IT-Risk-Management V11: IT-Forensik / E-Mail-Forensikaggrimm/teaching/2015...1 Seite 1 © R. Grimm 1 /52 IT-Risk-Management V11: IT-Forensik / E-Mail-Forensik R. Grimm Institut für

1

Seite 1

/52© R. Grimm 1

IT-Risk-Management

V11: IT-Forensik / E-Mail-Forensik

R. Grimm Institut für Wirtschafts- und Verwaltungsinformatik

Universität Koblenz

/52© R. Grimm 2

Inhaltsübersicht

1. Motivation:• Straftaten und Datenschutz• Terrorismus und Internet

2. Begriffsbestimmung3. Computerforensik für Computerkriminalität

(Computer als Objekt)

4. Computerforensik für auffälliges Verhalten(Computer als Arbeitsmittel)

5. Web- und E-Mail-Forensik(Computer als Kommunikationsmittel)

• Instrumente der E-Mail-Forensik

• Grenzen der E-Mail-Forensik

• Konspiratives E-Mailing

2

Seite 2

/52© R. Grimm 3

Motivation

• Untersuchen, was auf meinem Computer passiert ist• Wiederherstellung verlorener Daten• Rücksetzung auf ältere Versionen• Verfolgung von auffälligem Verhalten

• Forum = Marktplatz, Gericht• Nachweis von Straftaten

/52© R. Grimm 4

Kriminalstatistik 2013 „Computerkriminalität“

• 88.722 Fälle (2012: 87.871 Fälle, +1%)• 2009 → 2010: + 12,6%, 2010 → 2011: + 0,7%, 2011 → 2012: +3,4%

• Steigerung bei– Datenveränderung, Sabotage: 12.766 (2012: 10.857, +17,6%)

• wg. zunehmender Schadsoftware• 2009 → 2010: +10%, 2010 → 2011: +84% ! 2010 → 2011: +133% !!

– Fälschung beweiserheblicher Daten: 9.779 (2012: 8.539, +14,5%)

• Rückgang bei– Ausspähen von Daten: 15.909 (2012: 16.794, -5,3%)

• 2009 → 2010: +32,2% ! 2010 → 2011: +3,5% ! 2011 → 2012: +6,8%

– Computerbetrug: 23.242 (2012: 24.817, -6,3%)• 2009 → 2010: +18,9% ! 2010 → 2011: -2,1%, 2011 → 2012: -7,1%

– Betrug bei Zugangsberechtigungen: 2.730 (2012: 2.952, -7,5%)• 2011 → 2012: -37,6%

Aus: BMI/BKA, Polizeiliche Kriminalstatistik 2013, , S. 4 (Abb. 2-T01)

3

Seite 3

/52© R. Grimm 5

Kriminalstatistik 2013 „Tatmittel Internet“

• 2013: 257.486 Straftaten (+12,2% ggü. 2012)– 2012: 229.408 (+3,2% ggü. 2011)

– 2011: 222.267

• Überwiegend Betrugsdelikte: 70,2% (etwa wie 2012)– insbesondere Warenbetrug/Leistungsbetrug: > 45%

• d.i. nach §263 StGB Vortäuschen von Waren, Leistungen, bzw. ihrer Bezahlung

– Computerbetrug: 7% (18.018 Fälle)• d.i. nach §263a StGB: Viren, Hintertüren, Missbrauch von Daten, unbefugte

Nutzung von Daten

• Verbreitung pornograph. Schriften: 2,6% (+31% ggü. 2012!)• Ausspähen: 5,2% (2012: 6,0%)• Urheberrechtsverletzungen: 7% (+9,1% ggü. 2012)

Aus: BMI/BKA, Polizeiliche Kriminalstatistik 2013, S. 9, bzw. S. 17 (Abb. 5-G03)

/52© R. Grimm 6

Motivation: Straftaten Internet

2013

Bundeskriminalamt, Polizeiliche Kriminalstatistik 2013, Abschn. 5, „Straftatenanteile an Straftaten mit Tatmittel Internet, 5 – G03, S 17

Betrug insgesamt: 70,2 %

4

Seite 4

/52© R. Grimm 7

Dagegen Datenschutz…

• Datensparsamkeit• Datenvermeidung

§ 3a BDSG Datenvermeidung und Datensparsamkeit

Gestaltung und Auswahl von Datenverarbeitungssystemen haben sich an demZiel auszurichten, keine oder so wenig personenbezogene Daten wie möglichzu erheben, zu verarbeiten oder zu nutzen.

Insbesondere ist von den Möglichkeiten der Anonymisierung undPseudonymisierung Gebrauch zu machen, soweit dies möglich ist und derAufwand in einem angemessenen Verhältnis zu dem angestrebtenSchutzzweck steht.

/52© R. Grimm 8

E-Mail Service offering PET?

Date: Fri, 17 Apr 2009 17:31:31 +0200From: Ruediger Grimm <[email protected]>To: Ahmed Nassef <[email protected]>Subject: Your Privacy Service

Dear Sir, dear Mr. Ahmed Nassef,

I am interested in private access to Internet-Mail. I found from your Web Sites (http://www.maktoobgroup.com/inside. htm) that you offer special privacy protection. I am teaching IT-security and IT-privacy at the University Koblenz, Germany, and I am continuously looking for privacy enhanced technology (PET) in the Internet. Your service seems to offer PET.

Could you please tell me, what kind of privacy serv ice you are offering? I am especially interested in these three features:

1. A VPN tunnel from any place in the world to your Webmailer.2. The deletion of "Received" header lines from any e-mail

that arrives in my mail account.3. The protection of my login dates in the Webmaile r account.

Thanks for help, regards, Dr. Ruediger Grimm

5

Seite 5

/52© R. Grimm 9

E-Mail Service offering PET? – „no“

Subject: RE: Your Privacy ServiceDate: Sat, 18 Apr 2009 06:21:52 -0400Thread-Topic: Your Privacy ServiceFrom: "Ahmed Nassef" <[email protected]>To: "Ruediger Grimm" <[email protected]>

We do not offer such a service.

-----Original Message-----From: Ruediger Grimm [mailto:[email protected]]= 20Sent: Friday, April 17, 2009 7:32 PMTo: Ahmed NassefSubject: Your Privacy Service

Dear Sir, dear Mr. Ahmed Nassef,[...]

/52© R. Grimm 10

Inhaltsübersicht

1. Motivation:• Straftaten und Datenschutz

• Terrorismus und Internet

2. Begriffsbestimmung3. Computerforensik für Computerkriminalität




6

Seite 6

/52

Terroristenprozesse am OLG Koblenz

• Aleem Nasir wg. Schleusen– Kurierdienste Geld- und Sachspenden

– Rekrutierung und Schleusen von Personen

– Urteil am 13.7.2009: 8 Jahre

• Ömer Özdemir wg. Hilfe für A.N.– Besuch Terrorcamp

– Werbung von Mitgliedern (Bekkay Harrach)

– Lieferung von Bargeld und Sachen

– Urteil am 19.7.2010: 6 Jahre

– sowie gegen Sermet Ilgen: 2,5 Jahre

© R. Grimm 11

Bildquellen, s. Anhang

/52

Terroristenprozesse am OLG Koblenz

• Bekkay Harrach wg. Propaganda– flüchtig im afgan.-pakistanischen Grenzgebiet

– Drohungen gegen Deutschland

http://www.welt.de/politik/deutschland/article4569770/Bekkay-Harrach-der-Mann-der-Deutschland-droht.html

• Hussan S. (Syrer, Montabaur) wg. Internet-Propaganda– Am 4.7.2010 in Montabaur verhaftet

– Beiträge im Internet

– Betreiben eines Web-Forums

Bildquellen, s. Anhang

© R. Grimm 12

7

Seite 7

/52© R. Grimm 13

Von physischer zu virtueller Kommunikation

• Bis 1998: Papier, Plakate, Videos, CD, Telefon• 1997 Gründung des Muslim Hacker Klubs• Seit 1998: Nutzung von

– Web-Seiten

– Chat Rooms

– Newsletter / eJournale

– E-Mail

• Zunehmend: Nutzung– konspirativer Wege im Internet (s.u.)

Theveßen (2005), „Virtuelle Umma“

/52© R. Grimm 14

Internet als „Universität des Dschihad“

• „Selbsterziehungslager im Internet“• „Kultur der Vorbereitung für den Heiligen Krieg“

• Meinungsfreiheit + Datenschutz• Schnell + global• Multimedia: Macht der Bilder• Broadcast: Propaganda und Information• E2E: Ansprache und Koordination

• Spurenlos (?)


8

Seite 8

/52© R. Grimm 15

Internet als Veröffentlichungsplattform

• Formate:

• Dschihad Webseite• Chat Rooms mit Passwörtern• Internetmagazine


/52© R. Grimm 16

Internet als Veröffentlichungsplattform (2)

• Internetmagazine

• Muasker al-Battar – Camp des Schwertes– Kampfanleitungen

• Frauenmagazin al-Kansaa– Fitness, Erste Hilfe

• Sawd al-Dschihad – Stimme des Dschihad– Strategie des islamischen Terrorismus

– „Die Länder der Gotteslästerer in Kriegszonen verwandeln“


9

Seite 9

/52© R. Grimm 17

Internet als Veröffentlichungsplattform (3)

• Inhaltlich:

• Bekennerschreiben• Bombenbauanleitung• Lehrvideos• Propagandavideos• Videos über erfolgreiche Angriffe• Lagepläne• Strategieschriften


/52© R. Grimm 18

Internet als Koordinierungsinstrument

• Aufmerksamkeit durch Web und Chatrooms• Persönliche Ansprache in Chats• Strategie in Web und Magazinen

• E2E-Veabredungen per E-Mail


10

Seite 10

/52© R. Grimm 19

Konspirative Nutzung des Internet

• Server wechseln• Adressen wechseln• Anonymes Hochladen „You send it“ und Weiterleitung

an Chat Rooms• E-Mail als Draft mit Verteilung von UserId/Password

(Khalid Sheikh Mohammed)

• Noch nicht genutzt:– VPN

– Telnet

– SPAM-Techniken der gefälschten Received-Zeilen

– (s.u.)


/52© R. Grimm 20

Inhaltsübersicht

1. Motivation2. Begriffsbestimmung3. Computerforensik für Computerkriminalität




11

Seite 11

/52© R. Grimm 21

Computerkriminalität

• Computer als Objekt• Computerkriminalität =

Einbruch in Computer mit dem Ziel– Spionage

– Zerstörung

– Sabotage

– Manipulation

– Fälschung

Dolle (2009), S. 183

/52© R. Grimm 22

Computerkriminalität (im weiteren Sinne)

• Computer als Arbeitsmittel• Nutzung des Computers für Vergehen aller Art

– Veruntreuung

– Geldwäsche

– Bestechung

– Terrorismus

• Datenverarbeitung und Datenspeicherung

• Spuren im Computer für auffälliges Verhalten– Inkonsistente Dateien

– Filefragmente („Carving“)

– Statistische Auffälligkeiten

12

Seite 12

/52© R. Grimm 23

Netzkriminalität

• Computernetze als Kommunikationsmittel• Nutzung des Internet für Vergehen aller Art

– Veruntreuung… usw… Terrorismus

• Verabredung von Straftaten• Koordinierung von Straftaten

• Spuren im Netz für auffälliges Verhalten– Log-Files

– Downloads auf PCs

– E-Mail auf PCs (Clients)

– E-Mails auf Mailservers (yahoo, gmail, gmx, …)

/52© R. Grimm 24

Inhaltsübersicht





13

Seite 13

/52© R. Grimm 25

Grundregeln der forensischen Ermittlung

• Akzeptanz• Glaubwürdigkeit• Wiederholbarkeit• Integrität• Ursachen und Auswirkungen• Dokumentation

Dolle (2009), S. 184

/52© R. Grimm 26

SAP-Modell der forensischen Ermittlung

S – Secure – Sicherungsphase• Sammlung des Materials

• Wahrung der Integrität

A – Analyze – Datenanalysephase• Sichten, Auswerten

• Kritische Hinterfragung

P – Present – Berichtsphase• z.B. Gutachten vor Gericht

• Nachvollziehbarkeit

• Detaillierungstiefe

Dolle (2009), S. 184

14

Seite 14

/52© R. Grimm 27

Sicherungsreihenfolge

• Prozessdaten– Routingtabellen, ARP Cache

– Prozessliste

– Angemeldete Users

– Netzstatus

– Prozessorkern, Hauptspeicher

• Temporäre Daten• Ganzer Datenträger• Loggingdaten• Physische Konfiguration und Netzwerktopologie• Archive

Dolle (2009), S. 184

/52© R. Grimm 28

Tools – Aufgaben

• Erstellen und Prüfen von Prüfsummen• Schlüsselwortsuche• Dateianalyse und –wiederherstellung• Formatvergleiche• Zeitstempelprüfung• Schreibblocker für Integritätsschutz von

Speichermedien• Komplettes Löschen eigener Datenträger (vor

Aufnahme von Images)• Kryptographische Sicherungsmechanismen• Berichtsunterstützung

Dolle (2009), S. 184

15

Seite 15

/52© R. Grimm 29

Tools – Open Source

• Open Source:– Helix

– FCCU GNU/Linux Forensic Boot CD

– Linux Distribution Backtrack

– Forensic Acquisition Utilities (für Windows)

• Commercial:– EnCase, Guidance Software

– Paraben, paraben-forensics.com

– FTK Forensic Toolkit, AccessData

– X-Ways, X-Ways Software

Dolle (2009), S. 184

/52© R. Grimm 30

Live vs. Post Mortem

• Live– Online-Überwachung

– Untersuchung am laufenden System

– für Informationen in flüchtigen Daten

• Post Mortem– wenn flüchtige Daten irrelevant

– wenn Vorfall zurück liegt

– wenn System bereits steht

– zur sorgfältigen, nicht zeitkritischen Analyse

– i.d.R. an einem Image

Dolle (2009), S. 185

16

Seite 16

/52© R. Grimm 31

Live

• z.B. cat, ifconfig, netstat, arp, lsof, rpcinfo

• z.B. process dump• Windows Forensic Toolchest

– mit HTML Report

• Linux Life Response– Sicherung der flüchtigen Daten über das Netz oder auf externes

Speichermedium

Dolle (2009), S. 185

/52© R. Grimm 32

Post Mortem Sicherung

• Für S-Phase:• Sichern als Festplattenimage:

– „Forensisches Duplikat“

– Achtung, Integrität sichern, bspw. mit Write-Blocker und Prüfsummen

• Robuste Disk Dump Funktion erforderlich, z.B.– dd_rescue (robust)

– sdd (schnell)

– dcfldd oder dc3dd (Erweiterung von GNU dd)

Dolle (2009), S. 186 ff.

17

Seite 17

/52© R. Grimm 33

Post Mortem Analyse

• Für A-Phase, z.B:• find /image –type –f –print0 | xargs -0 md5sum

erzeugt Hashes der im Image vorhandenen Dateien zum Zwecke des Vergleichs mit Listen bekannter Schadsoftware

• cat image.img | strings | egrep –f searchwords.txt

findet Schlüsselwörter im Image und vergleicht sie mit Einträgen in searchwords.txt

• Sleuth Kit mit graphischem Browser Autopsy, mehrere Analysemodi:1. Dateianalyse2. Schlüsselwortsuche3. Sortieren nach Dateitypus4. Image Details5. Metadaten (Verzeichniseinträge)6. Dateneinheiten – Inhalte von Sektoren

Dolle (2009), S. 187

/52© R. Grimm 34

Post Mortem Analyse – File Carving

• Rekonstruktion „gelöschter“ Dateien• Verzeichnisse sind gelöscht, aber Rohdaten bleiben

erhalten• Verteilt über das Image• Nicht auf das Dateisystem angewiesen,

– funktioniert daher auch im Hauptspeicher

– auch mit File Slacks (Pufferbereiche)

• Tools– Foremost

– Scalpel

– CarvFS

Dolle (2009), S. 187-188

18

Seite 18

/52© R. Grimm 35

Inhaltsübersicht





/52© R. Grimm 36

Forschungsgebiet des Fraunhofer SIT

• Spuren im Computer für auffälliges Verhalten– Inkonsistente Dateien

– Filefragmente („Carving“)

– Statistische Auffälligkeiten

• Forschungsgebiet des Fraunhofer SIT

19

Seite 19

/52© R. Grimm 37

Inhaltsübersicht




5. Web- und E-Mail-Forensik(Computer als Kommunikationsmittel)• Instrumente der E-Mail-Forensik

• Grenzen der E-Mail-Forensik


/52© R. Grimm 38

Web-Forensik life

• Wireshark• Filtern von Protokollen• z.B. „nur HTTP“• Heraussuchen von Keywords• Aufdeckung von Kommunikationsbeziehungen (wer

gerade mit wem)

20

Seite 20

/52© R. Grimm 39

Web-Forensik post mortem

• Auf Serverseite:– Logfiles

– Cookies

– Web-Bugs

– Kunden/User-Datenbanken

• Auf Clientseite:– Downloads

– Browser-Histories

– Verlaufsdaten, Temporäre Daten

/52© R. Grimm 40

Aufgabe der E-Mail-Forensik im Strafprozess

• Kann aus E-Mails abgeleitet werden– wer mit wem

– von wo aus und wohin

– wann

– und was kommuniziert hat?

• Können E-Mails zugeordnet werden:– persönlich,

– geographisch

– zeitlich

– und inhaltlich?

21

Seite 21

/52© R. Grimm 41

Aufgabe der E-Mail-Forensik im Strafprozess

• Wer mit wem– Zuordnung von E-Mail-Adresse zu Person

– Zuordnung von Person zu E-Mail-Adresse (das ist etwas anderes!)

• Von wo aus und wohin– Zuordnung von E-Mail-Adresse zu IP-Adresse

– Lokalisierung von IP-Adresse

• Wann– Absende-, Weiterleitungs-, Ankunftszeit

– Einloggzeit in Mail-Account

• Was– Integrität des Nachrichteninhalts

– Bezug von Weiterleitung und Response

/52© R. Grimm 42

Inhaltsübersicht





• Instrumente der E-Mail-Forensik• Grenzen der E-Mail-Forensik


22

Seite 22

/52© R. Grimm 43

Store-and-Forward-Routing von E-Mail mit SMTPaus: Grimm, R.: E-Mail-Forensik, 2009.

E-Mail-Client aufSusannes persön-Lichem Gerät

SusannesE-Mail-Server

Routing durchNetz vonE-Mail-Server:SMTP

Susanne

Erwin

I n t e r n e tschreibt E-Maian [email protected]

schickt E-Mailab: SMTP

liest E-Mail

ErwinsE-Mail-Server“abc.de”

E-Mail-Client aufErwins persönlichemGerät

ruft E-Mailab: POP/IMAP

/52© R. Grimm 44

Werkzeuge zum Verfolgen von E-Mail,bes. ihre Herkunft

1. Die E-Mail mit vollem Kopfzeilenausdruck2. Die Zeitangabe mit Zeitzonen in E-Mail-Kopfzeilen3. Die „Received“-Kopfzeile mit Absender, Empfänger und

Datum4. Der Wireshark zum Mitlesen von aktuellem

Datenverkehr, hier SMTP 5. Die whois-Abfrage beim RIR6. Die Adressabfrage bei whatismyipaddress.com7. Die Zuordnungstabelle von IP-Adressen zu IP-Hosts

beim ISP8. Die Login-Liste beim Webmailer

23

Seite 23

/52© R. Grimm 45

Die Verfolgungsinstrumente am Beispiel

• von yahoo an uko.txt• von Ko (Mailtool) nach 1und1.txt• from Mumbay.txt• from Australia to Ko.txt

• Online abfragen:• „whois“ in den fünf RIRs• „whatismyipaddress.com“

• dhcp-log-UKO.txt• hosts-UKO.txt

/52© R. Grimm 46

Inhaltsübersicht





• Instrumente der E-Mail-Forensik

• Grenzen der E-Mail-Forensik• Konspiratives E-Mailing

24

Seite 24

/52© R. Grimm 47

Die Zuverlässigkeit einer Adress-Zuordnung (1)

• Die geographische Zuordnung– Keine Ortung, sondern Datenbankeintrag in RIR

– Serveradresse des nächsten Netzrouters

– Einwahlserver werden vom Netzbetreiber umgeordnet

– Aus Managementgründen nicht „zu weit“ vom Client entfernt

– Aber Achtung:

• DFN-WiN-Shuttle immer „Berlin“

• „O2“-UMTS immer „München“

/52© R. Grimm 48

Die Zuverlässigkeit einer Adress-Zuordnung (2)

• Die zeitliche Zuordnung– Zeitangaben in E-Mail-Headern mit Gangungenauigkeit

(Minutenbereich)

– Angaben in RIR-Datenbank nur „gegenwärtig“(„-B“ Option bei Abfrage)

– Bei veraltetem whatismyaddress: Blick in Vergangenheit (vage!)

25

Seite 25

/52© R. Grimm 49

Die Zuverlässigkeit einer Adress-Zuordnung(3, 4, 5)

• VPN / Remote Login / Telnet:Verbergen der Client-Adresse

– Thunderbird mit SMTP über VPN zum UKO-Server

• von Ko (Mailtool-VPN) nach 1und1.txt

– Telnet-Commands nach Remote Login in UKO-Server

• von Ko (putty-telnet) nach 1und1 (Session).txt

• von Ko (putty-telnet) nach 1und1 (Mail).txt

– Telnet-Commands nach Remote Login über VPN in UKO-Server

• von Da (cmd-VPN nach Ko) nach 1und1.txt

/52© R. Grimm 50

Die Zuverlässigkeit einer Adress-Zuordnung(6, 7)

• Manuelles Hinzufügen von „Received“-Kopfzeilen– Vorspiegeln einer falschen Vorgeschichte

– SPAM-Technik

– Dagegen hilft: Domain-Key-Signatur

• Allgemein: Mailserver manipuliert– macht beliebig irreführende Einträge

– Z.B. Herauslöschen von „Received“-Kopfzeilen

– Verbergen der Vorgeschichte

– Datenschutz der Datensparsamkeit??

26

Seite 26

/52© R. Grimm 51

Konspiratives E-Mailing

• Wie oben bereits verstreut genannt:

• VPN, Remote Login, Telnet• Absender fügt „Received“-Kopfzeilen hinzu• Mailserver manipuliert Header-Einträge, bes.

„Received“-Kopfzeilen (z.B. löschen)• E-Mail-Versenden von wechselnden Internet-Cafes

(nicht von zu Hause, nicht vom Arbeitsplatz)• Pseudonyme yahoo-/gmail-/gmx-Adressen• E-Mail nicht versenden, sondern als Draft ablegen

• Aber ACHTUNG! Es bleiben dennoch Spuren, s. Nasir-Prozess

/52

Systematik der E-Mail-Forensik

1. Offen sichtlich angezeigte Kopfzeilen2. Ausgeblendete Kopfzeilen3. Inhaltssignaturen4. Login-Daten5. Inhaltsanalyse (online)

• Mein Problem:− „Anleitung zur Verschleierung von Straftaten“

© R. Grimm 52

27

Seite 27

/52

Literaturhinweise

Dolle, Wilhelm: Computer-Forensik in der Praxis. Mit Open-Source-Werkzeugen die Aufklärung von Computerkriminalität unterstützen. In Datenschutz und Datensicherheit (DuD) 3/2009, Vieweg, Wiesbaden, März 2009, 183-188.

Liegl, Marion; Mink, Martin; Freiling, Felix F.: Datenschutz in digital-forensischen Lehrveranstaltungen. In Datenschutz und Datensicherheit (DuD) 4/2009, Vieweg, Wiesbaden, April 2009.

Geschonneck, Alexander: Computer Forensik. Computerstraftaten erkennen, ermitteln, aufklären. dpunkt.verlag, Heidelberg 2008, 323 Seiten.

Bundesministerium des Inneren (BMI): Polizeiliche Kriminalstatistik 2013, Die Kriminalität in der Bundesrepublik Deutschland. Bundesministerium des Inneren, Bundeskriminalamt (erschienen April 2014): http://www.bmi.bund.de/SharedDocs/Downloads/DE/Nachrichten/Pressemitteilungen/2014/06/PKS2013.pdf?__blob=publicationFile [24.2.2015]

Theveßen, Elmar: Terroralarm. Rowohlt, Berlin 2005. Bes. Kap. 4, „Virtuelle Umma“, S. 82-104.

Grimm, Rüdiger: E-Mail-Forensik – IP-Adressen und ihre Zuordnung zu Internet-Teilnehmern und ihren Standorten. Arbeitsberichte aus dem FB Informatik, Nr. nn/2009, Universität Koblenz-Landau, ISSN 1864-0850, http://www.uni-koblenz.de/FB4/Publications/Reports.

53

/52© R. Grimm 54

Bildquellen

Geprüft 26.6.2012

Bild (1) von Aleem Nasir aus: FAZ.NET, 7.6.2009, Terroristen in Deutschland - Der Islamist hat keinen, der ihn schreckt. http://www.faz.net/s/RubF359F74E867B46C1A180E8E1E1197DEE/Doc~E3294BE0AB6E04644A2CF0C9A2730C179~ATpl~Ecommon~Scontent.html

Bild (2) von Aleem Nasir aus: SANA, 21.4.2009. "SANA 21-4": Islamabad: Alim Nasir, along with his mother, is coming out of court smiling after Supreme Court orders his release on Tueday. (SANA Photo).http://www.pak-times.com/wp-content/uploads/2007/08/aleem-nasir-german-missing.JPG

Bild von Ömer Özdemir aus: SWR.DE, 26.3.2009, Türke wegen Terrorverdachts angeklagt.http://www.swr.de/nachrichten/rp/-/id=1682/nid=1682/did=4658906/1rspryh/ [26.6.2012: nicht mehr zugänglich]

Bild von Sermet I. vor dem OLG Koblenz, Artikel vom 14.09.2009, Terror - Prozessbeginn gegen mutmaßliche Qaida-Helfer. news.de GmbH, Barfußgäßchen 15, 04109 Leipzig, [email protected], http://www.news.de/politik/855024716/prozessbeginn-gegen-mutmassliche-qaida-helfer/1/

Bild von Bekkay Harrach aus: Bild.de, 29.1.2009, Das ist Bin Ladens deutscher Terrorist. http://www.bild.de/BILD/news/vermischtes/2009/01/29/internet-terrorist-bekkay-harrach/bin-ladens-deutscher-terrorist.html

Videosequenz Bekkay Harrach aus Welt.de, 19.9.2009: Bekkay Harrach – der Mann, der Deutschland droht.http://www.welt.de/politik/deutschland/article4569770/Bekkay-Harrach-der-Mann-der-Deutschland-droht.html

28

Seite 28

/52© R. Grimm 55

Testfragen

1. Diskutieren Sie die Anforderung an die Aufklärung von Straftaten gegenüber dem Datenschutzprinzip der Datensparsamkeit. (Dazu finden Sie keine Vorlage in den Vorlesungsfolien)

2. Definieren Sie Computer- und Netzkriminalität.3. Erklären Sie das „SAP-Modell“ der computerforensischen Ermittlung.4. Welche Aufgaben sollen Unterstützungstools der computerforensischen

Ermittlung erfüllen?5. Was versteht man unter „File Carving“?6. Welches sind die Aufgaben der E-Mail-Forensik im Strafprozess?

Führen Sie die zugehörigen Fragestellungen („wer mit wem“ usw.) etwas aus.

7. Nennen Sie Werkzeuge zum Verfolgen von E-Mail,bes. zur Identifikation ihrer Herkunft.

8. (a) Analysieren Sie die folgende Kopfzeile einer E-Mail.(b) Analysieren Sie die folgende „Received“-Kopfzeile einer E-Mail.(Zu (a) und (b) wird ein Beispiel vorgegeben; zum Üben erzeugenSie eigene.)

9. (a) Welche Techniken sind geeignet, die Herkunft eines E-Mail-Clients zu verbergen? (b) Diskutieren Sie, unter welchen Umständen sie einem Nutzer überhaupt zur Verfügung stehen. (Zu (b) finden Sie keine Vorlage in den Vorlesungsfolien.)

Documents

IT-Risk-Management V11: IT-Forensik / E-Mail-Forensikaggrimm/teaching/2015...1 Seite 1 © R. Grimm 1 /52 IT-Risk-Management V11: IT-Forensik / E-Mail-Forensik R. Grimm Institut für