In Hamburg möchte ein Untersuchungsausschuss den Cum-Ex-Skandal aufarbeiten. Doch dem Gremium fehlen offenbar zwei sichergestellte Laptops mit Hunderttausenden E-Mails. Ausgerechnet der Chefaufklärer der Affäre soll die Asservate an sich genommen haben.
Das rechtlich korrekte Sicherstellen von Daten für spätere Gerichtsverfahren ist der Knackpunkt der IT-Forensik. Wenn du die Daten von sichergestellten Laptops schon mal präventiv extrahierst ohne Beschluss ist das vor Gericht nicht gültig. Was der genaue Stand hier ist, weiß ich leider nicht.
Aus Interesse: Wie sind denn da genau die Regeln? Wie definiert so ein Beschluss welche der Daten extrahiert werden dürfen? Und ist ein Image der Festplatte ziehen ohne die Daten anzuschauen schon Extraktion?
Ich habe leider die Paper über das Sicherstellen von Digitalen Beweismitteln ohne Veränderung so öde gefunden, dass ich dort nicht tief drin bin. Das Klonen der Festplatte ist selbstverständlich eine genutze Methode, ob es dort weitere Hürden gibt kann ich mich nicht mehr genau erinnern, aber deine geklonte Platte ist ja evtl immer noch verschlüsselt, was je nach Sicherheitsmethoden des Geräts die Extraktion ohne Veränderung erschweren kann. Mit der Rechtslage in Deutschland kenne ich mich erst recht nicht aus.
Die Ermittlungsbehörden greifen nicht grundlos auf Software wie Cellebrite zu, wenn die Version zugelassen ist, müssen sie sich keine Gedanken mehr machen. Blöd halt nur wenn die Version hackbar war und die Zulassung für Beweismittelextraktion nachträglich entzogen wird. Wenn du auf arxiv.org nach “digital forensics” suchst, findest du einige case-studies und andere Abhandlungen.