1 Einführung

Digitale Speichermedien gewinnen in unserem täglichen Leben mehr und mehr an Bedeutung. Seit Jahren werden sie mit immer größeren Speicherkapazitäten ausgeliefert. Damit wächst auch die Bedeutung digitaler Geräte als potentielles Tatobjekt, Tatwerk-zeug oder Hilfsmittel zur Begehung einer Straftat. Den ermit-telnden Stellen stehen jedoch lediglich beschränkte Ressourcen für die Sicherung, Analyse und Auswertung von digitalen Da-ten zur Verfügung. Schon heute übersteigen die in forensischen Untersuchungen zu bearbeitenden Datenmengen die Kapazitä-ten der ermittelnden Stellen regelmäßig. Aus diesem Grund ist ein effizienter Umgang mit digitalen Daten in forensischen Un-tersuchungen wichtig: Eine unnötige Bearbeitung großer Daten-mengen verlangsamt Untersuchungen. Daher sollten irrelevante Inhalte so früh wie möglich erkannt und von der weiteren Bear-beitung ausgeschlossen werden. Ein solches Vorgehen entlastet nachgelagerte Arbeitsschritte.

1.1 Verwandte Arbeiten

In der digitalen Forensik haben sich eine Reihe von Vorgehens-modellen zur Sicherung und Auswertung digitaler Spuren etab-liert (zur Übersicht siehe etwa Pollitt [8] oder Dewald und Frei-ling [5]). Nur wenige dieser Modelle sehen jedoch eine Priorisie-rung vor. So enthält der Investigative Process von Casey [4] be-reits jeweils einen Schritt für die Priorisierung („Assessment of worth“) und die Reduktion von Datenbeständen („Reduction“), ohne jedoch näher auf die Kriterien und Ansatzpunkte hierfür einzugehen.

Bäcker et al. [2] schlagen die so genannte Selektion vor der Si-cherung vor und argumentieren, dass hierdurch zugleich die Ein-haltung des Verhältnismäßigkeitsgrundsatzes unterstützt werden kann. Die Selektion hat jedoch den Nachteil, dass Daten mögli-cherweise vollständig von der Untersuchung ausgeschlossen wer-den, wenn sie nicht selektiert werden, und stößt bei Praktikern darum auf Vorbehalte. Stüttgen [6] weist allerdings nach, dass be-reits heute auf vielen Ebenen im Rahmen digitaler Untersuchun-

Matthias Bäcker, Andreas Dewald, Felix C. Freiling, Sven Schmitt

Kriterien für die Priorisierung bei der Sicherung und Analyse digitaler Spuren

Durch die zunehmende Verbreitung digitaler Geräte in allen Lebensbereichen werden diese immer häufiger als Beweismittel für die Aufklärung von Straftaten aller Art relevant. Zugleich steigt mit der Speicherkapazität dieser Geräte auch das Datenaufkommen – und übersteigt bereits heute häufig die Kapazitäten ermittelnder Stellen. Daher ist es notwendig, die Sicherung und Analyse dieser Daten zu priorisieren. Der Beitrag zeigt, wie eine Priorisierung in gängige Vorgehensmodelle der digitalen Forensik eingebettet werden kann, und schlägt Kriterien für diese Priorisierung vor.

Prof. Dr. Matthias Bäcker, LL.M.

Universität Mannheim, Junior-professur für Öffentliches Recht.

E-Mail: mbaecker@mail.uni-mannheim.de

Dipl.-Inf. Andreas Dewald

wissenschaftlicher Mitarbeiter am Lehrstuhl 1 für Informatik der Friedrich-Alexander-Universität Erlangen-Nürnberg.

E-Mail: Andreas.Dewald@informatik.uni-erlangen.de

Prof. Dr.-Ing. Felix C. Freiling

Friedrich-Alexander-Universität Erlangen-Nürnberg, Lehrstuhl 1 für Informatik. Forschungsthemen u.a. offensive IT-Sicherheit und digitale Forensik

E-Mail: felix.freiling@cs.fau.de

Dipl.-Wirtsch.-Inf. Sven Schmitt

externer Doktorand am Lehrstuhl 1 für Informatik, Friedrich-Alexander-Universität Erlangen-Nürnberg.

E-Mail: sschmitt@informatik. uni-mannheim.de

DuD Datenschutz und Datensicherheit 8 | 2012 597

GOOD PRACTICE

gen aus praktischer Notwendigkeit Daten bei der Auswertung selektiert werden. Es gibt also in der Praxis einen Widerspruch zwischen der „reinen Lehre“ und der üblichen Vorgehensweise bei der Sicherung und Analyse digitaler Spuren.

1.2 Priorisierung statt Selektion

Dieser Beitrag zeigt, dass es sich hierbei nur scheinbar um einen Widerspruch handelt, und benennt Priorisierung als das zentra-le Konzept zur Bewältigung zunehmender Datenmengen. Prio-risierung bedeutet, dass sich Ermittler und Forensiker zu jedem Zeitpunkt einer Untersuchung Klarheit darüber verschaffen, in welcher Reihenfolge Daten gesichert und ausgewertet werden sol-len. Das Ziel der Priorisierung von Daten in forensischen Unter-suchungen ist es, die anfallenden Daten möglichst früh und effek-tiv auf die Teilmenge einzuschränken, in der alle für die jeweilige Untersuchung relevanten Inhalte vermutet werden.

Priorisierung ist damit kompatibel zu allen gängigen Vorge-hensmodellen der digitalen Forensik und kann in diese eingebet-tet werden. Priorisierung ist zudem eine flexible Verallgemeine-rung von Selektion, welche tatsächlich als ein Extremfall von Pri-orisierung angesehen werden kann. Bei der Priorisierung werden in der Regel keine Daten von vornherein von der Untersuchung ausgeschlossen, wie es bei der Selektion der Fall ist, sie werden le-diglich zeitlich versetzt in Teilmengen bearbeitet. Dies geschieht solange, bis entweder der gesamte Datenbestand bearbeitet wur-de oder die Untersuchung abgebrochen wird, z. B. weil aus den bis zu diesem Zeitpunkt untersuchten Daten bereits die relevan-ten Informationen gewonnen werden konnten.

Die Herausforderung bei der Priorisierung liegt in der For-mulierung von Kriterien, nach denen Daten in bestimmten Pha-sen einer digitalen Ermittlung priorisiert werden können. Hier-zu gibt es bisher kaum veröffentlichte Richtlinien oder Erfahrun-gen. Neben der Einordnung von Priorisierung in forensische Vor-gehensmodelle möchte dieser Beitrag darum auch erste Kriteri-en zur Diskussion stellen, nach denen in der Praxis priorisiert werden kann.

In Abschnitt 2 besprechen wir die Einbettung der Priorisie-rung in bestehende Vorgehensmodelle der digitalen Forensik. Auf welchen Ebenen einer Untersuchung die Priorisierung ansetzen kann, skizzieren wir in Abschnitt 3. Abschnitt 4 zeigt Kriteri-en dafür auf, wann und inwieweit eine Priorisierung zu Beginn der Untersuchung als wünschenswert und erforderlich angesehen werden kann. Wir schließen mit einer kurzen Zusammenfassung des Artikels in Abschnitt 5.

2 Einbettung der Priorisierung in Vorgehensmodelle

Im Folgenden erläutern wir zunächst die Einbettung der Priori-sierung in den Prozess einer forensischen Untersuchung im Kon-text gängiger Vorgehensmodelle.

2.1 Traditionelle Vorgehensmodelle

In der digitalen Forensik existieren mehrere Vorgehensmodel-le (siehe Pollitt [8] oder Dewald und Freiling [5]), die sich jedoch durch Zusammenfassung einzelner Schritte im Wesentlichen auf

eine gemeinsame, grundlegende Vorgehensweise reduzieren las-sen. Diese vereinfachte Vorgehensweise in forensischen Untersu-chungen umfasst in der Regel die folgenden vier Schritte:

Sicherstellung: Potenziell relevante, digitale Speichermedien physisch sicherstellen (optionaler Schritt).

Sicherung: Digitale Speicher durch exakte und verifizierte Ko-pie sichern.

Aufbereitung: Gesicherte Datenbestände forensisch aufberei-ten.

Auswertung: Aufbereitete Datenbestände inhaltlich auswerten.Der Begriff „digitale Speicher“ umfasst dabei nicht nur physi-sche Speichermedien, sondern auch Datenbestände, auf die ent-fernter Zugriff besteht. Solche Datenbestände stehen für die Ana-lyse zur Verfügung, soweit der Zugriff auf sie zulässig und tech-nisch möglich ist.

2.2 Das Priorisierungsmodell

Wir erweitern nun die in Abschnitt 2.1 vorgestellte Vorgehens-weise um vier Schritte zur Priorisierung. Diese sind jedem ein-zelnen Arbeitsschritt vorgelagert.

Phase 1: Sicherstellung (optional) Priorisierung der sicherzustellenden digitalen Speicherme-dien.

Digitale Speichermedien gemäß Priorisierung sicherstellen. Phase 2: Sicherung

Priorisierung der zu sichernden digitalen Speicher. Digitale Speicher gemäß Priorisierung durch exakte und ve-rifizierte Kopie sichern.

Phase 3: Aufbereitung Priorisierung der aufzubereitenden Datenbestände. Gesicherte Datenbestände gemäß Priorisierung forensisch aufbereiten.

Phase 4: Inhaltliche Auswertung Priorisierung der auszuwertenden Daten. Aufbereitete Datenbestände gemäß Priorisierung inhaltlich auswerten.

Ziel der wiederholten Priorisierung ist die Reduktion des Bear-beitungsaufwands, idealerweise schon in frühen Phasen der Un-tersuchung. Dies kann erreicht werden, da nicht zwingend der ge-samte Datenbestand, sondern oft nur relevante Teilmengen be-arbeitet werden müssen. Dadurch kann die Untersuchung be-schleunigt werden. Zudem trägt die Priorisierung dem Verhält-nismäßigkeitsgrundsatz Rechnung, der gebietet, den Umfang der analysierten Daten möglichst gering zu halten [2].

Im Folgenden erläutern wir die Besonderheiten der unter-schiedlichen Phasen in Bezug auf die Priorisierung.

Sicherstellung. Bei forensischen Untersuchungen werden die sicherzustellenden Speichermedien in der Regel nur insoweit pri-orisiert, als entschieden wird, ob ein bestimmtes Speichermedi-um sicherzustellen ist oder nicht. Diese Art der Selektion kann als Extremfall der Priorisierung angesehen werden.

Sicherung und Aufbereitung. In einem frühen Stadium der Untersuchung können nicht nur Speichermedien, sondern auch Daten auf verschiedenen, technischen Ebenen priorisiert werden. So kann die Priorisierung, wie wir in Abschnitt 3 weiter ausfüh-ren werden, etwa auf Teilmengen von Speichermedien (so ge-nannten partiellen Sicherungen [6, 9]), beispielsweise auf Partiti-onsebene oder auf Dateiebene erfolgen [2].

598 DuD Datenschutz und Datensicherheit 8 | 2012

GOOD PRACTICE

Inhaltliche Auswertung. Der inhaltlichen Auswertung von aufbereiteten Datenbeständen kommt besondere Bedeutung zu. In der Regel müssen alle vorgelagerten Bearbeitungsschrit-te durchgeführt werden, bevor Informationen durch inhaltliche Auswertung aus den Daten gewonnen werden können. Aus die-sem Grund durchlaufen idealerweise nur ausgewählte Teilmen-gen der Daten alle Phasen, wodurch vorhandene Ressourcen ge-schont und Kapazitätsengpässe vermieden werden können.

3 Ebenen der Priorisierung

In diesem Abschnitt beschreiben wir näher, bei welchen Entschei-dungen der Priorisierungsansatz angewendet werden kann. Da vorhandene Ressourcen zur Bearbeitung digitaler Daten für die Durchführung nicht nur einer, sondern mehrerer forensischen Untersuchungen bestimmt sind, kann die Priorisierung auf ver-schiedenen Ebenen ansetzen: auf der Ebene von Untersuchun-gen, Untersuchungsgegenständen oder Daten. Sind mehrere Un-tersuchungen parallel zueinander durchzuführen, muss bei un-zureichenden Ressourcen bereits auf Ebene der Untersuchungen priorisiert werden.

Innerhalb einer bestimmten Untersuchung können wiederum unterschiedliche Gegenstände priorisiert werden. Eine dritte Ebe-ne der Priorisierung kann auf den Daten der gesicherten, digita-len Speicher stattfinden. Auf dieser Ebene besteht ein vergleichs-weise großes Potential zur Reduktion der zu bearbeitenden Da-ten und damit auch zum schonenden, effektiven und verhältnis-mäßigen Einsatz von Ressourcen.

Im Folgenden widmen wir uns den Kriterien für eine Priorisie-rung auf jeder einzelnen der drei Ebenen im Detail.

3.1 Priorisierung auf der Ebene von Untersuchungen

Eine Priorisierung auf der Ebene von Untersuchungen wird im-mer dann erforderlich, wenn gleichzeitig mehrere forensische Un-tersuchungen durchzufüh ren sind, die dafür zur Verfügung ste-henden Ressourcen jedoch nicht ausreichen, um alle Untersu-chungen gleichzeitig durchzuführen. Die anstehenden Untersu-chungen sind dann anhand verschiedener Kriterien zu priorisie-ren. Mögliche Kriterien auf dieser Ebene sind

der potenzielle Nutzen der Untersuchung für die durchfüh-rende Stelle,

die Erfolgswahrscheinlichkeit der Untersuchung, die zeitliche Dringlichkeit der Untersuchung.

Der potenzielle Nutzen einer forensischen Untersuchung für die durchführende Stelle hängt davon ab, welche Vorteile von einem möglichen Erkenntnisgewinn erhofft werden. Dafür kommt es zum einen auf das Gewicht des Interesses an, dem die Untersu-chung dient. So könnte einem Tötungsdelikt eine höhere Priori-tät für die Durchführung einer forensischen Untersuchung zu-gewiesen werden als einem Warenbetrug.

Zum anderen ist relevant, ob zukünftige Schäden verhindert oder ein bereits vorgefallenes Schadensereignis, das nicht mehr verhindert werden kann, aufgeklärt werden soll. Oftmals wird es insbesondere nahe liegen, präventiv ausgerichteten Untersu-chungen einen höheren Stellenwert zuzumessen als rein repres-siven Untersuchungen.

Für die Priorisierung verschiedener Untersuchungen ist wei-ter relevant, mit welcher Wahrscheinlichkeit die Untersuchung den erhofften Nutzen erbringen wird. Jedoch können die Wahr-scheinlichkeiten in aller Regel nur geschätzt werden.

Die zeitliche Dringlichkeit einer Untersuchung ist ebenfalls von Bedeutung. Sie kommt u. a. dann zum Tragen, wenn zu-künftigen Ereignissen vorgebeugt werden soll (Prävention). Ins-besondere im Bereich der Strafverfolgung kann sich eine zeitliche Dringlichkeit aber auch aus rechtlichen Rahmenbedingungen er-geben, z. B. wenn Haftprüfungstermine anstehen.

3.2 Priorisierung von Untersuchungsgegenständen

Innerhalb einer bestimmten forensischen Untersuchung stellt die Auswahl einzelner Untersuchungsgegenstände (Asservate) die einfachste praktische Möglichkeit für die Priorisierung dar. Da-bei wird auf Vorwissen über die Untersuchungsgegenstände zu-rückgegriffen, um die potenzielle Relevanz für die Aufklärung des zu untersuchenden Sachverhalts im Vergleich zu den anderen Untersuchungsgegenständen abzuschätzen. Auf der Ebene von Untersuchungsgegenständen sind sowohl der Besitzer des Gegen-stands als auch die Auffindesituation des Gegenstands als Priori-sierungskriterien denkbar.

Informationen über den Besitzer sind von Bedeutung, wenn im Rahmen einer Untersuchung mehrere Gegenstände von ver-schiedenen Personen sichergestellt werden. Diese Personen kön-nen dabei auf unterschiedliche Weise in den Sachverhalt invol-viert sein, beispielsweise als Zeuge oder als Hauptbeschuldigter.

In vielen Fällen dürfte der Auswertung von sichergestellten Un-tersuchungsgegenständen eines Hauptbe schuldigten eine höhe-re Priorität zuge messen werden als der Auswertung von sicher-gestellten Gegenständen eines Zeugen.

Aber auch die Auffindesituation eines Untersuchungsgegen-stands spielt eine wichtige Rolle. Ist bspw. eine Festplatte gut ver-staut in einer eingestaubten Kiste in einem unbewohnten Keller gefunden worden und zielt die Untersuchung gleichzeitig auf ei-nen Tatzeitraum ab, der noch nicht sehr lange zurückliegt, dürf-te die Auswertung dieser Festplatte prinzipiell von nachrangiger Bedeutung sein. Das trifft insbesondere zu, wenn weitere Fest-platten vom gleichen Eigentümer sichergestellt wurden, die z. B. in IT-Systemen verbaut waren und sich in Betrieb befanden. In ei-nem solchen Fall stellt sich schon in den ersten Phasen einer Un-tersuchung (vgl. Abschnitt 2) die Frage, ob es verhältnismäßig ist, die Festplatte aus der Kiste im Keller überhaupt sicherzustellen.

3.3 Priorisierung auf der Ebene von Daten

Wie Bäcker et al. [2] erläutern, gibt es unterschiedliche Möglich-keiten digitale Beweismittel zu sichern. Der Umfang der Siche-rung bewegt sich dabei zwischen zwei Extremen: Einerseits der physischen 1:1-Kopie auf Bitebene und andererseits der logischen Sicherung einer beliebig kurzen Bitfolge. Wir stellen hier eine Pri-orisierung auf Basis der durch die Technologie bedingten Abs-traktionsebenen vor (vgl. Abbildung 1), wie sie auch Stüttgen in seiner Arbeit beschreibt [6]. Auf jeder Ebene können Daten mit einer bestimmten Granularität priorisiert werden.

Sektor-Ebene. Auf Sektor-Ebene stellen einzelne Sektoren die betrachtete Dateneinheit dar. Die Größe dieser Sektoren ist hard-wareabhängig und kann daher nicht variiert werden. Eine Pri-

DuD Datenschutz und Datensicherheit 8 | 2012 599

GOOD PRACTICE

orisierung einzelner Sektoren ist kaum sinnvoll möglich, da a priori und ohne Interpretation der Daten auf höheren Abstrak-tionsebenen nicht erkennbar ist, welche Informationen ein sol-cher Sektor enthält.

Eine Besonderheit auf dieser Ebene stellt jedoch die Host-Pro-tected-Area (HPA) dar. Eine HPA ist ein über den internen Spei-cher-Controller der Festplatte konfigurierbarer, beliebig großer Anteil der Festplatte, der logisch vor einem Festplattencontroller versteckt werden kann. Dennoch sind die Erkennung und der Zu-griff auf die in einer HPA gespeicherten Daten möglich [3]. Falls eine Festplatte eine solche HPA enthält, sollte diese in die Unter-suchung einbezogen werden.

Partitions-Ebene. Auf Partitions-Ebene stellen Partitionen diejenigen Dateneinheiten dar, die für eine Priorisierung in Fra-ge kommen. Doch auch unpartitionierte Bereiche (solche Spei-cherbereiche, die nicht zu einer der enthaltenen Partitionen oder der Partitionstabelle gehören) können von Bedeutung sein, vor al-lem da diese Bereiche zuvor zu einer Partition gehört haben und daher relevante Daten enthalten können. Bei der Priorisierung einzelner Partitionen sind der augenscheinliche Zweck und der Inhalt einer Partition wichtige Kriterien für die Auswahl. Je nach Sachverhalt sind Betriebssystem- bzw. Swap-Partitionen zur Aus-lagerung von Arbeitsspeicher im Vergleich zu Benutzerdatenpar-titionen von besonderem oder von nachgelagertem Interesse. Ent-sprechend der jeweiligen Bedeutung einer Partition kann mögli-cherweise eine Priorisierung vorgenommen werden.

Dateisystem-Ebene. Die Dateisystem-Ebene stellt die wichtigs-te Ebene im Hinblick auf die Priorisierung von Daten dar. Eine priorisierbare Dateneinheit ist hier eine Datei. Aufgrund vielfältig vorhandener Metainformationen über Dateien, wie beispielsweise unterschiedliche Zeitstempel, Dateiname oder Größe, ist eine Pri-orisierung auf dieser Ebene häufig sinnvoll. Darüber hinaus stel-len weitere Informationen über die Inhalte einer Datei, wie bei-spielsweise Hashwerte, Dateisignaturen (Magic Bytes) oder Tref-fer einer Volltextsuche sinnvolle Kriterien für eine priorisierte Be-arbeitung von Dateien dar. So kann beispielsweise nach Dateien mit bestimmten Namen, in einem bestimmten Zeitraum erstell-ten, modifizierten oder geöffneten Dateien oder Dateien an ei-nem bestimmten logischen Ablageort im Dateisystem (z. B. „Ei-

gene Dateien“) priorisiert werden. Ebenso können Dateien eines bestimmten Dateityps höher priorisiert werden als andere. Be-kanntermaßen irrelevante Dateien können mittels Hashwertab-gleich von der weiteren Untersuchung ausgeschlossen werden (niedrigste Priorität).

Bei der Priorisierung auf dieser Ebene spielt der Zustand ein-zelner Dateien eine wichtige Rolle. Hierbei unterscheiden wir fünf mögliche Zustände zunehmender Unvollständigkeit, in de-nen sich eine Datei befinden kann:

Eine Datei ist vollständig logisch vorhanden. In diesem Fall ste-hen der gesamte Inhalt der Datei, sowie alle Metadaten voll-ständig als Kriterien für die Priorisierung zur Verfügung.

Die Datei wurde lediglich in der Dateisystemstruktur als ge-löscht markiert. Hier ist die Datei möglicher weise ohne Ver-lust von Daten und Metadaten wiederherstellbar.

Der Dateiinhalt ist noch vollständig auf der Festplatte gespei-chert, aber die Datei ist nicht mehr in der Dateisystemstruk-tur verzeichnet. Von einer solchen Datei kann durch File Car-ving [4] der Inhalt wieder vollständig hergestellt werden, falls sie zusammenhängend auf dem Datenträger gespeichert ist. Es sind jedoch keine Dateisystem-Metadaten mehr verfügbar. Da-her können solche Dateien bereits nur noch auf Basis ihrer In-haltsdaten priorisiert werden.

Die Datei ist teilweise überschrieben (gezielt oder unbeabsich-tigt, z. B. durch starke Festplattennutzung). Hier können Da-teiinhalte eventuell zum Teil durch File Carving wiederherge-stellt werden. Dies hängt jedoch stark davon ab, welche Teile der Datei überschrieben wurden.

Die Datei wurde vollständig überschrieben (wiederum gezielt oder unbeabsichtigt). In diesem Fall können logisch keinerlei Daten mehr rekonstruiert werden. Für Dateien in einem sol-chen Zustand erübrigt sich eine Priorisierung.

Für die zustandsabhängige Priorisierung von Dateien kann es sinnvoll sein, zunächst nur vollständig vorhandene Dateien zu be-trachten, denn über diese liegen die meisten Informationen vor: vollständige Inhalts- und Metadaten. Bei Bedarf können zu ei-nem späteren Zeitpunkt Dateien in unvollständigeren Zustän-den untersucht werden, deren Bearbeitung bzw. Auswertung in der Regel aufwändiger ist.

Abb. 1 | Abstraktionsebenen auf Datenträgern.

600 DuD Datenschutz und Datensicherheit 8 | 2012

GOOD PRACTICE

Auch sind auf dieser Ebene noch zwei Besonderheiten zu nen-nen, nämlich das Journal als Spezialfall von Dateisystem-Meta-daten und der sogenannte File Slack. Sowohl Informationen aus dem Journal als auch aus dem File Slack einer Datei können im Einzelfall von großer Bedeutung sein, jedoch werden sie in der Regel mit einer niedrigen Priorität belegt.

4 Übergeordnete Priorisierungskriterien

Inwieweit eine Priorisierung sinnvoll durchführbar oder sogar erforderlich ist, um das Ermittlungsziel zu erreichen, hängt von den Umständen des jeweiligen Einzelfalls ab. Dabei lassen sich zwei Kriterien angeben, mit deren Hilfe abgeschätzt werden kann, ob eine Priorisierung Erfolg verspricht. Wir bezeichnen diese Kri-terien in Anlehnung an Stüttgen [6] als Zeitdruck und Breite des Erkenntnisziels. Im Folgenden erläutern wir diese Kriterien und diskutieren, wie sie sich auf die Anwendbarkeit des Priorisie-rungsmodells auswirken.

4.1 Zeitdruck

Eine Priorisierung vor jedem Arbeitsschritt dient dazu, sehr große Datenmengen, wie sie bei umfangreichen Untersuchun-gen häufig anfallen, strukturiert zu bearbeiten. So soll der zeit-liche, personelle und sachliche Unter suchungsaufwand bis zur Gewinnung erster Erkenntnisse wie auch bis zum Abschluss der Untersuchung möglichst gering gehalten werden. Eine Priorisie-rung verspricht vor allem dann großen Nutzen, wenn Zeitdruck herrscht und Untersuchungsergebnisse möglichst schnell benö-tigt werden. Ob und inwieweit Zeitdruck besteht, hängt davon ab, zu welchem Zweck bestimmte Erkenntnisse gewonnen wer-den sollen. Präventiv ausgerichtete Untersuchungen, mit denen Erkenntnisse gewonnen werden, um das mögliche Eintreten ei-nes zukünftigen Schadens zu verhindern, stehen in der Regel un-ter größerem Zeitdruck, als repressive Untersuchungen, die an einen bereits eingetretenen Schaden anknüpfen. Allerdings kön-nen repressive Untersuchungen ein präventives Moment aufwei-sen, wenn weitere Schäden drohen, die verhindert werden sollen. Dies gilt insbesondere regelmäßig bei strafrechtlichen Ermittlun-gen wegen eines Delikts, das ein Verhalten im Vorfeld einer wei-teren Straftat kriminalisiert. Solche kriminalpräventiven Straf-tatbestände finden sich etwa im Betäubungsmittel- oder Terro-rismusstrafrecht [1].

Im Übrigen hängt der Zeitdruck bei einer repressiv ausgerich-teten Untersuchung vor allem davon ab, ob zu befürchten ist, dass während der Untersuchungszeit Beweismittel verloren gehen, die erst im Anschluss an die digitale Analyse erhoben werden kön-nen. Dies kann insbesondere bei proaktiven Ermittlungen der Fall sein, mit denen ein Geschehen fortlaufend beobachtet wer-den soll, um eine kriminelle Struktur möglichst weitwinklig zu erfassen und letztlich umfassend zu zerschlagen. Ein proaktiver Ansatz ist etwa typisch für Ermittlungen im Bereich der organi-sierten Betäubungsmittelkriminalität [7].

4.2 Breite des Erkenntnisziels

Inwieweit Daten bereits in einer möglichst frühen Phase der Un-tersuchung sinnvoll priorisiert werden können hängt weiter da-von ab, wie genau im Voraus abgeschätzt werden kann, welche

Erkenntnisse aus welchen Daten gewonnen werden sollen. Hier-für ist entscheidend, welche Informationen über den konkreten Sachverhalt bereits vorliegen und inwieweit über den Umgang mit Sachverhalten dieser Art allgemeines, forensisches Fachwis-sen besteht. Je nach Vorwissen der untersuchenden Stelle kann das Erkenntnisziel der Untersuchung enger oder breiter gefasst sein: So kann bereits im Voraus weitgehend feststehen, nach wel-chen Daten in konkret bestimmten Datensätzen gesucht werden soll. Andererseits kann der Sachverhalt noch weitgehend im Dun-keln liegen, so dass zunächst viele oder sogar alle verfügbaren Da-ten für die Ermittlung gleichermaßen relevant erscheinen.

4.3 Verschiedene Fallkonstellationen

Nach den Kriterien Zeitdruck und Breite des Erkenntnisziels lassen sich Fallkonstellationen systematisieren, in denen unter-schiedlich hoher Bedarf und mehr oder weniger erfolgverspre-chende Ansatzpunkte für eine Priorisierung bestehen. Wir be-trachten im Folgenden alle vier möglichen Fallkonstellationen.

Hoher Zeitdruck, breites Erkenntnisziel. In dieser ersten Gruppe finden sich Sachverhalte, die unter hohem Zeitdruck, je-doch praktisch ohne Vorwissen über die Art der gesuchten Daten aufgeklärt werden müssen. Bestehen etwa Anhaltspunkte für ei-nen geplanten terroristischen Anschlag, so werden in möglichst kurzer Zeit erste Erkenntnisse benötigt. Zugleich wird sich jedoch oft nicht im Voraus abschätzen lassen, welche Daten für die Un-tersuchung relevant sind, da jedes Detail von entscheidender Be-deutung sein könnte. In dieser Fallgruppe kann die zu analysie-rende Datenmenge durch Priorisierung nur begrenzt reduziert werden; zur Beschleunigung muss daher vermehrt auf personel-le und sachliche Ressourcen zurückgegriffen werden.

Hoher Zeitdruck, enges Erkenntnisziel. Zur zweiten Gruppe zählen Sachverhalte, die hohen Zeitdruck bei der Aufklärung mit einem vergleichsweise eng gefassten Erkenntnisziel vereinen. Bei-spielsweise ist bei Sexualstraftaten eine rasche Aufklärung dann wichtig, wenn von dem Täter weitere Straftaten befürchtet wer-den. Bei der Aufklärung derartiger Fälle sind vor allem Kommu-nikationsdaten sowie Foto- und Videomaterial von Belang. Daher können diese Arten von Daten zunächst höher priorisiert werden als andere und damit das initial zu bearbeitende Datenvolumen drastisch eingeschränkt werden.

Auch bei Betäubungsmitteldelikten kann Zeitdruck bestehen, insbesondere wenn ansonsten ein proaktiver Ermittlungsansatz vereitelt würde. Andererseits sind hier meist ausschließlich Kom-munikationsdaten von Interesse, aus denen sich etwa geplante Liefertermine ergeben können.

Die Sachverhalte in dieser Gruppe profitieren besonders stark von einem beschleunigten Untersuchungsprozess und stellen da-her die Fallgruppe dar, die den größten Nutzen aus einer Priori-sierung ziehen kann.

Geringer Zeitdruck, enges Erkenntnisziel. Die Sachverhalte der dritten Gruppe können ohne besonderen Zeitdruck bearbei-tet werden, zugleich besteht umfangreiches Vorwissen darüber, aus welchen Daten möglicherweise relevante Informationen ge-wonnen werden können. Soll beispielsweise ein Betrug repressiv aufgeklärt werden, sind in der Regel vorrangig Dokumente und Kommunikationsdaten von Interesse. In Fällen illegaler Porno-grafie finden sich die relevanten Informationen meist in Form von Bild-, Audio- und Videodaten. Diese Arten von Daten kön-nen vergleichsweise leicht identifiziert und dann, mit einer hohen

DuD Datenschutz und Datensicherheit 8 | 2012 601

GOOD PRACTICE

Priorität versehen, vorrangig analysiert werden. In diesen Fällen ergibt sich der Nutzen der Priorisierung weniger aus zeitlichen als aus personellen und sächlichen Einsparungen.

Geringer Zeitdruck, breites Erkenntnisziel. In der vierten Gruppe finden sich Sachverhalte mit geringem Zeitdruck und breitem Erkenntnisziel. Da der Zeitdruck einer Untersuchung u. a. in Zusammenhang mit der Bedeutung der Untersuchung steht, ergibt sich für Untersuchungen in dieser Gruppe eine ver-gleichsweise geringe Bedeutung. Das breite Erkenntnisziel hinge-gen erfordert einen vergleichsweise hohen Aufwand für die Bear-beitung der Untersuchung. Diese konkreten Ausprägungen der beiden übergeordneten Priorisierungskriterien stehen einer Be-arbeitung der Untersuchung entgegen. In der Praxis wird daher die Bearbeitung von Untersuchungen aus den zuvor beschriebe-nen Gruppen der Bearbeitung von Untersuchungen der vierten Gruppe regelmäßig vorgezogen.

5 Fazit

Unsere Betrachtungen zeigen, dass das Priorisierungsmodell die bekannten Vorgehensmodelle der digitalen Forensik ergänzen kann und in vielen Fällen auf unterschiedliche Weise und auf der Ebene von Untersuchungen, Untersuchungsgegenständen sowie Meta- und Inhaltsdaten von Dateien angewendet werden kann.

Ziel der Priorisierung auf allen Ebenen ist es, den Aufwand für die Bearbeitung und inhaltliche Auswertung eines Datenbe-standes möglichst effektiv und zielgerichtet zu reduzieren. Um eine möglichst effektive Reduktion des Aufwands zu erreichen, sollten unterschiedliche Priorisierungsarten miteinander kombi-niert werden. Kombinationen sind sowohl auf der gleichen Ebene als auch Ebenen übergreifend möglich. Sofern sich eine konkrete Auswahl an Priorisierungen für einen gegebenen Datenbestand als unzureichend herausstellt, können die Priorisierungen nach

und nach erweitert bzw. aufgehoben werden, solange bis eine aus-reichende Informationslage über den Datenbestand hergestellt ist.

Unsere Diskussion zeigt auch, dass die Anwendung des Mo-dells in jenen Deliktsarten, die zu den am häufigsten auftreten-den Fällen gehören, überwiegend große Vorteile birgt. Daher sind wir überzeugt, dass durch eine großflächige Anwendung des Pri-orisierungsmodells die Belastung der digital-forensischen Orga-nisationseinheiten in Strafverfolgungsbehörden und Privatwirt-schaft gleichermaßen signifikant gesenkt werden kann.

Literatur

[1] Bäcker, Matthias: Kriminalpräventives Strafrecht und polizeiliche Kriminalprävention. In: Baumeister, Peter; Roth, Wolfgang; Ruthig, Josef (Hrsg.): Staat, Verwaltung und Rechtsschutz. Festschrift für Wolf-Rüdiger Schenke zum 70. Geburts-tag, 2011, S. 331–354.

[2] Bäcker, Matthias ; Freiling, Felix C. ; Schmitt, Sven: Selektion vor der Sicherung –

Methoden zur effizienten forensischen Sicherung von digitalen Speichermedien. In: Daten-schutz und Datensicherheit – DuD 34 (2010), Nr. 2, S. 80–85.

[3] Carrier, Brian: File System Forensic Analysis. Addison-Wesley, 2005.[4] Casey, Eoghan: Digital Evidence and Computer Crime: Forensic Science, Computers, and the

Internet. 2. Auflage. Academic Press, 2004.[5] Dewald, Andreas; Freiling, Felix: Forensische Informatik. 1. Auf lage. Books on

Demand, 2011. [6] Stüttgen, Johannes: Selective Imaging – Creating Efficient Forensic Images by Selecting

Content First. Diplomarbeit, Universität Mannheim, 2011.[7] Kinzig, Jörg: Die rechtliche Bewältigung von Erscheinungsformen organisierter Kriminali-

tät. Duncker & Humbolt, Berlin, 2004.[8] Pollitt, Mark: An Ad Hoc Review of Digital Forensic Models. In: Huang, Ming-Yuh;

Fincke, Deborah A. (Hrsg.): Second International Workshop on System-atic Approaches to Digital Forensic Engineering (SADFE 2007), IEEE Com-puter Society, 2007.

[9] Turner, P.: Selective and intelligent imaging using digital evidence bags. In: digital inves-tigation 3 (2006), S. 59–64.

[10] Wright, Craig; Kleiman, Dave; Sundhar R.S., Shyaam: Overwriting Hard Drive

Data: The Great Wiping Controversy. In: Sekar, R.; Pujari, Arun (Hrsg.): Information Systems Security. Springer Berlin/Heidelberg, 2008, S. 243-257.

602 DuD Datenschutz und Datensicherheit 8 | 2012

GOOD PRACTICE