Go to Top

Wenn Ihre Beweise auf einem kaputten Laufwerk liegen – benötigt man dann Computer-Forensik, Datenwiederherstellung oder beides?

Beweise auf einem kaputten Laufwerk

Von Festplatten, die in den Fluss geworfen wurden, bis hin zu solchen, die beschädigt wurden, um Beweise für Fehlverhalten zu zerstören, Kroll Ontrack Ingenieure und Berater haben hunderte von Strafverfolgungs- und Regierungsbehörden, Anwaltskanzleien und Unternehmen erfolgreich dabei unterstützt, Beweisdaten wiederherzustellen, die entscheidend für die jeweiligen Fälle waren.

Computer-Forensik ist die Wissenschaft hinter der Untersuchung von Computermedien, während die Datenwiederherstellung die Technik ist, die für die Rückgewinnung von Daten aus einem beschädigten Medium verwendet wird. Um eine umfassende Untersuchung durchzuführen, müssen beide Kompetenzen in den meisten Fällen eingesetzt werden. Data Recovery-Techniken werden verwendet, um kritische Daten aus den Zielmedien abzurufen und dann werden forensische Methoden angewendet, um die wichtigsten Daten für den Fall zu analysieren.

In vielen Fällen stehen die Medien im Mittelpunkt der Untersuchung, entweder als Werkzeug für ein geplantes Verbrechen oder als Beweisquelle einer durchgeführten Tat. Aufgrund vieler unterschiedlicher Gründe – wie vorsätzliche Beschädigung, technisches Versagen, Brand- oder Wasserschaden und viele andere – kann das Medium beschädigt oder nicht lesbar sein.

Mutwillig oder zufällig?

Kroll Ontrack hat sich bei vielen Untersuchungen in den vergangenen Jahren engagiert, wo Medien schwer beschädigt wurden. Ein aktueller Test unserer Fähigkeiten fand statt, als unsere Spezialisten beauftragt wurden Daten von einer Festplatte wiederherzustellen, die Brandschäden durch eine Explosion in einem Wohnhaus erlitten hatte.

Das Laufwerk kam bei uns in einem extrem schlechten Zustand an. Die obere Abdeckung des Laufwerks war zerstört worden und nach einer ersten Prüfung konnte  festgestellt werden, dass die ursprüngliche Elektronik defekt war und dass das Laufwerk auch interne mechanische Schäden abbekommen hatte.

Die Festplatte wurde in einem Kroll Ontrack Reinraum geöffnet. Die Fehler wurden überwunden und ein Image (eine Sektor-für-Sektor-Kopie des Laufwerks) wurde erstellt. Das Image wurde sowohl in einem unserer Datenrettungs- als auch Forensik-Labors analysiert, um zu bestimmen, ob die logischen Daten in irgendeiner Weise beschädigt wurde.

In diesem Fall wurden alle Daten wiederhergestellt und den Behörden übergeben, sodass weitere Analysen und eine Untersuchung der elektronischen Beweise von der Original-Festplatte durchgeführt werden konnten.

Im Anschluss an ein ordnungsgemäßes Verfahren…

Dies ist ein typisches Beispiel dafür, wo die Datenrettungs- und Computer-Forensik-Welten sich  treffen und gemeinsam arbeiten. Techniken zum Abrufen von Daten und zum Überwinden von Ausfällen bei beschädigten Medien wurden angewandt, während alle relevanten Protokolle über die Durchführung eines solchen Prozesses – bei Medien die Beweise enthalten – eingehalten wurden. Die allgemein anerkannten Protokolle die von Computer-Forensik-Spezialisten in Großbritannien angewandt werden, sind aus den Leitlinien des britischen ACPO (The Association of Chief Officers) abgeleitet. Die Praxisleitlinien über computerbasierte Beweise bieten gute und fundierte Ratschläge, wie man Medien aus einer Beschlagnahme behandelt, von der Handhabung, über die Vervielfältigung und Bearbeitung bis hin zur abschließenden Analyse.

Eine dieser anerkannten Richtlinien ist, dass die auf einem Computer gespeicherten Daten in irgendeiner Form verändert werden sollen. Ein weiterer Punkt ist, dass eine ordnungsgemäße Dokumentation sowie ein Aufbewahrungsvorgang (Chain of Custody/CoC) vorhanden sein muss. Diese Dokumentation erläutert die Verfahren, sodass ein anderer Experte die gleichen Ergebnisse reproduzieren könnte.

In jedem Fall ist es wichtig, dass diese Richtlinien und Protokolle befolgt werden. Es ist auch wichtig, dass der Experte, der die Medien analysiert über die Fähigkeiten und Erfahrung verfügt, die erforderlich ist, um mit elektronischen Datenspeichern umgehen und diese analysieren zu können.

Morduntersuchung

Ein weiterer Fall, an dem Kroll Ontrack beteiligt war, war für ein ausländisches Strafgericht, bei dem eine Festplatte beteiligt war, auf der Überwachungskamera-Aufnahmen gespeichert waren. Die Aufnahmen enthielten möglicherweise Beweise über einen begangenen Mord. Pech für das lokale Untersuchungsteam: Leider war die Festplatte nicht funktionsfähig und so riefen sie unsere Experten zur Hilfe.

Das beschädigte Laufwerk wurde nach London geflogen mit persönlicher Begleitung und eine grobe Prüfung ergab, dass das Medium unter Elektronik-Versagen litt. Eine weitere Untersuchung ergab, dass das Laufwerk auch Medien-Korrumptions-Schäden erlitten hatte. In diesen Fällen liegt der Fehler an dem Speichergerät selbst und nicht an einem Virus oder dem Betriebssystem. Oftmals sind nicht nur die Daten überschrieben, sondern auch Low-Level-Informationen, die für den grundlegenden Betrieb der Festplatte wichtig sind.

Trotz des Ausmaßes der Korrumpierung gelang es Kroll Ontrack 99 % der Rohdaten zu kopieren. Leider waren die Datenstrukturen betroffen, was zur Folge hatte, dass  die Daten um wiederhergestellt zu werden, erst repariert werden mussten. Wie es oft bei Videoüberwachungssystemen der Fall ist, besaß es ein eigenes Betriebssystem. Allerdings waren die Spezialisten von Kroll Ontrack in der Lage die beschädigten Strukturen zu umgehen und die Bilddateien wiederherzustellen, die vom Gericht verwendet werden könnten.

In der Regel hat man nur einen Versuch bei der Daten-Wiederherstellung von beschädigten Medien, sodass es von größter Bedeutung ist, von Anfang an Unterstützung durch Experten mit dem richtigen Maß an Fähigkeiten, Qualifikationen und Erfahrung zu engagieren. Manchmal ist das Eingehen eines Risikos schlicht und einfach keine Option!

Bildnachweis: Thinkstockphotos.com