Unsere Seminare vom 18. bis 29. November in Frankfurt zum Thema IT-Forensik, das sich auf Tools wie Detego Global und MOBILedit sowie insbesondere die Analyse und manuelle Überprüfung von SQLite-Datenbanken konzentrierte, bot
eine umfassende Einführung in die digitale Beweissicherung und -analyse. Hierbei sind sowohl technische als auch rechtliche Aspekte von zentraler Bedeutung. Im Folgenden wird ein detaillierter Überblick über die behandelten Themen gegeben.
Detego Global
Die Detego® Unified Forensics Platform ist eine leistungsstarke Lösung für die digitale Forensik, die speziell für die schnelle Erfassung, Analyse und Berichterstellung entwickelt wurde. Sie ermöglicht:
- Die forensische Sicherung von Daten aus tausenden Geräten wie Smartphones, Computern und IoT-Geräten.
- KI-gestützte Analysen zur Identifikation von Verbindungen zwischen Personen, Geräten und Fällen.
- Die Nutzung von Funktionen wie GPS-Datenanalyse, Hash-Wert-Matching und automatisierten Workflows für effiziente Untersuchungen.
MOBILedit ist ein vielseitiges Tool für die Datenextraktion und -analyse von Mobilgeräten und Smartwatches. Es bietet:
- Physische und logische Datenakquise.
- Wiederherstellung gelöschter Daten.
- Unterstützung für zahlreiche Apps wie WhatsApp, Instagram und Snapchat und viele mehr.
- Erweiterte Funktionen wie Passwort-Knacken und Entschlüsselung.
Beide Tools sind darauf ausgelegt, Beweise gerichtsverwertbar zu sichern, indem sie Änderungen an den Originaldaten vermeiden.
Analyse von SQLite-Datenbanken
SQLite-Datenbanken sind weit verbreitet in Anwendungen wie Mobiltelefonen, Messenger-Diensten oder Betriebssystemen. Ihre forensische Analyse umfasst:
- Die Wiederherstellung gelöschter Datensätze, oft unter Einbeziehung von temporären Dateien wie Write-Ahead-Logs (WAL).
- Die Nutzung spezialisierter Software wie MobilEdit oder Rabbithole zur Analyse von Datenbankinhalten.
- Die Möglichkeit, Aktivitäten und Zeitabläufe zu rekonstruieren, was sie zu einer wichtigen Beweisquelle macht.
Das Rooten eines Mobiltelefons ist oft notwendig, um tiefere Zugriffsebenen für forensische Untersuchungen zu ermöglichen. Dabei werden Administratorrechte freigeschaltet, um auf geschützte Bereiche des Betriebssystems zuzugreifen. Methoden umfassen:
- Die Verwendung von Custom Recovery Apps und Root-Kits.
- Tools wie Magisk oder One-Click-Root-Anwendungen.Es ist jedoch essenziell sicherzustellen, dass keine Daten verändert werden. Dies wird durch den Vergleich von Hash-Werten vor und nach der Untersuchung gewährleistet.
Sicherstellung der Integrität der Beweise
Ein zentraler Aspekt der IT-Forensik ist die Gewährleistung der Unveränderbarkeit der analysierten Daten:
- Erstellung forensischer Kopien (1:1-Kopien) der Datenträger.
- Dokumentation aller Schritte in einem gerichtsfesten Gutachten.
- Nutzung von Hash-Werten zur Überprüfung der Datenintegrität.
Das Seminar hat wichtige Grundlagen für IT-forensische Analysen vermittelt: den Einsatz spezialisierter Tools wie Detego und MOBILedit, die Analyse von SQLite-Datenbanken sowie Techniken zum Rooten von Mobilgeräten. Der Fokus auf die Integrität der Beweise stellt sicher, dass Ergebnisse gerichtsverwertbar bleiben. Solche Schulungen sind essenziell für Fachkräfte in der digitalen Forensik, um den Anforderungen moderner Ermittlungen gerecht zu werden.