KIRAS Sicherheitsforschung

2008

AFOR

Studie zu digitaler Forensik - Erfordernisse der Beweissicherung und Möglichkeiten der Verknüpfung von Daten

Digitale Forensik gewinnt bei Ermittlungen durch Behörden zunehmend an Bedeutung, da Computer und Netzwerke im täglichen Leben und somit auch bei illegalen und kriminellen Aktivitäten immer häufiger zum Einsatz kommen. Ziel dieser Studie ist es, drei wesentliche Punkte zu klären:
1. Welche rechtlichen Vorgaben für digitales Beweismaterial gibt es und wie sieht die praktische Umsetzung aus? Welche De-facto-Standards gibt es im Sachverständigenwesen?
2. Wie lässt sich durch die effiziente und effektive Verknüpfung von Daten die Verlässlichkeit von zu treffenden Aussagen erhöhen?
3. Wie lassen sich De-facto-Standards wie der NIST-Guide (SP800-86) in Österreich anwenden?

Die erste Fragestellung ist für Behörden wesentlich, um der Justiz verwertbares Beweismaterial zu liefern, ohne zu viel an internen Ermittlungsmethoden preisgeben zu müssen.

Die zweite Fragestellung beschäftigt sich mit der Zusammenführung von Daten von (1) verschiedenen technischen Ebenen und (2) unterschiedlichen Systemen. Im ersten Fall deckt der Vergleich zum Beispiel eventuelle Widersprüche in Ereignis-Logs, Zeitstempeln von Dateien oder Datenstrukturen in Datenbanken auf. Sind hingegen die Informationen auf all diesen Ebenen konsistent, so ist eine Manipulation eher unwahrscheinlich. Analog dazu der zweite Fall: Das Zusammenführen von Daten unterschiedlicher Systeme (z.B. Clientcomputer, Server und Log-Dateien der Netzwerkinfrastruktur) kann ebenfalls Manipulationen aufdecken, die durch Widersprüche erkennbar werden.

Die dritte Fragestellung soll klären, ob und in welchem Ausmaß die international anerkannten US-amerikanischen Richtlinien des NIST (SP800-86 Guide to Integrating Forensic Techniques into Incident Response) auf Österreich anwendbar sind und welche Modifikationen notwendig wären, um einen österreichischen Standard einführen zu können.

Zielgruppe der Studie ist das österreichische Bundesheer sowie beeidigte Sachverständige und die Justiz.

Durchführung:
SBA Research
Favoritenstrasse 16
A-1040 Wien
Telefon: +43 (1) 505 36 88

Kontakt:
Dr. Edgar Weippl
eweippl@sba-research.org

DI Sebastian Schrittwieser
sschrittwieser@sba-research.org

drucken