Datensicherung

Computerforensische Ermittlungen

Daten, die potentielle Beweisbedeutung haben, sollen im Strafverfahren als Beweismittel erhoben und ausgewertet werden, sog. computerforensische Ermittlungen. Dazu gehören folgende Schritte: Datensammlung – Datenuntersuchung – Datenanalyse. Zur Datensammlung gehören wiederum die Erfassung und Speicherung von Daten sowie die Wiederherstellung gelöschter, beschädigter und verschlüsselter Daten. Ziel der Computer-Forensik ist es, gerichtsverwertbare Beweismittel zu schaffen. Bei computerforensischen Ermittlungen kommt die Staatsanwaltschaft nicht ohne die Unterstützung von Sachverständigen aus. Entweder sie beauftragt das LKA, welches über eine Computerforensik-Abteilung verfügt, oder sie beauftragt externe Sachverständige.

Umfang der Datensicherung

Grundsätzlich lassen sich digitale Beweismittel nach dem Umfang der gespeicherten Daten in Datenträger – Partition – Dateisystem - Datei unterscheiden . Der Ermittler sieht die vorgefundenen Datenträger durch und entscheidet, was gesichert werden (Selektion vor Sicherung). Soll der Nachweis geführt werden, dass sich auf dem Datenträger des Beschuldigten eine bestimmte Datei befindet, reicht es aus, diese Datei zu sichern und den Fundort zu dokumentieren. Wird angenommen, dass gelöschte oder verschleierte Daten relevant sein werden, ist die Sicherung der Partition oder des gesamten Datenträgers erforderlich.

Datenträgerabbild

Zur Sicherung des Datenträgers wird ein Datenträgerabbild (Image) erstellt, indem der komplette Inhalt des Speichermediums 1:1 auf ein anderes Speichermedium übertragen wird. Diese physikalische Sicherung durch das LKA nimmt relativ viel Zeit in Anspruch, zur Zeit braucht die Sicherung eines PCs mit 2 TB Speicher noch 3 bis 4 Tage (Stand: Mai 2017). Das Abbild ist gerichtsverwertbar, wenn für das Original und das Duplikat ein individueller Hashwert berechnet wird, mit dem die Übereinstimmung und damit die Unverändertheit des Duplikats nachgewiesen werden kannn. Außerdem muss durch die Verwendung eines Schreibblockers sichergestellt werden, dass nur ein Lesezugriff möglich ist. Das Original kann anschließend herausgegeben werden, die Untersuchung erfolgt am Abbild.