Wenn Sie eine Datei von der Festplatte Ihres Computers löschen, ist sie nie wirklich weg. Mit genügend Aufwand und technischem Geschick ist es oft möglich, Dokumente und Fotos wiederherzustellen, die zuvor als vernichtet galten. Diese Computerforensik ist ein nützliches Werkzeug für die Strafverfolgung, aber wie funktionieren sie wirklich?
Inhaltsverzeichnis
Gesetzliche Grundlagen schaffen
Bevor wir uns dem technischen Unkraut zuwenden, lohnt es sich, die langweiligen verfahrenstechnischen und rechtlichen Aspekte der Computerforensik im Kontext der Strafverfolgung zu diskutieren.
Lassen Sie uns zunächst mit dem alten Mythos aufräumen, dass ein Polizeibeamter immer einen Haftbefehl benötigt, um ein digitales Gerät wie ein Telefon oder einen Computer zu untersuchen. Obwohl dies oft der Fall ist, gibt es in der Gesetzesstruktur viele „Schlupflöcher“ (in Ermangelung eines besseren Wortes).
Viele Gerichtsbarkeiten, wie das Vereinigte Königreich und die Vereinigten Staaten, gestatten Zoll- und Einwanderungsbeamten, elektronische Geräte ohne Haftbefehl zu untersuchen. Amerikanische Grenzbeamte können den Inhalt von Geräten auch ohne Haftbefehl untersuchen, wenn ein Beweismittelvernichtung unmittelbar bevorsteht, wie von . bestätigt ein Urteil des 11. Bezirks von 2018.
Im Vergleich zu ihren amerikanischen Kollegen haben britische Polizisten tendenziell mehr Spielraum, um den Inhalt von Geräten zu beschlagnahmen, ohne ihren Fall vor einen Richter oder Richter bringen zu müssen. Sie können beispielsweise den Inhalt eines Telefons herunterladen, indem sie ein Gesetz namens Polizei- und Strafverfolgungsgesetz (PACE), unabhängig davon, ob Anklage erhoben wird. Entscheidet sich die Polizei jedoch letztendlich, den Inhalt untersuchen zu wollen, braucht sie die Zustimmung der Gerichte.
Gesetzgebung gibt der britischen Polizei außerdem das Recht, Geräte unter bestimmten Umständen ohne Haftbefehl zu untersuchen, wenn dies dringend erforderlich ist – beispielsweise in einem Terrorismusfall oder wenn die ernsthafte Befürchtung besteht, dass ein Kind sexuell ausgebeutet werden könnte.
Aber unabhängig vom „Wie“ stellt die Beschlagnahmung eines Computers letztendlich nur den Beginn eines langen Prozesses dar, der damit beginnt, dass ein Laptop oder Telefon in einer manipulationssicheren Plastiktüte entfernt wird und oft mit der Präsentation von Beweismitteln endet ein Gerichtssaal.
Die Polizei muss sich an eine Reihe von Regeln und Verfahren halten, um die Zulässigkeit von Beweismitteln sicherzustellen. Computerforensik-Teams dokumentieren jeden ihrer Schritte, damit sie bei Bedarf dieselben Schritte wiederholen und dieselben Ergebnisse erzielen können. Sie verwenden spezielle Tools, um die Integrität von Dateien sicherzustellen. Ein Beispiel ist ein „Schreibblocker“, der es Forensikern ermöglicht, Informationen zu extrahieren, ohne die untersuchten Beweise versehentlich zu ändern.
Es ist diese Rechtsgrundlage und verfahrenstechnische Strenge, die den Erfolg einer computerforensischen Untersuchung bestimmen – nicht die technische Raffinesse.
Umzugsplatten, Umzugskartons
Ungeachtet rechtlicher Probleme ist es immer interessant, die vielen Faktoren zu beachten, die bestimmen können, wie leicht gelöschte Dateien von den Strafverfolgungsbehörden wiederhergestellt werden können. Dazu gehören der verwendete Datenträgertyp, ob eine Verschlüsselung vorhanden war und das Dateisystem des Laufwerks.
Nehmen wir zum Beispiel Festplatten. Obwohl diese von schnelleren Solid-State-Laufwerken (SSDs) weitestgehend übertroffen wurden, waren mechanische Festplatten (HDDs) über 30 Jahre der vorherrschende Speichermechanismus.
Festplatten nutzten magnetische Platten, um Daten zu speichern. Wenn Sie schon einmal eine Festplatte zerlegt haben, haben Sie wahrscheinlich bemerkt, dass sie ein bisschen wie CDs aussehen. Sie sind rund und silberfarben.
Im Gebrauch drehen sich diese Platten mit unglaublichen Geschwindigkeiten – normalerweise entweder 5.400 oder 7.200 U/min und in einigen Fällen sogar bis zu 15.000 U/min. An diese Platten sind spezielle „Köpfe“ angeschlossen, die Lese- und Schreibvorgänge ausführen. Wenn Sie eine Datei auf dem Laufwerk speichern, bewegt sich dieser „Kopf“ zu einem bestimmten Teil des Plattentellers und wandelt einen elektrischen Strom in ein magnetisches Feld um, wodurch die Eigenschaften des Plattentellers verändert werden.
Aber woher weiß es, wohin es gehen soll? Nun, es betrachtet eine sogenannte Zuordnungstabelle, die eine Aufzeichnung jeder auf einer Festplatte gespeicherten Datei enthält. Aber was passiert, wenn eine Datei gelöscht wird?
Die kurze Antwort? Nicht viel.
Hier ist die lange Antwort: Der Datensatz für diese Datei wird gelöscht, sodass der von ihr belegte Speicherplatz auf der Festplatte später überschrieben werden kann. Die Daten bleiben jedoch physisch auf den Magnetplatten vorhanden und werden nur dann wirklich gelöscht, wenn an dieser bestimmten Stelle auf der Platte neue Daten hinzugefügt werden.
Schließlich würde das Löschen erfordern, dass sich der Magnetkopf physisch an diese Stelle auf dem Plattenteller bewegt und ihn überschreibt. Dies könnte andere Anwendungen beeinträchtigen und die Leistung des Computers verlangsamen. Was Festplatten angeht, ist es einfacher, so zu tun, als ob gelöschte Dateien einfach nicht existieren.
Das macht die Wiederherstellung gelöschter Dateien für die Strafverfolgungsbehörden viel einfacher. Sie müssen nur die fehlenden Teile in der Zuordnungstabelle neu erstellen, was mit kostenlosen Tools möglich ist, einschließlich Recuva.
Fest (Zustand) wie ein Fels
Natürlich sind SSDs anders. Sie enthalten keine beweglichen Teile. Stattdessen werden Dateien als Elektronen dargestellt, die von Billionen mikroskopischer Floating-Gate-Transistoren gehalten werden. Zusammen bilden diese NAND-Flash-Chips.
SSDs weisen insofern Ähnlichkeiten mit HDDs auf, als Dateien immer nur beim Überschreiben gelöscht werden. Einige wesentliche Unterschiede erschweren jedoch unweigerlich die Arbeit von Computerforensikern. Und wie HDDs organisieren SSDs Daten in Blöcken, wobei die Größe je nach Hersteller stark variiert.
Der Hauptunterschied besteht darin, dass der Block vollständig leer sein muss, damit eine SSD Daten schreiben kann. Um sicherzustellen, dass die SSD über einen konstanten Strom verfügbarer Blöcke verfügt, gibt der Computer einen sogenannten „TRIM-Befehl“ aus, der der SSD mitteilt, welche Blöcke nicht mehr benötigt werden.
Für Ermittler bedeutet dies, dass sie beim Versuch, gelöschte Dateien auf einer SSD zu finden, möglicherweise feststellen, dass das Laufwerk sie unschuldig weit außerhalb ihrer Reichweite platziert hat.
SSDs können Dateien auch über mehrere Blöcke auf dem Laufwerk verteilen, um den Verschleiß durch den täglichen Gebrauch zu reduzieren. Da SSDs nur einer begrenzten Anzahl von Schreibvorgängen standhalten können, ist es wichtig, dass sie über das Laufwerk verteilt werden und nicht an einem kleinen Ort. Diese Technologie wird Wear Leveling genannt und ist dafür bekannt, dass sie Fachleuten der digitalen Forensik das Leben schwer macht.
Hinzu kommt, dass SSDs oft schwieriger abzubilden sind, weil sie oft physisch nicht aus einem Gerät entfernt werden können.
Während Festplatten fast immer austauschbar sind und über Standardschnittstellen wie IDE oder SATA angeschlossen werden, entscheiden sich einige Laptop-Hersteller dafür, den Speicher physisch an das Motherboard der Maschine zu löten. Dies macht es für Strafverfolgungsbehörden viel schwieriger, den Inhalt auf forensisch einwandfreie Weise zu extrahieren.
Die wahren Komplikationen
Fazit: Ja, die Strafverfolgungsbehörden können gelöschte Dateien abrufen. Fortschritte in der Speichertechnologie und weit verbreitete Verschlüsselung haben jedoch die Angelegenheit etwas kompliziert.
Dennoch lassen sich technische Probleme oft überwinden. Wenn es um digitale Ermittlungen geht, sind die größten Herausforderungen für die Strafverfolgung nicht die Mechanismen von SSD-Laufwerken, sondern deren Ressourcenmangel.
Es gibt nicht genug ausgebildete Fachkräfte, um die Arbeit zu erledigen. Und das Endergebnis ist, dass viele Polizeikräfte auf der ganzen Welt mit einem erdrückenden Rückstand an unverarbeiteten Telefonen, Laptops und Servern konfrontiert sind.
Ein Antrag auf Informationsfreiheitsgesetz der britischen Zeitung The Times zeigte, dass die 32 Polizeikräfte in ganz England und Wales über 12.000 Geräte stehen zur Prüfung an. Die Bearbeitungszeit eines Geräts dort variiert von einem Monat bis zu über einem Jahr.
Und das hat Konsequenzen. Das Fundament eines fairen Strafrechtssystems ist, dass den Angeklagten ein zügiges Verfahren gewährt wird. Wie das Sprichwort sagt, ist die verzögerte Gerechtigkeit verweigerte Gerechtigkeit. Dieses Prinzip ist so grundlegend wichtig, dass es sogar im sechsten Zusatzartikel der US-Verfassung verankert ist.
Leider ist es kein Problem, das leicht zu beheben ist, ohne dass mehr Geld von den Streitkräften für Rekrutierung und Ausbildung ausgegeben wird. Sie können es nicht mit mehr Technologie lösen.