Forensisches Duplikat
Ein forensisches Duplikat bezeichnet in der IT-Forensik die bitweise 1:1-Kopie eines digitalen Datenträgers. Hierbei wird durch den Einsatz von spezieller Hardware und Software sichergestellt, dass das Duplikat eine identische Kopie des Originals ist. Alle Ermittlungsarbeiten sollten nur an diesem Duplikat durchgeführt werden.[1]
Auf Unix-Systemen, und damit auch auf vielen Diagnose-CDs (siehe Knoppix STD oder Kali), wird für diesen Zweck das Programm dd beziehungsweise ddrescue (bricht bei Lesefehlern nicht ab) eingesetzt. Entscheidend bei der Toolauswahl ist hierbei, dass bezüglich der Zuverlässigkeit und der Integrität keine Zweifel bestehen.[2] Dabei können nur tatsächlich sichtbare Bereiche der Festplatte kopiert werden. Auf ausgeblendete Bereiche, die aufgrund von Fehlern durch unbeschädigte Bereiche ersetzt wurden, kann mit diesen Programmen nicht zugegriffen werden. Für diesen Zweck bleibt nur eine modifizierte Firmware der Festplatte oder ein direktes Auslesen der Platten mit Spezialgeräten.
Um versehentliche Änderungen des zu duplizierenden Datenträgers zu verhindern, werden häufig sogenannte „Writeblocker“ eingesetzt. Ein Writeblocker wird zwischen den zu duplizierenden Datenträger und das Computersystem, mit dem das Duplikat erstellt werden soll, angeschlossen. Er lässt lediglich Lesezugriffe auf den Datenträger zu und filtert Schreibzugriffe. Writeblocker existieren für viele Festplatten- und Datenträger-Schnittstellen, beispielsweise SATA, IDE, SCSI und USB.[3]
Sollen die aus einem forensischen Duplikat gewonnenen Informationen vor Gericht verwertet werden können, so muss der Vorgang nachvollziehbar und überprüfbar sein. Alle weiteren Duplikate des Originals müssen mit dem ersten Duplikat entsprechen. Um diese Überprüfung zu ermöglichen, werden kryptografische Prüfsummen verwendet.[4]
Weblinks
- Leitfaden IT-Forensik – Grundlagenwerk des BSI zur IT-Forensik (März 2011).
Einzelnachweise
- Leitfaden „IT-Forensik“, Version 1.0.1 S. 26. Bundesamt für Sicherheit in der Informationstechnik, 1. März 2011, abgerufen am 24. März 2019.
- XXXV: Zur "Beweiskraft informationstechnologischer Expertise", S. 30. Schmid, Viola, 7. Dezember 2012, abgerufen am 10. April 2019.
- Kessler, G. C., & Carlton, G. H.: A Study of Forensic Imaging in the Absence of Write-Blockers. In: Journal of Digital Forensics. 9, Nr. 3, 2014, S. 51–58.
- Forensic Use of Hash Values and Associated Hash Algorithms. Netherlands Forensic Institute, Januar 2018, abgerufen am 10. April 2019.