Forensisches Duplikat

aus Wikipedia, der freien Enzyklopädie
Zur Navigation springen Zur Suche springen
Dieser Artikel oder nachfolgende Abschnitt ist nicht hinreichend mit Belegen (beispielsweise Einzelnachweisen) ausgestattet. Angaben ohne ausreichenden Beleg könnten daher möglicherweise demnächst entfernt werden. Bitte hilf Wikipedia, indem du die Angaben recherchierst und gute Belege einfügst.
Sicherung einer Festplatte mit Hilfe eines Writeblockers

Ein forensisches Duplikat bezeichnet in der IT-Forensik die bitweise 1:1-Kopie eines digitalen Datenträgers. Hierbei wird durch den Einsatz von spezieller Hardware und Software sichergestellt, dass das Duplikat eine identische Kopie des Originals ist. Alle Ermittlungsarbeiten sollten nur an diesem Duplikat durchgeführt werden.

Auf Unix-Systemen, und damit auch auf vielen Diagnose-CDs (siehe Knoppix STD oder HELIX), wird für diesen Zweck das Programm dd beziehungsweise dd_rescue (bricht bei Lesefehlern nicht ab) eingesetzt. Dabei können aber nur tatsächlich sichtbare Bereiche der Festplatte kopiert werden. Auf ausgeblendete Bereiche, die aufgrund von Fehlern durch unbeschädigte Bereiche ersetzt wurden, kann mit diesen Programmen nicht zugegriffen werden. Für diesen Zweck bleibt nur eine modifizierte Firmware der Festplatte oder ein direktes Auslesen der Platten mit Spezialgeräten.

Um versehentliche Änderungen des zu duplizierenden Datenträgers zu verhindern, werden häufig sogenannte „Writeblocker“ eingesetzt. Ein Writeblocker wird zwischen den zu duplizierenden Datenträger und das Computersystem, mit dem das Duplikat erstellt werden soll, angeschlossen. Er lässt lediglich Lesezugriffe auf den Datenträger zu und filtert Schreibzugriffe. Writeblocker existieren für viele Festplatten- und Datenträger-Schnittstellen, beispielsweise SATA, IDE, SCSI und USB.

Sollen die aus einem forensischen Duplikat gewonnenen Informationen vor Gericht verwertet werden können, so muss der Vorgang nachvollziehbar und überprüfbar sein; ein weiteres Duplikat des Originals muss dem ersten Duplikat entsprechen. Um diese Überprüfung zu ermöglichen, werden Prüfsummen verwendet.

Aufgrund der leichten Fälsch- und Zerstörbarkeit von elektronischen Beweisen hat die präzise Erzeugung forensischer Duplikate und ihre Rahmenbedingungen einen hohen Stellenwert innerhalb der IT-Forensik. Die rechtlichen Vorgaben sind je nach Land verschieden; Writeblocker sowie Festplattenkopierer, welche sie erfüllen, werden von verschiedenen Forensikausstattern angeboten.

Weblinks[Bearbeiten | Quelltext bearbeiten]