3008571
/
DIF-Team-16
1
0
Fork 0
Code Issues Pull Requests Packages Projects Releases Wiki Activity
DIF-Team-16/Gutachten.md

96 lines
7.1 KiB
Markdown
Raw Blame History

This file contains ambiguous Unicode characters!

This file contains ambiguous Unicode characters that may be confused with others in your current locale. If your use case is intentional and legitimate, you can safely ignore this warning. Use the Escape button to highlight these characters.

(
Sehr geehrte Frau Steinberger,
zu ihrer Kenntnis: im Folgenden werden die auf dem Datenträger gefundenen anzüglichen Cheerleader-Bilder als kinderpornografische Inhalte behandelt.
)
## 1. Untersuchungsauftrag
Die Auftraggeberin, die Generalstaatsanwaltschaft (Frau Oberstaatsanwältin Blitzgescheit), beauftragte mit dem Auftrag vom 26.06.2025 das Team 16 des Sachverständigenbüro Finde die Wahrheit mit der forensischen Auswertung von sichergestellten Beweismitteln. Insbesondere war zu prüfen, ob sich anhand der Beweismittel Dateien mit kinderpornographischen Inhalten feststellen lassen. Hierzu sollte geprüft werden, ob sich gegebenenfalls Nutzung und/oder Verbreitung besagter Inhalte durch die Beschuldigte nachweisen lasse. Desweiteren waren elektronische Kommunikationen wie E-Mails oder Chats aus dem Beweismittel zu extrahieren. Die vollständige Dokumentation des Auftrags finden Sie im Anschluss.
## 2. Asservate
**Zuordnung Ass.-Nr.**
ggf. fotografische Sicherung von Beschädigungen
## 3. Ergebniszusammenfassung
Es wurde festgestellt,
1. dass in der Browser-History auf dem Datenträger mit der Lfd.-Nr 1 der Beschuldigten FLIEGNER im Verzeichnis `./barney/snap/firefox/common/.mozilla/firefox/sn0kzhia.default/places.sqlite` Google-Suchen nach vermutlich kinderpornographischen Inhalten zu finden sind (*Anlage 1*)
2. dass auf dem verschlüsselten Image auf dem Datenträger mit der Lfd.-Nr 1 im Verzeichnis `...xxx` Bilder zu finden sind, die vermutlich als Kinderpornografie einzustufen sind (*Anlage 2*)
3. dass sich auf dem Datenträger mit der Lfd.-Nr 1 gelöschte Dateien befinden, die vermutlich als Kinderpornografie einzustufen sind (*Anlage 3*)
## 4. Befund
_was haben wir wo gefunden und wie ordnen wir es ein?_
###### 3.1 Befund: Browser-History
Nachfolgende Tabelle gibt auszugsweise die relevantesten Einträger der Browser-History des Nutzers **barney** wieder. Die vollständige Browser-History findet sich in *Anlage 1*.
| History-Eintrag | Suchbegriff | Datum (UTC) |
| --------------- | --------------------------------------------------------------------------------- | -------------------------- |
| 8 | ``hot cheerleader`` | `Mon Jul 04 2022 16:47:08` |
| 10 | `hot cheerleader pics` | `Mon Jul 04 2022 16:47:27` |
| 12 | `sexy girls cheerleader` | `Tue Jul 01 2025 19:54:10` |
| 18 | Enthält Weiterleitung zur Suche nach `hot cheerleader` auf `www.shutterstock.com` | `Wed Jul 02 2025 19:54:18` |
###### 3.2 Befund: Verschlüsseltes Image
Bei der Überprüfung der übergebenen Speichermedien der Beschuldigten FLIEGNER
## 5. Untersuchungsgang
_Chronologische und sachliche Beschreibung der Vorgehensweise_
## 6. Anhang
#### Anhang I: Grundsätzliche Vorgehensweisen
##### I.I. Behandlung der Asservate
###### I.I.1 Generelle Anmerkungen
Die Auswertung von Datenträgern erfolgt nach forensischen Gesichtspunkten und auf dem aktuellen Stand der Technik. An Hard- und Softwareprodukten werden von Ermittlungs-, Finanz- und Steuerbehörden weltweit genutzte und gerichtlich anerkannte Produkte unter Windows und LINUX eingesetzt.
Die forensische Auswertung von Datenträgern geschieht unter hohen Sicherheitsvorkehrungen ausschließlich durch forensisch geschultes Personal in abgesicherten und beaufsichtigten Räumen.
Auf veränderbare Originaldatenträger wird (soweit technisch möglich) nur mittels Spezialhardware zugegriffen, die ein Beschreiben der Originaldatenträger verhindern.
Die Auswertung geschieht mittels spezieller Software. Dabei werden falls das durch den Auftraggeber aus Kostengründen nicht ausdrücklich ungewünscht ist auch alle Formen von gelöschten und teilweise überschriebenen Daten sowie spezielle, mit üblichen Mitteln nicht zugängliche oder versteckte Dateien/Bereiche berücksichtigt.
###### I.I.2 Hardware-Write-Blocker
Für den Zugriff auf Beweisdatenträger, welche nicht auf Grund Ihrer Art selbst schreibgeschützt sind, wurden sogenannte Hardware-Write-Blocker verwendet, die durch Ihren speziellen elektronischen Aufbau den schreibenden Zugriff auf den Datenträger in jedem Fall verhindern und somit die Integrität der gesicherten Daten gewährleisten. Hierzu fand ein Gerät der Firma "**WiebeTech**" des Typs **USB 3.1 WriteBlocker** Verwendung.
Eine Veränderung des Original-Datenbestandes des Beweisdatenträgers durch Schreibzugriffe ist so mit ausgeschlossen.
#### Anhang II: Wichtige Lesehinweise zum Gutachten
**Inhalt**: Es werden nicht alle negativen Untersuchungen dokumentiert
**Juristische Begriffe**: Falls ein juristischer Begriff Verwendung findet, geschieht das ungewollt und in der umgangssprachlichen Bedeutung. Eine juristische Bewertung obliegt der Staatsanwaltschaft und dem hohen Gericht
**Nutzer** : Der „Nutzer“ ist eine Person, die ein Gerät bedient und Daten von Speichermedien gelesen bzw. darauf geschrieben hat. Es muss sich nicht bei jeder Verwendung des Begriffs um ein und dieselbe Person handeln. Ob es sich beim Nutzer um die Beschuldigten handelt, ist aus technischer Sicht meist nicht eindeutig zu beantworten. Hinweise, die deutlich dafür oder dagegen sprechen, werden angeführt. Im Zusammenhang mit E-Mail-Empfänger- und Absender-Adressen wurden im Gutachten die zur jeweiligen Adresse gespeicherten Namen in der Dokumentation verwendet.
# ToDo
- Pfad für xxx-Datei in Ergebniszusammenfassung eintragen (Punkt 2)
- Pfad für xxx-Datei in Befund eintragen (Punkt 3.2)
- Anlagen einfügen
- Browser-History (Anhang 1): Auf Konvertierung von Unix-Timestamps in Date hinweisen (Bsp.: `1751399736003286`)
- **Glossar**
- "Browser-History"
- "Datenträger"
- "Image"
---
# Notizen zur Erstellung der Abgabe (für uns)
### Formatierung
- in der Kopfzeile **jeder** Seite sollen **Namen, Matrikelnummer und Teamnummer**
### Aufbau
(siehe Foliensatz "6_RolleSachverstaendigerZeuge.pdf" ab Folie 42)
- kurze Passage zu Beginn: Inhalt des Auftrags, Zeitpunkt, Name des Auftraggebers
- Benennung der übergebenen Asservate
- 5-stufiger pyramidenförmiger Aufbau
1. Beantwortung der vom Auftraggeber gestellten Fragen in knapper, prägnanter Form
2. Zusammenfassung der Egebinsse der Begutachtung in kurzer, übersichtlicher Art und Weise
3. Eigentlicher Befund (nimmt den größten Raum des Gutachtens ein)
4. Bewertung der gutachterlich festgestellten Fakten
- Fakten und Schlussfolgerungen separieren!
- Gliederung sowohl thematisch als auch nach Asservaten (für uns nicht relevant)
- Alternativ: Angabe zu Aufbau auf Folie 59:
1. Untersuchungsauftrag
2. Asservate
3. Ergebniszusammenfassung
4. Befund
5. Methodik
6. Untersuchungsgang (?)
7. Auswertung und Rückgabe der Asservate, Löschen von übergebenen Sicherungskopien
8. Glossar
### Allgemein
Trennen zwischen
- inkriminierten Daten: liefern Aussagen zu potenziellem Besitz
- Rechnernutzungsspuren: liefern Indizien für mehr oder weniger gezielte Handlungen/Kenntnis des Nutzers
- Aussagen des Nutzers oder dritter (Chats, Mails)
Reference in New Issue View Git Blame Copy Permalink