Datenauswertung eines Datenträgers in der Praxis
Wie gehen wir vor, wenn wir einen Datenträger auswerten? Diese Frage stellen uns viele Kunden.
Dieser Artikel beschreibt in Kürze, wie wir beispielsweise einen Datenträger von einem PC analysieren.
Im Vordergrund steht, dass wir die Daten nicht kontaminieren, wenn andere Kolleginnen und Kollegen den Datenträger erneut auswerten wollen oder der Datenträger und dessen Daten für rechtliche Auseinandersetzungen benötigt werden.
Deshalb ist es wichtig, dass wir unsere Tätigkeiten mit der Kundschaft regelmäßig abstimmen.
Ansätze und Herausforderungen.
- In modernen Geräten gehen die Hersteller dazu über, dass sie die Datenträger verlöten. Das heißt, dass sie fest mit den anderen Bauteilen eines Gerätes verbunden sind. Das „entlöten“ ist zeitaufwendig und hat einen sehr hohen Schwierigkeitsgrad. Wir können zwar die Speichereinheiten sorgsam heraustrennen. Erwarten Sie aber bitte nicht, dass wir Sie wieder „einlöten“.
- In wenigen Fällen hat der ehemalige Benutzer die Datenträger verschlüsselt. Die heutigen Verschlüsselungstechnologien sind technisch ausgereift. Hier müssen wir die Entschlüsselungsparameter suchen. Sind wir fündig geworden, entschlüsseln wir die Daten.
- Keine Veränderung der originalen Daten ist ein wichtiges Prinzip, wenn die Daten unter anderem für ein nachfolgendes Rechtsverfahren gebraucht werden. Wir erstellen mit einer speziellen Software eine 1:1 Kopie der Datenträger. Das gilt auch für USB-Sticks usw. Nur so können wir gewährleisten, dass die Daten nicht kontaminiert werden.
- Die Hinterbliebenen haben bereits selbst versucht, die Daten auszulesen. Bedauerlicherweise erhalten wir häufig Geräte und die Informationen, dass bereits ein Freund oder Bekannter versucht hat, die Daten auszulesen. Für uns eine Herausforderung, da die Logdateien nicht mehr stimmig sind und das Verhaltensprofil kontaminiert ist sowie Daten hinzukamen, die gar nicht zum eigentlichen digitalen Erbe gehören. Das Ergebnis ist verfälscht und kann für rechtliche Belange nicht mehr verwendet werden. Bitte übergeben Sie uns die Geräte im „Urzustand“.
- Die PIN oder Kennwort wurde bereits von Bekannten, Freunden und Verwandten mehrfach fehlerhaft eingegeben. Die meisten Geräte sperren sich, wenn man die Zugangsdaten mehrfach fehlerhaft eingibt. Das erschwert die Auswertung, da wir ggf. Wartezeiten haben und evtl. Datenbereich gesperrt wurden. Weiterhin kann es sein, dass nur noch alternative Anmeldeverfahren zur Verfügung stehen. Sollten Sie die PIN oder die Zugangsdaten nicht kennen, lassen Sie uns gemeinsam den Zugang abstimmen.
- Dienste sind nicht mehr existent. Bei etlichen Analysen stoßen wir auf Dienstleistungen im Internet, welche der frühere Benutzer nutzte. Wollen wir nun auf diesen Dienstleister zugreifen, kommt es immer wieder vor, dass das Benutzerkonto bereits geschlossen wurde. Die Ursache ist vorwiegend damit verbunden, dass die Hinterbliebenen bereits Konten direkt oder indirekt löschten. Direkt, weil man Verträge auflöste oder indirekt, weil man das zugehörige Zahlungsmittel (z.B. Kreditkarte) kündigte und der Provider das Konto bereits löschte. Bitte beenden Sie nicht vorschnell die Konten und andere Verträge.
Schritt für Schritt (Beispiel Mac oder PC).
- Wir überprüfen das BIOS, die Systemzeit und die Einstellungen im BIOS, das Betriebssystem wird dabei nicht gestartet.
- Wir bauen den/die Datenträger sorgsam aus. Dabei achten wir natürlich auf den Schutz gegen statische Aufladungen. Unser Labor ist dafür optimal ausgestattet.
- Der Datenträger wird 1:1 kopiert (Optional).
- Jeder Schritt wird dokumentiert.
- Der/die Datenträger wird/werden jetzt in einem Wirtssystem verbaut (meist virtuelle Maschine). Wenn eine Kopie vorhanden ist, dann die Kopie.
- Die Daten werden analysiert.
- Ein Bericht (Geräteanalyse) wird erstellt.
- Der/die Datenträger wird/werden wieder eingebaut. So wie wir die Speichereinheit vorgefunden haben (wenn möglich – siehe „entlöten“ im Punkt 1).
- Die Kopie wird 3 Monate nach Abschluss der Tätigkeiten gelöscht.
Was analysieren wir für Sie?
Wir retten nicht nur Daten, sondern analysieren auch die Datenbewegungen, um das digitale Erbe möglichst komplett zu erfassen. Wenn notwendig, oder gewünscht, erstellen wir eine 1:1 Kopie der Datenträger. Damit das Original nicht verändert wird.
Im Einzelnen sehen wir uns zusätzlich Folgendes an:
- Alle Internetaktivitäten.
- Benutze WiFi-Verbindungen.
- Benutze Netzwerkverbindungen.
- Verwendungen von externen Datenträgern.
- Kommunikationsverbindungen (z.B. E-Mails, WhatsApp).
- Verwendete Programme.
- Hinterlegte Zahlungsmittel.
- Temporär gestartete Applikationen.
- Vorhandene Backups.
- Verknüpfungen mit Clouds.
- Suche nach bekannten Wallets (virtuelle Währung und z.B. Apple Wallet).
- Menge der Bilder, Dokumente und andere Unterlagen.
Wie sie erkennen können, geht es nicht nur um Dokumente und Bildern auf Datenträgern. Das digitale Erbe ist weit mehr. Wir erstellen ein Profil der Tätigkeiten, Nutzung und Bewegungen des Nutzers.
Wir erkennen auch gelöschte Daten und können diese evtl. wiederherstellen, wenn es der Wunsch der Hinterbliebenen ist.
Fazit.
Bitte erwarten Sie nicht, dass wir immer 100 % des digitalen Erbes finden bzw. retten können.
Je nach Nutzung der Geräte kann es sein, dass wir etwas „übersehen“ oder wir schlichtweg nicht weiterkommen (z.B. Verschlüsselung).
Denken Sie ebenso daran, dass wir keine Daten herausgeben, wenn nicht alle Erben einverstanden sind. Einzelanfragen eines Hinterbliebenen lehnen wir grundsätzlich ab, wenn sich dahinter mehrere erbberechtigte Personen befinden und wir deren Willen nicht kennen. Wichtig ist uns die Rechtssicherheit aller Beteiligten.