Master-Studiengang Werkstofftechnik/Materials Engineering (M.Eng.)
Hochschule Wismar Studiengang Master „IT …...Studiengang Master „IT-Sicherheit und Forensik“...
Transcript of Hochschule Wismar Studiengang Master „IT …...Studiengang Master „IT-Sicherheit und Forensik“...
Hochschule Wismar
Studiengang Master „IT-Sicherheit und Forensik“
Modul „Forensik in Betriebs- und Anwendungssystemen“
Praktikumsbericht
MUE07
Karina Schuller Michaela Smejkal
Martin Hille
1
Inhalt
Abbildungsverzeichnis ................................................................................................ 2
Tabellenverzeichnis .................................................................................................... 2
1. Szenario ................................................................................................................. 3
2. Vorgehensschema .................................................................................................. 4
2.1. Operationale Vorbereitung ............................................................................... 5
2.2.1 Ausgangssituation ...................................................................................... 5
2.2.2 Verwendete Utensilien ................................................................................ 5
2.2.3 Datenquelle ................................................................................................ 6
2.2 Datensammlung ................................................................................................ 7
2.2.1 Physische Sicherung .................................................................................. 7
2.3 Datenextraktion ............................................................................................... 10
2.3.1 Vorbereitung der Untersuchung ................................................................ 10
2.3.2 Starten der Auswertung ............................................................................ 10
2.3.3 Schlüsselwörtersuche mit Magnet AXIOM Process .................................. 13
2.3.4 Auswertung mit Magnet AXIOM Examine ................................................. 14
2.3.4.1 Filterung: Bilder .................................................................................. 15
2.3.4.2 Filterung: E-Mails ............................................................................... 16
2.3.4.3 Online-Analyse ................................................................................... 18
2.3.4.4 Filterung: Internet ............................................................................... 19
2.3.4.5 Verschlüsselte Ordner ........................................................................ 19
2.3.5 Vergleich der Ergebnisse .......................................................................... 20
2.4 Datenanalyse .................................................................................................. 21
2.4.1 Auswertung Logdaten ............................................................................... 21
2.5 Dokumentation ................................................................................................ 22
3. Ermittlungsergebnis .............................................................................................. 26
2
Abbildungsverzeichnis
Abbildung 1: Beweismittel Laptop (Datenquelle Nr. 010203) ...................................... 7
Abbildung 2: Erzeugung des Image ............................................................................ 8
Abbildung 3: FTKImage erstellen ............................................................................... 8
Abbildung 4: Export des Images in E01-Format ......................................................... 9
Abbildung 5: Hash Verifikation .................................................................................. 10
Abbildung 6: Axiom Process Einstellungen............................................................... 12
Abbildung 7: Schlagwörter für die Suche .................................................................. 13
Abbildung 8: Beweisanalyse ..................................................................................... 14
Abbildung 9: Zeitleiste Artefakte ............................................................................... 14
Abbildung 10: Filter-Funktion "Bilder" ....................................................................... 15
Abbildung 11: Filter für E-Mail-Verkehr ..................................................................... 16
Abbildung 12: Filterung nach E-Mail-Text ................................................................. 17
Abbildung 13: Ergebnisse der Filterung .................................................................... 18
Abbildung 14: Ping E-Mail-Adresse .......................................................................... 18
Abbildung 15: Filterung Internet ................................................................................ 19
Abbildung 16: Verschlüsselte Ordner........................................................................ 20
Abbildung 17: Auswertung Windows Ereignisprotokoll ............................................. 21
Abbildung 18: Auswertung ausgeführter Programme ............................................... 22
Tabellenverzeichnis
Tabelle 1: Timeline vor der Meldung bis zum IT-labor ................................................. 5
Tabelle 2: Eckdaten der Datenquelle .......................................................................... 6
Tabelle 3: Timeline Festplattenspiegelung .................................................................. 9
Tabelle 4: Zusammenstellung der Ergebnisse .......................................................... 21
Tabelle 5: Polizeiliche Ermittlungen .......................................................................... 22
Tabelle 6: Beweismittel Sichtung IT-Forensik ........................................................... 23
Tabelle 7: Sicherstellung des Beweismittels ............................................................. 23
Tabelle 8: Auswertung/Analyse der Daten 1 ............................................................. 24
Tabelle 9: Auswertung/Analyse der Daten 2 ............................................................. 25
3
1. Szenario
Die Ermittlungskräfte der Polizei haben am 25.07.2019 einen anonymen Hinweis auf illegale
Tätigkeiten des Jack the Reaper (geb. 01.01.1960 in München) erhalten. Der Gegenstand der
Ermittlungen betrifft möglichen illegalen Tierhandel und Hinweise auf weitere illegale
Aktivitäten, die jedoch nicht näher spezifiziert wurden und somit reine Vermutungen darstellen.
Der Tatverdächtige ist kein Unbekannter und ist bei ähnlichen Delikten bereits vorbelastet.
Somit wurde am 01.08.2019 die Wohnung des Verdächtigen durchsucht. Es konnten keine
Auffälligkeiten bei der Durchsuchung entdeckt werden (die Wohnung war auffällig sauber),
jedoch wurden für weitere Ermittlungen vorhandene digitale Medien beschlagnahmt: privater
Laptop des Verdächtigen (Handy oder weitere Medien konnten Vorort nicht entdeckt werden).
Das beschlagnahmte Medium wurde an das forensische Team „MUE07“, bestehend aus drei
erfahrenen IT-Forensikern, weitergegeben. Die Aufgabe des Teams besteht nun darin, das
Medium sachgerecht und rechtssicher auszuwerten, wertvolle Erkenntnisse zu sammeln und
in einem Bericht nachvollziehbar zusammenzufassen.
Im Folgenden werden detailliert sowohl die Vorgehensweise der Auswertung, als auch daraus
resultierende Erkenntnisse des IT-Forensik-Teams „MUE07“ dargelegt. Diese Auswertung wird
dann an die zuständigen Ermittler übersendet und ist ein entscheidendes Kriterium für die
Weiterverfolgung des Falls.
4
2. Vorgehensschema
Das Vorgehen der IT-Forensiker muss eine anerkannte Methode zugrunde haben. Für diesen
Fall wird „ Der abschnittsbasierte Verlauf einer forensischen Untersuchung“ (Leitfaden IT-
Forensik, BSI, März 2011) gewählt.
1. Strategische Vorbereitung
Für diese Fallkonstellation nicht anwendbar.
2. Operationale Vorbereitung
Schritte vor der Datensammlung
Identifikation und Enumeration potentieller Datenquellen (mobil, extern)
Forensische Werkzeuge identifiziert und Auswahlkriterien dokumentiert
3. Datensammlung
Kopien der Datenquelle erstellen, Kryptographie beachten
Integrität der Beweismittel gewährleisten für gerichtliche Verwertbarkeit
Sammlung wichtiger Daten von potentiell betroffenen Komponenten
4. Datenextraktion
Untersuchung wertvoller Daten (bspw. Extrahieren von Bilddateien aus dem Image)
Reduktion der Daten durch Ausschließen
5. Datenanalyse
Ergebnisse im Zeitverlauf darstellen & logischen Zusammenhand finden
Detailanalyse der gewonnenen Daten (Bsp. Logdateienauswertung)
Verbindungen zwischen Inhalten herstellen
6. Dokumentation
Alle gefundenen Einzelergebnisse zu einer Gesamtbetrachtung zusammenfassen.
Abb. 1: 1Das BSI Vorgehensmodell
5
2.1. Operationale Vorbereitung
Bei der Auswertung der Datenquelle wird insbesondere nach digitalen Spuren und Indizien für
einen möglichen illegalen Tierhandel gesucht, hierzu gehört sowohl die Auswertung der
Festplatte, als auch eine Online-Analyse. Indizien für weitere eventuelle Gesetzesverstöße
werden ebenfalls gesammelt.
2.2.1 Ausgangssituation
Der Laptop befindet sich in einem Karton im ausgeschalteten Zustand, folglich besteht keine
Möglichkeit mehr eine Live-Response-Analyse durchzuführen und den Hauptspeicher
auszulesen. Alle flüchtigen Informationen können damit als verloren betrachtet werden.
Für die IT-Forensische Untersuchung kommt nun das Post-Mortem-Akquise-Verfahren infrage
und somit ist die Festplatte, mit den gespeicherten persistenten Spuren, der zentrale
Auswertungsgegenstand.
2.2.2 Verwendete Utensilien
Für den dargestellten Fall werden folgende Utensilien verwendet:
• Kamera
Mithilfe einer digitalen Kamera wird der Zustand des Laptops festgehalten
• Handschuhe
Für die Untersuchung wird das Gerätes in seine Komponenten zerlegt und diese auf
Unregelmäßigkeiten überprüft. Hierfür verwendet der Forensiker Handschuhe.
• Schraubendrehset
Für das Ausbauen des Gehäuses wird ein Schraubendrehset eingesetzt.
• Hardware
◦ leistungsstarker Rechner (Laborrechner der Forensikabteilung)
◦ Write-Blocker mit Adapter
◦ drei externe Festplatten
25.07.2019
• Die Polizeistelle München erhält einen anonymen Hinweis
01.08.2019
• Polizeibeamte durchsuchen die Wohnung des Tatverdächtigen und beschlagnamen einen Laptop
02.08.2019
• Das IT-Forensikteam erhält den Laptop für eine forensische Auswertung
Tabelle 1: Timeline vor der Meldung bis zum IT-labor
6
• Software
◦ MS Office Word 2016
◦ FTK Imager 4.2.1.4 (2016)
◦ Magnetics AXIOM, Version 3.3.1.14874
▪ Magnetics AXIOM Process
▪ Magnetics AXIOM Examine
• Formulare
Abläufe und Vorgehensweise werden nach anerkannten Standards und mithilfe von
standardisierten Formularen dokumentiert.
• Funkuhr
Bei der Untersuchung des Mediums wird die zeitliche Abfolge dokumentiert.
• Schreibutensilien
Für Notizen und Anmerkungen werden Schreibblöcke und Stifte verwendet.
2.2.3 Datenquelle
Erste äußere Sichtung des Mediums ergibt keine erkennbaren Speichererweiterungen oder
Manipulationen, für eine endgültige Aussage wird jedoch das Gehäuse aufgeschraubt.
Die Sichtung nach dem Öffnen des Gehäuses und Recherche zu den Hardwarebestandteilen
ergeben keine Auffälligkeiten oder Speichererweiterungen. Folgende Hardware-Details
konnten identifiziert werden:
Beschlagnahmte Datenquelle Nr. 010203
Model HP 15-db0321ng
Display 15.6 Zoll, Full-HD
Betriebssystem Windows 10 Home (64 Bit)
Prozessor AMD Ryzen™ 5 2500U Mobil Prozessor
Arbeitsspeicher-Größe 16 GB
Festplatte HDD, 1 TB, 5400 U/Min., SATA (WD Blue)
Tabelle 2: Eckdaten der Datenquelle
7
Abbildung 1: Beweismittel Laptop (Datenquelle Nr. 010203)
2.2 Datensammlung
Bei diesem Schritt werden die Daten sowohl physisch geklont, als auch logisch, mithilfe der
hierfür standardisiert verwendeten Tools, strukturell aufbereitet. Die Datensammlung erfolgt
aktiv durch einen IT-Forensik-Experten, wobei seine beiden Kollegen permanent aktiv am
Vorgehen teilnehmen und ihm beobachtend und beratend zur Seite stehen. Das Vorgehen
wird durchgehend dokumentiert.
2.2.1 Physische Sicherung
Zuallererst müssen forensische Duplikate der Datenquelle erstellt werden, so dass der Ist-
Zustand des Datenträgers und der darin enthaltenen Daten nicht verfälscht oder geändert wird.
Die Integrität der Datenquelle wird stets sichergestellt durch anerkannte Vorgehensmethoden
(siehe BSI-Leitfaden). Hierzu werden, unter der Verwendung eines Write-Blockers, drei
bitgenaue Images der Festplatte erstellt und auf separate Beweis-Festplatten kopiert:
Bei der Erstellung des Images wird wie folgt vorgegangen:
1. Zwischen die zu sichernde Datenquelle und das auswertende Computersystem der IT-
Forensiker wird ein Write-Blocker zwischengeschaltet, um jegliche Veränderungen der
Datenspuren zu vermeiden. Der Write-Blocker wird eingeschaltet und auf
„read“ eingestellt (siehe Abb. 2).
2. Das Computersystem der IT-Forensiker läuft mit einem Windows 10 Enterprise (64 Bit)
8
Betriebssystem. Hierauf ist das Programm FTKImager installiert, welches
standardmäßig zur Erzeugung eines Images von digitalen Datenquellen eingesetzt
wird (siehe Abb. 3).
3. Mithilfe des FTKImagers wird anschließend ein Image der Datenquelle mit E01-Format
erstellt und anschließend redundant auf drei Festplatten kopiert (siehe Abb. 4).
Abbildung 2: Erzeugung des Image
Abbildung 3: FTKImage erstellen
9
Abbildung 4: Export des Images in E01-Format
Tabelle 3: Timeline Festplattenspiegelung
Jedes der Images enthält Prüfsummen (kryptographische Hashes: MD5 und SHA-1), um
jegliche nachträgliche Veränderungen der Spuren sichtbar machen zu können. Das erste
Image ist eine Referenzkopie und wird nicht für die Untersuchungen verwendet. Die anderen
beiden Images werden für voneinander unabhängige forensische Auswertungen zweier IT-
Forensiker verwendet. Somit wird sowohl die Nachweisbarkeit, als auch die
Reproduktionssicherheit der ermittelten Ergebnisse sichergestellt.
Datenquelle Duplikationszeitpunkt
Festplatte 1: Nr. 111 (Referenzfestplatte) 02.08.2019 (11:05 – 11:15)
Festplatte 2: Nr. 222 02.08.2019 (11:20 – 11:30)
Festplatte 3: Nr. 333 02.08.2019 (11:40 – 11:50)
10
Abbildung 5: Hash Verifikation
2.3 Datenextraktion
Bei dem Schritt „Datenextraktion“ werden die gesammelten Datenspuren mithilfe eines
forensischen Tools ausgewertet. Hierbei werden zwei Computersysteme (jeweils Windows 10
Enterprise (64 Bit)) verwendet. Beide enthalten das forensische Programm Magnetics AXIOM,
mithilfe dessen die Images nach digital verwertbaren Spuren durchsucht werden. Das
Programm ist im IT-forensischen Bereich anerkannt und wird regulär für Untersuchung
verwendet. Für die Analyse verwendete Bereiche des Tools sind AXIOM Process und AXIOM
Examine.
2.3.1 Vorbereitung der Untersuchung
Nach dem Start des Programms wird das Image aus der Festplatte Nr. 222 an das
Computersystem 1 und das Image aus der Festplatte Nr. 333 an das Computersystem 2
angeschlossen. Beide IT-Forensik-Experten arbeiten nicht abgesprochen, jedoch, aufgrund
der standardisierten und erfahrungsgemäßen Vorgehensweise, in einer sehr ähnlichen Weise.
Beobachtet werden beide Systeme zusätzlich zu den aktiven Ermittlern, durch den dritten IT-
Forensik-Experten und einen unabhängigen weiteren eingeladenen Experten aus dem
forensischen Tätigkeitsgebiet. Alle Schritte werden stets dokumentiert.
2.3.2 Starten der Auswertung
Das in FTKImager erstellte Abbild wird nun in das Tool Magnet AXIOM Process geladen.
Dieses Tool dient der Auswahl der zu analysierenden Kriterien. Folgende Einstellungen
werden vorgenommen:
11
1
2
12
Abbildung 6: Axiom Process Einstellungen
3
4
13
Bei der Auswahl der Einstellungen wird insbesondere auf die Berechnung und Verifizierung
der Hashes für jede einzelne Beweisquelle geachtet. Diese Einstellung ist wichtig um die
Integrität der Daten sicherstellen zu können. Des Weiteren wird die Einstellung
„Protokollierung“ aktiviert und für das Verschlüsselungsverfahren die Einstellung
„MD5“ ausgewählt.
2.3.3 Schlüsselwörtersuche mit Magnet AXIOM Process
Das Tool Axiom Process erlaubt es über den Menü-Bereich „Verarbeitungsoptionen“ eine
Suche nach spezifischen, für den Vorgang wahrscheinlich relevanten, Schlüsselwörtern
vorzunehmen. Für diesen Fall werden die Wörter: „Jack Reaper“, „meeting“, „meet“ „date“,
„treffen“ etc. ausgewählt.
Abbildung 7: Schlagwörter für die Suche
Nachdem die Einstellungen getätigt wurden, kann die Beweisanalyse beginnen. Die
ausgewählten Einstellungen werden zunächst für die schnellere Artefakte-Analyse, welche
sich auf E-Mail Verläufe, Bilddateien, Internet-Aktivitäten und ähnliche Artefakte beschränkt.
Mit der Beweisanalyse werden die eigentlichen Beweise aus dem Image der Datenquelle
extrahiert und für weitere Untersuchungen zusammengefasst dargestellt. Im Menü-Bereich
„Beweisanalyse“ werden hierfür entsprechende Datenquellen ausgewählt.
14
Abbildung 8: Beweisanalyse
2.3.4 Auswertung mit Magnet AXIOM Examine
Zur Auswertung der Ergebnisse des Durchlaufes, wird anschließend das Nachfolgetool
„Magnet AXIOM Examiner“ eingesetzt. Hierbei kann anhand des Abbildes festgestellt werden,
dass im Juli 2019 eine höhere Aktivität auf dem Datenträger stattgefunden hat. Dies wird in
erster Linie anhand der Zeitleiste der Artefakte sichtbar:
Abbildung 9: Zeitleiste Artefakte
15
Insbesondere kann festgehalten werden, dass der Datenträger bis zum 14.07.2019 Aktivitäten
aufwies und im Zeitraum vom 12.-14.07.2017 die meisten Aktivitäten stattgefunden haben.
Im nächsten Schritt werden die Ergebnisse der Beweisanalyse durch die Tool-Funktion
„Filtern“ auf für die Ermittlungen relevanter Artefakte reduziert. Somit kann explizit auf spezielle
Dateiformate eingegangen werden und diese Dateien, die auf dem Datenträger verteilt
aufzufinden sind, schließlich (nach Format sortiert) zusammengestellt werden. Diese
Übersicht ermöglicht eine besonders zielgerichtete Suche.
2.3.4.1 Filterung: Bilder
Die erste Filter-Einstellung wird für „Bilder“ verwendet. Diese Auswahl-Einstellung ist wichtig
aufgrund des Ermittlungsgegenstandes, denn für den Tierhandel ist die Wahrscheinlichkeit
hoch, dass hierbei auch Bilder gesucht, gespeichert, verwendet und ausgetauscht werden.
Abbildung 10: Filter-Funktion "Bilder"
Die Filter-Funktion liefert zahlreiche Ergebnisse, wobei das im Ergebnisbereich hohe
Aufkommen von Tierbildern hervorzuheben ist. In erster Linie sind (neben vielen Cache Bildern,
wie bspw. Icons, Logo etc.) überwiegend Katzenbilder erkennbar. Von allen vom Tool
angezeigten Bildern, werden Bilder von Relevanz mit einem „Tag“ markiert und als „von
besonderem Interesse“ gekennzeichnet. Die bestehende Auswertung ergibt insgesamt 75
Bilder, die als „wichtig für die Ermittlungen“ eingestuft werden können und explizit
gekennzeichnet werden. Anschließend können diese Tags gesondert zusammengefasst und
im Detail ausgewertet werden.
16
2.3.4.2 Filterung: E-Mails
Als nächstes werden die E-Mail-Verkehrsdaten herausgefiltert und ausgewertet. Bei dieser
Filterung können der Zeitraum und einige weitere Optionen eingestellt werden. Für den
zugrundeliegenden Fall wird zunächst nach E-Mails mit Anhängen gesucht, um auf den
Verdachtsgegenstand des Falles einzugehen. Die sonstigen E-Mails stellen keine Relevanz
für den weiteren Ermittlungsverlauf dar und werden im Nachfolgenden nicht weiter betrachtet.
Abbildung 11: Filter für E-Mail-Verkehr
Das Ergebnis der Suche mit Anhang, zeigt vier E-Mails mit Anhängen. Diese Anhänge
enthalten Katzenbilder, werden als vorgemerkte Artefakte gekennzeichnet und als „wichtige
Beweismittel“ eingestuft und getaggt.
Anschließend werden die E-Mail-Texte nach relevanten Schlagwörtern, wie „treffen“ und
„meeting“, „cat“ durchgesucht. Das Ergebnis der Suche ergibt 18 E-Mails mit den besagten
Schlagwörtern (siehe Abb. 12).
Insbesondere ist ein reger Kommunikationsverkehr zwischen dem Verdächtigen „Jack The
Reaper, E-Mail: [email protected]“ und seinem Kommunikationspartner „E-Mail:
[email protected]“ erkennbar. Der Inhalt des Schriftverkehrs bezieht sich insbesondere auf
die Vereinbarung eines Treffens und das Ausschauhalten nach bestimmten Katzenrassen. Die
gelb markierten Stellen der Such-Ergebnisse markieren die eingegebenen Schlagwörter.
Aus dem E-Mail-Verkehr geht außerdem hervor, dass die Personen nicht entdeckt werden
17
möchten. Es werden geheime Treffplätze am 17.07.2019 an einer Autobahn-Tankstelle nähe
München ausgemacht und Katzenrassen, die übergeben werden sollen, genannt. Als Ziel des
Weiterverkaufs werden Nicht-EU-Länder genannt, auf die jedoch nicht genauer eingegangen
wird. Der Gesamtwert der betroffenen Katzen soll 10.000 € betragen und in bar an der gleichen
Tankstelle am 20.07.2019 übergeben werden. Die Anzahl der Katzen beläuft sich anhand der
E-Mail-Angaben auf 9 kleine Kätzchen der Rasse „Maine-Coon“.
Diese Ergebnisse werden als „sehr wichtig“ eingestuft und als relevante Beweismittel
gekennzeichnet. Alles Beweise, die das besagte Tag tragen wurden ausgedruckt beigelegt.
Abbildung 12: Filterung nach E-Mail-Text
18
Abbildung 13: Ergebnisse der Filterung
2.3.4.3 Online-Analyse
Um mögliche weitere Ermittlungsbereiche abzudecken, wird die anschließend an die
Beweissicherung der E-Mails, eine Online-Analyse durchgeführt. Der Gegenstand dieser
Analyse betrifft die Ermittlung der Identität von „[email protected]“ und eventuell das
Auffinden von weiteren Indizien anhand einer Internet-Recherche.
Das „Anpingen“ der E-Mail-Adresse ergibt, dass diese nicht aktiv ist. Weitere Internet-
Recherche ergeben auch keine Auffälligkeiten.
Abbildung 14: Ping E-Mail-Adresse
19
2.3.4.4 Filterung: Internet
Aufgrund des häufigen Auftretens von Katzenbildern auf der Datenquelle und E-Mails mit
Inhalten über Katzen, wird auch in der Untersuchung der Internetaktivitäten der Fokus
zunächst auf Tier-bezogene Ergebnisse gelegt. Somit wird die Filter-Funktion auf
„cats“ eingestellt. Diese Filterung zeig wonach der Verdächtige mit seinen Suchanfragen
explizit gesucht haben könnte. Die ausgewählte Einstellung liefert unmittelbar Ergebnisse zum
Schlagwort. Anhand der Abbildung 13 ist erkennbar, dass der Verdächtige nach Katzen im
Internet gesucht hatte. Hierzu wurde der Browser Microsoft Edge verwendet und insgesamt
für vier Suchanfragen verwendet.
Es kann zwar festgehalten werden, dass in der Suchmaschine „Google“ tatsächlich nach
Katzen gesucht wurde, es bestehen jedoch keine Indizien für interessante Suchanfragen. Die
Ergebnisse aus diesem Bereich werden somit als „bedingt wichtig“ eingestuft.
Abbildung 15: Filterung Internet
2.3.4.5 Verschlüsselte Ordner
Das eingesetzte Tool verfügt auch über die Möglichkeit Verschlüsselte Ordner zu erkennen
und anzuzeigen. Im Menü-Bereich „Verschlüsselung“ findet man Ergebnisse, die darauf
schließen lassen, dass der TOR-Browser zum Einsatz kam.
Die Verwendung des TOR-Browsers deutet darauf hin, dass der Verdächtige bei seinen
Internet-Tätigkeiten anonym bleiben wollte und keine digitalen Spuren hinterlassen wollte. Des
20
Weiteren muss angemerkt werden, dass diese Art von Browsern den Zugang zum Darknet
und somit illegalen Plattformen erlaubt.
Aufgrund der Menge der verschlüsselten Daten, kann eine erhöhte Aktivität über dieses
Medium festgestellt werden. Durch die Tatsache, dass Dateien mit verschlüsseltem Inhalt
gefunden wurden und Aktivitäten im Tor Browser nachgewiesen werden konnten, kann zwar
keine exakte Aussage über deren Inhalt getroffen, jedoch der Verdacht auf illegale
Machenschaften verstärkt werden. Die Ergebnisse aus diesem Bereich können somit als
„bedingt wichtig“ eingestuft werden.
Abbildung 16: Verschlüsselte Ordner
2.3.5 Vergleich der Ergebnisse
Alle Daten konnten ausgewertet werden mit der Ausnahme der verschlüsselten Ordner des
TOR-Browsers. Dieser Auswertungsbereich stellte die Einzige unüberwindbare Hürde für die
Ermittler dar.
Die Ergebnisse beider IT-Forensiker stimmen überein. Eingesetzte Beobachtungsbeauftragte
haben keine Einwände ausgesprochen und haben die Ergebnisse als beweissicher
abgezeichnet. Die Auswertung nahm (inklusive Vorbereitung) fünf Tage in Anspruch und wurde
von insgesamt vier IT-Forensikern durchgeführt (drei IT-Experten des Einsatzteams
„MUE07“ und eine Beobachtungsperson).
21
2.4 Datenanalyse
Die in der Extraktion gesammelten Daten können nun gegenübergestellt und zueinander in
Beziehung gestellt werden. In der Tabelle 4 werden übersichtlich die Artefakte und deren
Einstufung dargestellt:
Kategorisierung der ermittelten Artefakte
Format Anzahl Kategorie Ermittlungszeitpunkt
Bild 75 Wichtig 03.08.2019 (08:51)
E-Mail 18 Sehr wichtig 04.08.2019 (10:15)
E-Mail-Anhang 4 Sehr wichtig 04.08.2019 (15:30)
Internetsuche 4 Bedingt wichtig 06.08.2019 (08:50)
Verschlüsselte
Ordner
5 Bedingt wichtig 06.08.2019 (12:01)
Tabelle 4: Zusammenstellung der Ergebnisse
Aus der Tabelle geht nun hervor, dass die eindeutigsten Indizien aus dem E-Mail Bereich
geliefert werden und eine besondere Gewichtung erhalten sollten. Die Bilder und die
Internetsuche sind nur unterstützende Indizien.
2.4.1 Auswertung Logdaten
Mit dem Tool Magnet AXIOM Examine kann auch das Windows Ereignisprotokoll ausgewertet
werden. In diesem Schritt werden die Logdaten des Betriebssystems ausgelesen und
strukturiert dargestellt (siehe Abb. 17).
Abbildung 17: Auswertung Windows Ereignisprotokoll
22
2.4.2 Auswertung der ausgeführten Programme
Zusätzlich bietet das Tool die Möglichkeit alle auf dem Betriebssystem ausgeführten
Programme anzuzeigen (siehe Abb. 18). Bis auf die verdächtigen Aktivitäten im TOR Browser,
konnte die Auswertung der Ergebnisse jedoch keine verwertbaren Spuren oder Auffälligkeiten
zeigen:
2.5 Dokumentation
Zur gerichtsverwertbaren Dokumentation wurde ein genauer Zeitplan der
Ermittlungstätigkeiten der IT-Forensik durchgeführt. Dabei ist die Aufzeichnung mittels
Funkuhr dokumentiert. Die polizeilichen Ermittlungen (s. Tabelle 5) sind hier grob skizziert,
weitere Details sind dem Polizeibericht zu entnehmen.
ID Beschreibung Zeit
A-001/1 Polizeieingang anonymer Hinweis Jack the Reaper 25.07.2019 (13:00)
A-001/2 Wohnungsdurchsuchung Jack the Reaper 01.08.2019 (12:00)
A-001/3 Beschlagnahmung Laptop JtR, ausgeschaltet 01.08.2019 (12:01)
A-001/4 Übergabe Medium an MUE7 02.08.2019 (07:30)
Tabelle 5: Polizeiliche Ermittlungen
Abbildung 18: Auswertung ausgeführter Programme
23
Nach Übergabe der Beweismittel an die IT-Forensik ist der Zeitpunkt der Sichtung und Ankunft
im Labor (s. Tabelle 6) dokumentiert.
ID Beschreibung Zeit
B-001/1 Foto Laptop Datenquelle Nr. 010203 02.08.2019 (07:35)
B-001/2 Untersuchung Hardware 02.08.2019 (07:40 - 08:20)
B-001/3 Ausbau Festplatte 02.08.2019 (08:15)
Tabelle 6: Beweismittel Sichtung IT-Forensik
Das Vorgehen der IT-Forensik wurde nach BSI-Leitfaden durchgeführt, dabei wurde speziell
auf die Sicherung des Beweismittels Wert gelegt (s. Tabelle 7), sodass der originale Beweis
unverändert vorliegt und nur auf Kopien gearbeitet wurde.
ID Beschreibung Zeit
B-002/1 Aufbau/Nutzung Write-Blocker 02.08.2019 (09:00)
B-002/2 Spiegelung 3-fach Image und Hashwerte 02.08.2019
B-002/3 Festplatte 1: Nr. 111 (Referenzfestplatte) 02.08.2019 (11:05 – 11:15)
B-002/4 Festplatte 2: Nr. 222 02.08.2019 (11:20 – 11:30)
B-002/5 Festplatte 3: Nr. 333 02.08.2019 (11:40 – 11:50)
Tabelle 7: Sicherstellung des Beweismittels
Die Auswertung der kopierten Festplatten ergab (s. Tabelle 8), dass diverse Artefakte zu einem
dringenden Tatverdacht führen. Es konnten Bild-Dateien sichergestellt werden, welche sich in
Email-Anhängen befinden. Dieser Verdacht erhärtet sich zwischen Jack the Reaper und einem
unbekannten „Ginter731“.
24
ID Beschreibung Zeit
C-001/1 Computersystem 1 --> Anschluss Festplatte Nr. 222 02.08.2019 (13:00)
C-001/2 Computersystem 2 --> Anschluss Festplatte Nr. 333 02.08.2019 (13:01)
C-001/3 Erzeugung der Images an beiden Computersystemen FTKImager E01
02.08.2019 (13:10 - 14:30)
C-002/1 Untersuchung Image 02.08.2019 (14:45 – 15:00)
C-002/2 Magnetics AXIOM, anerkanntes Forensik-Software Pro-dukt
02.08.2019
C-002/3 AXIOM Process 02.08.2019
C-002/4 Einstellung Keyword-Suche: date; Jack; Jack Reaper; JackReaper; meet; meeting; Reaper; treffen
02.08.2019 (15:00)
C-003/1 AXIOM Examine 02.08.2019
C-003/2 Suche nach Email-Anhängen 04.08.2019 (15:30)
C-003/3 55.jfif Fund Artefakt-ID 1365270 04.08.2019 (15:31)
C-003/4 4.jpg Fund Artefakt-ID 1365270 04.08.2019 (15:32)
C-003/5 55.jfif Fund Artefakt-ID 1593491 04.08.2019 (15:33)
C-003/6 4.jpg Fund Artefakt-ID 1593491 04.08.2019 (15:34)
C-003/7 E-Mail: [email protected] 04.08.2019 (10:15)
C-003/8 E-Mail: [email protected] 04.08.2019 (10:16)
Tabelle 8: Auswertung/Analyse der Daten 1
Nach der Auswertung der Kommunikationspartner Jack the Reaper (J) und Ginter731 (g)
konnte die Email-Konversation nachvollzogen werden (s. Tabelle 9). Hierbei ergab sich eine
Art Geschäftsverhältnis der Beiden, indem es sich um illegalen Tierhandel handelt.
ID Beschreibung Zeit
C-004/1 Suche nach Email-Keywords: treffe; meeting; cat 04.08.2019 (10:16)
C-004/2 Email g-->J: "wanted"14.07.2019 09:27 Uhr Gesuch nach kleinen Katzen der Rasse Maine-Coon gestellt
04.08.2019 (10:17)
C-004/3 Email J-->g: "wth"14.07.2019 09:29 Uhr Angebot wird unterbreitet
04.08.2019 (10:18)
C-004/4 Email J-->g: "time"14.07.2019 09:33 Uhr Zeitpunkt der Anschauung wird festgelegt "Treffplatz 17.07.2019 Au-tobahn-Tankstelle nähe München" und Zeitpunkt der Übergabe "Treffplatz 20.07.2019 9 kleine Katzen Be-trag 10.000€ Rasse Maine-Coon"
04.08.2019 (10:19)
25
C-004/5 Internet-Recherche "[email protected]" 04.08.2019 (10:20)
C-004/6 Kontaktversuch: Email-Adresse nicht existent, Mail ser-ver rejected
04.08.2019 (10:21)
C-004/7 Verschlüsselter Ordner: Einsatz TOR-Browser, Extrak-tion nicht möglich
04.08.2019 (11:00)
Tabelle 9: Auswertung/Analyse der Daten 2
26
3. Ermittlungsergebnis
Das Ergebnis der IT-forensischen Untersuchung liefert für den Prozess wertvolle Beweismittel,
die starke Indizien für Jack the Reapers illegale Aktivitäten im Bereich Tierhandel anzeigen.
Sowohl die Beteiligung des Verdächtigen, als auch die Identifikation der betroffenen Tiere kann
in diesem Bericht eindeutig nachgewiesen werden.
Der Prozess des Verkaufs ist durch die E-Mail-Kommunikation des Verdächtigen belegbar, die
vereinbarten Treffpunkte müssen jedoch noch durch Sicherstellung und Auswertung der
Videos am Übergabeort eindeutig belegt werden.
Die Ermittlungen nach Ginter731 sollten fortgeführt werden, sodass die Tiere wieder zu ihren
ursprünglichen Besitzern zurückgeführt werden können. Sobald die Identität von Ginter731
geklärt ist, können weitere Beweismittel durch die IT-Forensik analysiert und ausgewertet
werden.
Da die E-Mail-Kommunikation nicht vollständig ist, sollten die Smartphones oder weitere
Geräte an den betroffenen Tatverdächtigen beschlagnahmt und untersucht werden. Dies wird
weitere Artefakte liefern und gegebenenfalls weitere Taten aufdecken.