg||1
3|https://support.mozilla.org/products/firefox||gro.allizom.troppus.|0|0|0|137||yJd1VIvOpI_p|1|47358327123126||||2
4|https://support.mozilla.org/kb/customize-firefox-controls-buttons-and-toolbars?utm_source=firefox-browser&utm_medium=default-bookmarks&utm_campaign=customize||gro.allizom.troppus.|0|0|0|137||fzS0A1vSmaCS|1|47359956450016||||2
5|https://www.mozilla.org/contribute/||gro.allizom.www.|0|0|0|137||ZUp2Xs0my0fc|1|47357364218428||||1
6|https://www.mozilla.org/about/||gro.allizom.www.|0|0|0|137||PxGc7HWdpK3u|1|47357608426557||||1
7|https://www.mozilla.org/firefox/central/||gro.allizom.www.|0|0|0|137||SmvTP_gRfA1X|1|47359969280417||||1
8|https://www.google.com/search?channel=fs&client=ubuntu&q=hot+chearleader|hot chearleader - Google Suche|moc.elgoog.www.|1|0|1|1950|1656953228105571|5k6iUfwoYDt_|0|47359856985002||||3
10|https://www.google.com/search?q=hot+cheerleader+pics&client=ubuntu&hs=Urn&channel=fs&source=lnms&tbm=isch&sa=X&ved=2ahUKEwjpo6Tq19_4AhUz57sIHUuNAVoQ_AUoAXoECAEQAw&biw=950&bih=656&dpr=1|hot cheerleader pics  Google Suche|moc.elgoog.www.|1|0|0|98|1656953247155094|WjfpN6MdgTYb|0|47357695506675||||3
11|https://www.google.com/|Google|moc.elgoog.www.|1|0|1|2000|1751399635782628|VO9fMBiQ_Qe3|0|47357433249528||||3
12|https://www.google.com/search?q=sexy+girls+chearleeder&sca_esv=b5d146501cb8d5e6&source=hp&ei=0zxkaKD3KtqUxc8Pldb3oA8&iflsig=AOw8s4IAAAAAaGRK4zXwm-QSv50hRxjl8e7RuEd90d6H&ved=0ahUKEwjgrJWJuJyOAxVaSvEDHRXrHfQQ4dUDCA4&uact=5&oq=sexy+girls+chearleeder&gs_lp=Egdnd3Mtd2l6IhZzZXh5IGdpcmxzIGNoZWFybGVlZGVySOFEUK8GWIdCcAF4AJABAJgBW6ABkg2qAQIyMrgBA8gBAPgBAZgCBKACiwOoAgrCAgoQABgDGOoCGI8BwgIKEC4YAxjqAhiPAcICBBAAGAPCAgsQABiABBixAxiDAcICERAuGIAEGLEDGNEDGIMBGMcBwgIOEC4YgAQYsQMY0QMYxwHCAhQQLhiABBixAxjRAxiDARjHARiKBcICERAuGIAEGLEDGIMBGNQCGIoFwgIOEAAYgAQYsQMYgwEYigXCAgsQLhiABBjRAxjHAcICBRAAGIAEwgIFEC4YgATCAggQABiABBixA8ICCBAuGIAEGLEDwgILEC4YgAQYsQMY1AKYA0vxBS4Z00fBhgVBkgcDMy4xoAf6OrIHAzIuMbgHwALCBwczLTEuMi4xyAeJAQ&sclient=gws-wiz|Google Search|moc.elgoog.www.|1|0|0|100|1751399650395128|VwD1rGOId0VP|0|47358104091540||||3
13|https://www.google.com/search?q=sexy+girls+chearleeder&sca_esv=b5d146501cb8d5e6&source=hp&ei=0zxkaKD3KtqUxc8Pldb3oA8&iflsig=AOw8s4IAAAAAaGRK4zXwm-QSv50hRxjl8e7RuEd90d6H&ved=0ahUKEwjgrJWJuJyOAxVaSvEDHRXrHfQQ4dUDCA4&uact=5&oq=sexy+girls+chearleeder&gs_lp=Egdnd3Mtd2l6IhZzZXh5IGdpcmxzIGNoZWFybGVlZGVySOFEUK8GWIdCcAF4AJABAJgBW6ABkg2qAQIyMrgBA8gBAPgBAZgCBKACiwOoAgrCAgoQABgDGOoCGI8BwgIKEC4YAxjqAhiPAcICBBAAGAPCAgsQABiABBixAxiDAcICERAuGIAEGLEDGNEDGIMBGMcBwgIOEC4YgAQYsQMY0QMYxwHCAhQQLhiABBixAxjRAxiDARjHARiKBcICERAuGIAEGLEDGIMBGNQCGIoFwgIOEAAYgAQYsQMYgwEYigXCAgsQLhiABBjRAxjHAcICBRAAGIAEwgIFEC4YgATCAggQABiABBixA8ICCBAuGIAEGLEDwgILEC4YgAQYsQMY1AKYA0vxBS4Z00fBhgVBkgcDMy4xoAf6OrIHAzIuMbgHwALCBwczLTEuMi4xyAeJAQ&sclient=gws-wiz&sei=4jxkaILdFq3Xxc8PkYvV0Q0|sexy girls chearleeder - Google Suche|moc.elgoog.www.|1|0|0|100|1751399650869426|oD-XfeUoeZN9|0|47357505484614||||3
14|https://www.google.com/search?sca_esv=b5d146501cb8d5e6&q=sexy+girls+cheerleader&udm=2&fbs=AIIjpHw2KGh6wpocn18KLjPMw8n5Yp8-1M0n6BD6JoVBP_K3fXXvA3S3XGyupmJLMg20um-mJAeO36stiqcDeSp1syInrodDcdKxMuB2TiCVf45CLzCoNRKRBZlvU8DUj0lI7KC-ZRxX-gxikqc1yM1oJcoJGNUwir8qlkx4kLIK4GELCJ58DYXpqPW_aK1GFeloqICCzjL7&sa=X&ved=2ahUKEwjkhrGQuJyOAxVsSfEDHWfWK1sQtKgLKAF6BAgTEAE&biw=950&bih=656&dpr=1|sexy girls cheerleader - Google Suche|moc.elgoog.www.|2|0|0|200|1751399794152616|84PG8mjR9eFS|0|47359998535018||||3
15|https://www.google.com/search?sca_esv=b5d146501cb8d5e6&q=sexy+girls+cheerleader&udm=2&fbs=AIIjpHw2KGh6wpocn18KLjPMw8n5Yp8-1M0n6BD6JoVBP_K3fXXvA3S3XGyupmJLMg20um-mJAeO36stiqcDeSp1syInrodDcdKxMuB2TiCVf45CLzCoNRKRBZlvU8DUj0lI7KC-ZRxX-gxikqc1yM1oJcoJGNUwir8qlkx4kLIK4GELCJ58DYXpqPW_aK1GFeloqICCzjL7&sa=X&ved=2ahUKEwjkhrGQuJyOAxVsSfEDHWfWK1sQtKgLKAF6BAgTEAE&biw=950&bih=656&dpr=1#vhid=cxWEukMoNf2AeM&vssid=mosaic|sexy girls cheerleader - Google Suche|moc.elgoog.www.|1|0|0|100|1751399681729745|oKM9ukKGCqYk|0|47359365193005||||3
16|https://www.google.com/search?sca_esv=b5d146501cb8d5e6&q=sexy+girls+cheerleader&udm=2&fbs=AIIjpHw2KGh6wpocn18KLjPMw8n5Yp8-1M0n6BD6JoVBP_K3fXXvA3S3XGyupmJLMg20um-mJAeO36stiqcDeSp1syInrodDcdKxMuB2TiCVf45CLzCoNRKRBZlvU8DUj0lI7KC-ZRxX-gxikqc1yM1oJcoJGNUwir8qlkx4kLIK4GELCJ58DYXpqPW_aK1GFeloqICCzjL7&sa=X&ved=2ahUKEwjkhrGQuJyOAxVsSfEDHWfWK1sQtKgLKAF6BAgTEAE&biw=950&bih=656&dpr=1#vhid=PdmE7HJ-gy1JZM&vssid=mosaic|sexy girls cheerleader - Google Suche|moc.elgoog.www.|1|0|0|100|1751399736003286|mvushxzbfYqP|0|47357381351553||||3
18|https://www.google.com/url?sa=i&url=https%3A%2F%2Fwww.shutterstock.com%2Fde%2Fsearch%2Fhot-cheerleader&psig=AOvVaw1jVI9MPGMcs8DtCnFhnflL&ust=1751486058108000&source=images&cd=vfe&opi=89978449&ved=0CBQQjRxqFwoTCNjdlZ-4nI4DFQAAAAAdAAAAABAS||moc.elgoog.www.|1|1|0|25|1751399857179623|-VXBlm6v3hA9|0|47358059237094||||3

7. Anhang

Anhang I: Grundsätzliche Vorgehensweisen

I.I. Behandlung der Asservate

I.I.1 Generelle Anmerkungen

Die Auswertung von Datenträgern erfolgt nach forensischen Gesichtspunkten und auf dem aktuellen Stand der Technik. An Hard- und Softwareprodukten werden von Ermittlungs-, Finanz- und Steuerbehörden weltweit genutzte und gerichtlich anerkannte Produkte unter Windows und LINUX eingesetzt. Die forensische Auswertung von Datenträgern geschieht unter hohen Sicherheitsvorkehrungen ausschließlich durch forensisch geschultes Personal in abgesicherten und beaufsichtigten Räumen. Auf veränderbare Originaldatenträger wird (soweit technisch möglich) nur mittels Spezialhardware zugegriffen, die ein Beschreiben der Originaldatenträger verhindern. Die Auswertung geschieht mittels spezieller Software. Dabei werden falls das durch den Auftraggeber aus Kostengründen nicht ausdrücklich ungewünscht ist auch alle Formen von gelöschten und teilweise überschriebenen Daten sowie spezielle, mit üblichen Mitteln nicht zugängliche oder versteckte Dateien/Bereiche berücksichtigt.

I.I.2 Hardware-Write-Blocker

Für den Zugriff auf Beweisdatenträger, welche nicht auf Grund Ihrer Art selbst schreibgeschützt sind, wurden sogenannte Hardware-Write-Blocker verwendet, die durch Ihren speziellen elektronischen Aufbau den schreibenden Zugriff auf den Datenträger in jedem Fall verhindern und somit die Integrität der gesicherten Daten gewährleisten. Hierzu fand ein Gerät der Firma "Logicube" des Typs WriteProtect USB wpu 201018 59° Verwendung. Eine Veränderung des Original-Datenbestandes des Beweisdatenträgers durch Schreibzugriffe ist so mit ausgeschlossen.

Anhang II: Wichtige Lesehinweise zum Gutachten

Inhalt: Es werden nicht alle negativen Untersuchungen dokumentiert Juristische Begriffe: Falls ein juristischer Begriff Verwendung findet, geschieht das ungewollt und in der umgangssprachlichen Bedeutung. Eine juristische Bewertung obliegt der Staatsanwaltschaft und dem hohen Gericht Nutzer : Der „Nutzer“ ist eine Person, die ein Gerät bedient und Daten von Speichermedien gelesen bzw. darauf geschrieben hat. Es muss sich nicht bei jeder Verwendung des Begriffs um ein und dieselbe Person handeln. Ob es sich beim Nutzer um die Beschuldigten handelt, ist aus technischer Sicht meist nicht eindeutig zu beantworten. Hinweise, die deutlich dafür oder dagegen sprechen, werden angeführt. Im Zusammenhang mit E-Mail-Empfänger- und Absender-Adressen wurden im Gutachten die zur jeweiligen Adresse gespeicherten Namen in der Dokumentation verwendet. Browser-History: Unter dem Begriff „Browser-History“ werden die von Webbrowsern gespeicherten Nutzungsdaten verstanden. Diese beinhalten besuchte Webseiten, durchgeführte Suchanfragen sowie Zeitstempel. Je nach eingesetztem Browser und Konfiguration können auch Details wie Verweildauer oder Downloadaktionen erfasst sein. Datenträger: Als Datenträger gelten alle elektronischen Medien, die zur Speicherung digitaler Inhalte geeignet sind. Dazu zählen unter anderem Festplatten (HDD/SSD), USB-Sticks, Speicherkarten oder optische Medien (CD/DVD). In diesem Gutachten wird der Begriff technisch und neutral verwendet. Image: Ein Image bezeichnet eine bitweise Kopie eines Datenträgers oder eines Partitionsteils. Es handelt sich dabei um ein exaktes Abbild inklusive aller Sektoren, gelöschter Dateien, freier Bereiche sowie versteckter Partitionen. Verschlüsselung: Datenverschlüsselung ist ein technisches Verfahren, bei dem Informationen mithilfe eines Schlüssels in eine unlesbare Form überführt werden. Cracken von Passwörtern: Das „Cracken“ von Passwörtern bezeichnet technische Verfahren zur Wiederherstellung vergessener oder verschlüsselter Zugangsdaten. Verwendet werden dabei Methoden wie Wörterbuchangriffe, Brute-Force-Verfahren oder die Nutzung zuvor extrahierter Passwort-Hashes. Wörterbuchangriff: Ein Wörterbuchangriff ist ein Verfahren zur Passwortwiederherstellung, bei dem eine vorbereitete Liste gängiger oder wahrscheinlich verwendeter Passwörter systematisch ausprobiert wird. Diese sogenannten „Wortlisten“ basieren häufig auf realen Datenlecks, typischen Mustern oder benutzerspezifischen Informationen (z.B. Namen, Geburtsdaten). Wörterbuchangriffe gelten als effizient, wenn schwache oder wiederverwendete Passwörter verwendet wurden. Brute-Force-Verfahren: Das Brute-Force-Verfahren bezeichnet eine systematische und vollständige Durchprobierung aller möglichen Zeichenkombinationen eines Passworts. Es garantiert bei ausreichend Zeit und Rechenleistung die Wiederherstellung des korrekten Passworts, ist jedoch bei langen und komplexen Passwörtern rechnerisch sehr aufwendig. Brute-Force-Angriffe kommen in der forensischen Praxis meist nur in begrenzter Form oder in Kombination mit Optimierungen (z.B. Masken, Regeln) zum Einsatz.

Anhang III:

ToDo

  • 4.3: Gelöschte Dateien
  • Anlagen einfügen (Bilder)
  • Anlage aus dem /media-Verzeichnis noch einfügen (korrupten Magic Bytes)
  • Glossar: Mehr?

Notizen zur Erstellung der Abgabe (für uns)

Formatierung

  • in der Kopfzeile jeder Seite sollen Namen, Matrikelnummer und Teamnummer

Aufbau

(siehe Foliensatz "6_RolleSachverstaendigerZeuge.pdf" ab Folie 42)

  • kurze Passage zu Beginn: Inhalt des Auftrags, Zeitpunkt, Name des Auftraggebers
  • Benennung der übergebenen Asservate
  • 5-stufiger pyramidenförmiger Aufbau
    1. Beantwortung der vom Auftraggeber gestellten Fragen in knapper, prägnanter Form
    2. Zusammenfassung der Egebinsse der Begutachtung in kurzer, übersichtlicher Art und Weise
    3. Eigentlicher Befund (nimmt den größten Raum des Gutachtens ein)
    4. Bewertung der gutachterlich festgestellten Fakten
      • Fakten und Schlussfolgerungen separieren!
      • Gliederung sowohl thematisch als auch nach Asservaten (für uns nicht relevant)
  • Alternativ: Angabe zu Aufbau auf Folie 59:
    1. Untersuchungsauftrag
    2. Asservate
    3. Ergebniszusammenfassung
    4. Befund
    5. Methodik
    6. Untersuchungsgang (?)
    7. Auswertung und Rückgabe der Asservate, Löschen von übergebenen Sicherungskopien
    8. Glossar

Allgemein

Trennen zwischen

  • inkriminierten Daten: liefern Aussagen zu potenziellem Besitz
  • Rechnernutzungsspuren: liefern Indizien für mehr oder weniger gezielte Handlungen/Kenntnis des Nutzers
  • Aussagen des Nutzers oder dritter (Chats, Mails)