Forensic Readiness – Grundlagen (Teil 1)
Computerforensik | Zivilprozess | Strafprozess | Beweisrecht | Cybercrime
Digitale Forensik bezweckt die rechtsgenügliche Gewinnung von Beweisen; Forensic Readiness bedeutet, diese Beweisgewinnung auch praktisch durchführen zu können. In diesem ersten Teil des Beitrags werden die Grundlagen gelegt: Es werden die Standards ISO 27037:2012 und ISO 27043:2015, die bislang wenig Erwähnung in der einschlägigen Literatur gefunden haben. Sodann wird die Bedeutung der Schweizer Strafprozessordnung bei der Beweisgewinnung und die An-schliessende Verwertung in einem Zivilprozess beleuchtet, die zentralen computerforensischen Prinzipien (Akzeptanz der Methoden, Wahrung der Integrität, Dokumentation) und das SAP Modell (Secure, Analye, Present) dargelegt. Der separate zweite Teil des Beitrags (organisatorische und technische Massnahmen) baut auf diese Grundlagen auf.
Beitrag herunterladen: Forensic Readiness – Grundlagen (Teil 1) (PDF)
Zum zweiten Teil: Forensic Readiness – Massnahmen (Teil 2) (PDF)
1. Abstract
[ 1 ] Digitale Forensik bezweckt die rechtsgenügliche Gewinnung von Beweisen. Hält man die Vorgaben der Strafprozessordnung ein, genügen derart gewonnene Beweis auch in zivilrechtlichen Verfahren. In diesem ersten Teil des Beitrags werden die Grundlagen gelegt:
[ 2 ] Mit ISO 27037:2012 und ISO 27043:2015 existieren Standards, die organisatorische Vorgaben machen. Sie enthalten die Grundprinzipien, denen digital-forensische Beweissicherung entsprechen sollte. Beides Standards finden bislang wenig Erwähnung in der einschlägigen Literatur.
[ 3 ] Die schweizerische Strafprozessordnung verpflichtet mit Art. 139 Abs. 1 StPO zur Einhaltung des Stands von Wissenschaft und Erfahrung. Was Stand von Wissenschaft und Erfahrung ist, definieren Expertinnen und Experten der Computerforensik, auf die sich die Gerichte abstützen. Einheitliche Standards, die technische Methoden vorgeben, existieren bis dato nicht. Diese Aufgabe der Forensik bleibt weiterhin offen.
[ 4 ] Die Forensik hat zentrale Prinzipien aufgestellt: Die Akzeptanz der angewandten Methoden bei der digital-forensischen Beweissicherung; die Wahrung der Integrität des originalen Beweismittels und der davon erstellten Sicherungen während sämtlicher Stadien eines Prozesses sowie die Dokumentation sämtlicher Beweisgewinnungshandlungen inkl. Zugriffskontrolle, Lagerung und Vernichtung. Die Forensikexpertin oder der Forensikexperte folgen dabei grundsätzlich dem SAP-Modell: Secure – Analye – Present.
[ 5 ] Um die digital-forensische Beweisgewinnung zu unterstützen, werden im Rahmen der Forensic Readiness-Massnahmen organisatorischer und technischer Natur ergriffen. Auf diese Massnahmen geht der zweite Teil dieses Beitrags ein (Forensic Readiness – Teil II).
2. Grundlagen
[ 8 ] Der Begriff Forensik für sich alleine genommen umfasst Handlungen, die im Hinblick auf ein Gerichtsverfahren vorgenommen werden. Wer forensisch tätig ist, tritt in irgendeiner Form vor einem Forum auf (lat. forensis = „zum Forum, Marktplatz gehörig“). Forensik im Kontext der Informationssicherheit und des Risikomanagements bedeutet das gerichtlich verwertbare Sammeln von digitalen Beweisen, um damit einen Vorfall oder eine Täterschaft belegen zu können.
Forensic Readiness” has two objectives:
1. Maximizing an environment’s ability to collect credible digital evidence, and;
2. Minimizing the cost of forensics in an incident response.
[ 9 ] Seit dem Jahr 2012 gibt es den ISO-Standard 27037:2012, (Information technology – Security techniques – Guidelines for identification, collection, acquisition, and preservation of digital evidence) mit dem spezifische Richtlinien für die Behandlung von potentiellem digitalem Beweismaterial aufgestellt wurden. Der Standard unterteilt diese Behandlung von digitalem Beweismaterial in vier Schritte : Identifikation (identification), Sammlung (collection), Akquise (acquisition) und Sicherung (preservation). Zu jedem dieser Schritte bietet ISO 27037:2012 im Sinne des aktuellen Stands der Technik Handlungsanweisungen an. Seit dem Jahr 2015 besteht mit ISO-Standard 27043:2015 ausserdem eine Norm, die sich explizit mit Forensic Readiness auseinandersetzt. Behandelt werden darin sämtliche organisatorischen Abläufe zur Implementation eines angemessenen Forensic Readiness-Niveaus. Seit dem Jahr 2002 gibt es ein beachtliches RFC («Request for Comments») unter der Nummer RFC 3227, worin sich die «Internet Best Current Practices» finden mit wertvollen Anweisungen zur Beweisgewinnung und ‑archivierung.
[ 10 ] Es erstaunt, dass in der beigezogenen Literatur die ISO-Standards 27037:2012 und 27043:2015 gänzlich fehlen.
[ 11 ] Zwar enthält ISO 27037:2012 keine direkten Vorgaben zur Umsetzung resp. zum Erreichen von Forensic Readiness. Korrektes digital-forensisches Vorgehen ist im Unterschied zur Readiness nicht ein proaktiver, sondern ein reaktiver Prozess. Wer aber versteht, wie im Ernstfall vorzugehen wäre, kann die notwendigen Vorbereitungen treffen, um ein adäquates Mass an forensischer Bereitschaft oder eben Forensic Readiness zu erzielen.
[ 12 ] ISO 27037:2012 äussert sich nicht zu den zusätzlichen Schritten Schutz (protect) und Analyse (analyze) des digitalen Beweismaterials, wie sie bei der Forensic Readiness vorkommen. Diese beiden Schritte werden in ISO 27043:2015 als Phasen der Schritte Acquisitive Processes (Kap. 9) und Investigative Processes (Kap. 10) dargestellt.
[ 13 ] Der Schutz der digitalen Beweise (‹Protect›) für sich genommen ist ein ständiger, sich aktualisierender Prozess, da sich die Bedrohungslage ständig ändert. Hierfür ist ein auf die Bedürfnisse zugeschnittenes Risikomanagement resp. Informationssicherheitsmanagement notwendig. Ähnliches gilt für den Schritt ‹Analyse›: Die Analyse richtet sich nach dem einschlägigen gesetzlichen Rahmen und dem Zielpublikum. Auch hier wären konkrete technische Vorgaben in einem Standard wenig sinnvoll, schliesslich lässt sich nicht per se eine Analysesoftware empfehlen und genau so wenig sagen, welche Bestandteile der digitalen Beweise denn nun notwendigerweise analysiert und aufbereitet werden müssen.
[ 14 ] Exakte Handlungsanweisungen darf man von den beiden Standards IISO 27037:2012 und ISO 27043:2015 deshalb nicht erwarten. Dafür sind diese Standards nicht da.
3. Der gesetzliche Kontext des digitalen Beweises in der Schweiz
[ 15 ] Spricht man von Beweisen, so wird implizit ein rechtlicher Kontext mitgedacht, in dem diese Beweise ihre Wirkung entfalten sollen. ISO 27037:2012 hält dementsprechend fest, dass die Implementation dieses Standards sich nach den jeweiligen gesetzlichen Gegebenheiten zu richten hat.
[ 16 ] In der Schweiz handelt es sich bei diesem rechtlichen Kontext im Wesentlichen um zwei Prozessordnungen: die Zivilprozessordnung (ZPO) und die Strafprozessordnung (StPO); beides sind Bundesgesetze und gelten schweizweit. Diese Gesetze regeln die Tätigkeit von Privaten, Gerichten und Strafverfolgungsbehörden innerhalb eines hängigen Prozesses.
[ 17 ] Die Beweisvorschriften der Strafprozessordnung sind „schärfer“ als jene der Zivilprozessordnung. Das Zivilverfahren ist grundsätzlich von den Behauptungen der streitenden Parteien geprägt, wohingegen im Strafverfahren in erster Linie die beschuldigte Person beurteilt wird. Diese Beurteilung resp. die Sammlung von Beweisen auf dem Weg zu Beurteilung erfolgt hoheitlich durch die Polizeien, Staatsanwaltschaften und Gerichte.
[ 18 ] Die Strafprozessordnung soll für einen fairen und korrekten Prozess, letztlich also für einen gewissen Machtausgleich zwischen dem übermächtigen Staat und einer einzelnen beschuldigten Person sorgen. Faire Verfahren sind zentral dafür, dass der Strafanspruch und die Autorität des Staats von den Rechtsunterworfenen, also dem Volk, akzeptiert wird. Faire Verfahren sorgen für Rechtssicherheit.
[ 19 ] Stellt man also für die digitale Forensik oder die Forensic Readiness auf die Voraussetzungen der Strafprozessordnung ab, genügt man automatisch auch den zivilprozessualen Anforderungen. Gilt die Täterschaft unter der Herrschaft des Strafprozessrechts als überführt, dann ha das entsprechende Beweisergebnis grundsätzlich auch bei zivilrechtlichen Konflikten Bestand.
[ 20 ] Für die digitale Forensik oder die Forensic Readiness gilt dem Gesagten nach die Strafprozessordnung als Grundlage für die Sicherung von Beweisen.
[ 21 ] Gelegentlich findet man Hinweise auf andere Gesetze wie z.B. das Datenschutzgesetz (DSG). Blickt man auf die Schutzrichtung und den Zweck des Datenschutzgesetzes, so wird klar, dass das Datenschutzgesetz nur am Rande mitspielt.
[ 22 ] Das Datenschutzgesetz bezweckt „den Schutz der Persönlichkeit und der Grundrechte von Personen, über die Daten bearbeitet werden“ (Art. 1 DSG). Das Datenschutzgesetz selber schränkt seinen Anwendungsbereich ein und deklariert sich mit Art. 2 Abs. 2 lit. c DSG als nicht anwendbar auf hängige Zivil- und Strafverfahren. Läuft also ein Verfahren, so kommt das Datenschutzgesetz nicht zur Anwendung und die Persönlichkeit der betroffenen Personen wird ausschliesslich durch das entsprechende Prozessrecht geschützt.
[ 23 ] Was aber, wenn noch keine Anzeige erstattet oder ein Prozess angehoben wurde? Dann ist das Datenschutzgesetz anwendbar. In dieser Situation muss unterschieden werden, ob die Beweiserhebungsmethoden sich ausschliesslich gegen die Täterschaft richten oder auch unbeteiligte Dritte betroffen sind.
[ 24 ] Nach Art. 4 DSG dürfen Personendaten nur rechtmässig und verhältnismässig (Abs. 1), nach Treu und Glauben (Abs. 2), nach angegebenem, ersichtlichem gesetzlich vorgegebenem oder erkennbarem Zweck bearbeitet (Abs. 3 und 4) werden. Bei Persönlichkeitsprofilen muss gar ausdrücklich eingewilligt werden (Abs. 5).
[ 25 ] Datenschutz ist aber nicht Täterschutz, wie häufig vorgebracht wird. Art. 4 Abs. 2 DSG enthält eine Verhältnismässigkeitsprüfung, was für das Schweizer Privatrecht an sich äusserst ungewöhnlich ist. In Fällen, wo durch digitale Forensik oder Forensic Readiness Personendaten von Tätern bearbeitet werden, hat sich die Täterschaft im Rahmen der Verhältnismässigkeitsprüfung starke Abstriche anrechnen zu lassen. Wer gegen Verbotsnormen oder vertragliche Verpflichtungen verstösst, hat sich grössere Eingriffe in die eigene Persönlichkeit gefallen zu lassen. Die Täterschaft kann sich nur in sehr beschränktem Ausmass auf den Schutz der Persönlichkeit berufen; sie hat in diesem Sinne selber durch ihr Tun über ihre Persönlichkeit disponiert. Ohnehin dürfte in aller Regel ein überwiegendes Interesse der überwachenden Organisationseinheit vorliegen, womit der Eingriff in die Persönlichkeit im Sinne von Art. 13 Abs. 2 DSG gerechtfertigt ist.
[ 26 ] Um aber datenschutzrechtliche Fallstricke zu entschärfen, empfiehlt es sich, bei den Benutzern der IT-Infrastruktur das Einverständnis zu holen. Das geschieht am besten schriftlich und unter vollständiger Aufklärung darüber, in welchem Ausmass die Benutzung der IT-Infrastruktur überwacht wird (Art. 13 Abs. 1 DSG).
[ 28 ] Die Strafprozessordnung sieht in Art. 139 Abs. 1 StPO wörtlich vor, dass die Strafbehörden zur Wahrheitsfindung alle nach dem Stand von Wissenschaft und Erfahrung geeigneten Beweismittel, die rechtlich zulässig sind, einsetzen. Die Computerforensik und die Arbeit aller Beteiligten hat sich also am Stand der Wissenschaft zu orientieren und diesen einzuhalten.
[ 29 ] Der Umstand, dass das Gesetz selber keine Antwort darüber enthält, was im Rahmen der Computerforensik als korrekt gilt und was nicht, führt dazu, dass Expertenwissen notwendig wird. Wie HEINSON festhält, «existiert [bislang] keine anerkannte einheitliche Methode für die Beweissicherung und Beweisverwertung mit IT-Forensik»; dabei handelt es sich um eine offene Aufgabe der Fachwelt.
[ 30 ] Die Expertinnen und Experten müssen wissen, was dem Stand von Wissenschaft und Erfahrung im Zeitpunkt der Beurteilung der digitalen Beweise entspricht. Die Gerichte werden darauf abstellen.
4. Grundprinzipien der Digital Forensic
[ 31 ] Die Computerforensik wird eingesetzt, um die kriminalistischen „W»-Fragen zu klären: Wer? Was? Wo? Wann? Warum? Womit? Wie?
[ 32 ] Die einschlägige Literatur hebt folgende drei Grundsätze hervor, damit der erhobene Beweis als authentisch gilt:
1. Akzeptanz:
Sämtliche Methoden, die bei einer digital-forensischen Untersuchung zum Einsatz kommen, müssen «in der Fachwelt beschrieben und allgemein akzeptiert sein» . Sie haben also dem Stand der Wissenschaft zu entsprechen. Abweichungen von dieser Methodik sollten vermieden werden. Sind Abweichungen unumgänglich, müssen sie eingehend begründet und die Abweichungen im Einzelnen aufgezeigt werden. Die Wiederholbarkeit muss in jedem Fall gewährleistet sein. Sind die angewandten Methoden akzeptiert, sind sie auch glaubwürdig: Deren Benutzung hat sich bewährt und der kritischen Prüfung durch die Fachgemeinde standgehalten. Akzeptanz in der computerforensischen Fachwelt bedeutet damit Akzeptanz bei den Gerichten.
2. Integrität:
Die digitalen Spuren (insbesondere die originalen Datenträger) dürfen durch die Untersuchung nicht verändert werden. Sind Veränderungen nicht vermeidbar, was sehr selten je der Fall ist, muss die Vorgehensweise exakt dokumentiert werden. In solchen Fällen bedarf es zwingend einer Begründung, weshalb die Untersuchung nicht ohne Veränderung des Datenträgers möglich war. Die Integrität der gesicherten Datenträger muss jederzeit belegt werden können.
Werden die digitalforensischen Ermittlungsergebnisse angezweifelt, so muss die Beweisführung von Dritten jederzeit wiederholt und bestätigt werden können. Vorausgesetzt für diese Wiederholung ist die Integrität des Ausgangsmaterials.
3. Dokumentation:
Jeder Schritt des Ermittlungsprozesses, also der digitalforensischen Arbeit, ist angemessen zu dokumentieren. Die Aufbereitung- und Dokumentationsmethoden sind so zu wählen, dass nachvollziehbar Schlussfolgerungen vom Beweis auf zu prüfende Tatsachen möglich sind. Ebenso gehört zur Dokumentation, dass nachweisbar ist, wann die digitalen Beweise sich wo unter welcher Herrschaft befunden haben und namentlich, wer wann darauf zugegriffen hat.
[ 33 ] Auf der Basis dieser drei Grundsätze – Akzeptanz, Integrität und Dokumentation – ergibt sich wie erwähnt die Authentizität eines digitalforensischen Beweises. Authentizität wiederum verspricht eine lückenlose Chain of Evidence sowie eine lückenlose Chain of Custody. Beides ist wesentlich, um in einem Prozess als Beweis überhaupt erst Wirkung entfalten zu können; das kann über Sieg oder Niederlage, über Verurteilung oder Freispruch entscheiden.
[ 34 ] Die Chain of Evidence ist zu Deutsch die Beweiskette. Der erhobene Beweis hat vorab ganz grundsätzlich dazu geeignet zu sein, das zu beweisen, was überhaupt zu beweisen ist. Sodann muss ein Beweis, der zwei bereits erwiesene Elemente in Zusammenhang bringt, sie also verknüpft, ebenfalls geeignet und mit den anerkannten Methoden der Forensik erbracht worden sein. Nur so entsteht eine Kette an Beweisen.
When collecting evidence you should proceed from the volatile to the less volatile. Here is an example order of volatility for a typical system.
- registers, cache
- routing table, arp cache, process table, kernel statistics, memory
- temporary file systems
- disk
- remote logging and monitoring data that is relevant to the system in question
- physical configuration, network topology
- archival media
RFC 3227, Ziff. 2.1, February 2002
[ 35 ] Die Chain of Custody ist auch im Deutschen ein stehender Begriff. Darunter wird die Verantwortungshierarchie oder Verantwortungskette verstanden: Der Forensiker zeichnet sich für die Beweissicherung zuständig, danach werden die Beweisgegenstände eingelagert und im Anschluss dem Gericht zugestellt oder zur Verfügung gehalten. Wer wie auf die Beweise während eines Prozesses zugreift, muss jederzeit nachweisbar sein.
[ 36 ] Die Chain of Custody gilt auch für die Phase während des Gerichtsprozesses und nicht bloss im Vorverfahren, in dem die Verfahrensherrschaft bei einer Staatsanwaltschaft liegt. Auch nachdem die Verfahrensherrschaft von den Untersuchungsbehörden an die Judikative übergegangen ist, muss unbestrittener Massen klar sein, wo die Datensätze liegen, wer darauf Zugriff hat und für die Sicherheit verantwortlich ist.
5. Grundsätzliches Vorgehen einer digitalforensischen Untersuchung
[ 37 ] Das ganz grundsätzliche Vorgehen bei einer digitalforensischen Untersuchung lässt sich auf drei Buchstaben komprimieren: SAP. SAP steht in diesem Kontext für Secure, Analyze und Present.
[ 38 ] In der ersten und heikelsten Phase, der Sicherungsphase, werden die Daten ab dem Beweisstück gesichert. Der Forensiker hat unter Wahrung der Integrität mit akzeptierten Methoden die relevanten Daten zu sichern.
[ 39 ] In der Sicherungsphase folgen die Forensiker einer Sicherungsreihenfolge, der sog. Order of Volatility, die im bereits erwähnten RFC 3227 niedergeschrieben ist:
[ 40 ] Flüchtige Datenbestände (RAM etc.) sind sehr viel aufwändiger zu sichern. An dieser Stelle wird auf weitere Ausführungen dazu verzichtet. In der hiesigen Prozesspraxis hat dieses Thema kaum Gewicht und die Sicherungsmethoden müssen noch als experimentell bezeichnet werden.
[ 41 ] Bei nicht flüchtigen Datenbeständen (Festplatten, Sticks etc.) wird vom Beweisstück eine bitgenaue 1:1 Kopie erstellt, wobei ein Schreibschutz (ein sog. Write Blocker, wie sie z.B. von Guidance Software unter dem Namen Tableau erhältlich sind) benutzt werden muss. Diese Schreibschütze sind zertifiziert und entsprechend teuer.
[ 42 ] «Assess It All, Or Lose It All» ist das Motto jeder (computer-)forensischen Untersuchung. Was man nicht sichert, hat man später für die Analyse nicht zur Verfügung. Der Forensiker durchläuft dabei folgende Phasen:
- potential digital evidence identification process;
- potential digital evidence collection process;
- potential digital evidence acquisition (optional);
- potential digital evidence transportation process, and
- potential digital evidence storage process.
[ 43 ] In der zweiten Phase, der Analysephase wendet der Forensiker sein Wissen auf den Sachverhalt an. Er sucht im gesicherten Beweismaterial nach relevanten Spuren. Dabei kann er auf eine breite Palette von Werkzeugen zurückgreifen. Quelloffene Toolkits sind hier besonders wertvoll, da der zugrunde liegende Code einsehbar ist.
[ 44 ] In der dritten Phase, der Present-Phase, erstellt der Forensiker seinen Bericht. Er wird sich dabei auf automatisch generierte Rapporte abstützen, die er von der eingesetzten Software erhält. Das alleine genügt aber nicht: Die Polizeikorps erstellen regelmässig zusätzliche Polizeirapporte, die die Vorgehensweise und die daraus abgeleiteten Erkenntnisse darstellen. Mit der Unterschrift unter diesen Rapport erhält das Dokument ein zusätzliches und nicht zu unterschätzendes Gewicht. Der vereidigte Polizist bezeugt mit seiner Unterschrift die Richtigkeit seiner Untersuchungsergebnisse. Die Present-Phase kann auch die effektive Präsentation der Ergebnisse vor der fallführenden Staatsanwältin oder dem Gericht umfassen.
6. Abschliessende Gedanken zu den Grundlagen der Forensic Readiness (Teil I)
[ 45 ] Die dargelegten Prinzipien, Modelle und Standards haben sich in der Praxis als solide erwiesen. Es braucht aber noch einiges an Zeit, bis diese Grundsätze auch in der juristischen Zunft und insbesondere in der Prozesspraxis der Gerichte ihren Niederschlag finden. Zu sehr verlassen sich Entscheidungsgremien wie Gerichte auf verwaltungsinterne «Spezialisten», denen es manchmal aber an der einschlägigen Ausbildung fehlt.
[ 46 ] Für beschuldigte Personen (z.B. in einem Strafverfahren) oder zu einer Leistung, einem Tun oder einem Unterlassen verurteilte Personen (z.B. in einem Zivilverfahren) ist es absolut zentral, dass die verwendeten Beweise stichhaltig sind und keine Zweifel über deren Gewinnung existieren. Das sorgt für Akzeptanz von Urteilen und im Endeffekt für Rechtsfrieden.
[ 47 ] Nicht selten trifft man in der Schweizer Gerichtspraxis noch auf eine Art Urvertrauen in den Staat. Das ist zwar schön, aber kann nicht genügen. Es gibt keine Gründe, warum sich staatliche Stellen nicht an der Einhaltung des Stands von Wissenschaft und Erfahrung messen sollten. Von privaten Akteuren wird das seit jeher verlangt.
Quellen
Sie befinden sich auf der Webversion des Artikels «Forensic Readiness – Grundlagen (Teil 1)». Die Quellenhinweise entnehmen Sie bitte direkt der PDF-Version, abrufbar unter:
Unsere Expertise
Ihre Schnittstelle zwischen IT und Recht
Das Team von LAYER 8 verfügt über tiefes technisches Verständnis und ist den Umgang mit Source Code und Netzwerktopologien gewohnt.
LAYER 8 hilft Ihnen dabei, die rechtlichen Risiken der IT abzuschätzen und im Bedarfsfall für Sie die Verhandlungen und Prozesse zu führen.
Kein IT-Nerd? Kein Problem. Dafür gibt es uns. Lesen Sie hier zum Begriff «Layer 8» in der IT-Welt weiter.
Kontaktieren Sie uns
