Zum Inhalt springen

Forensisches Duplikat

aus Wikipedia, der freien Enzyklopädie
Dies ist die aktuelle Version dieser Seite, zuletzt bearbeitet am 4. März 2026 um 20:09 Uhr durch imported>Ulanwp (4 fehlende Sprachparameter eingefügt; 1 Datumsparameter konvertiert; 3 Parameter zugriff nach abruf konvertiert).
(Unterschied) ← Nächstältere Version | Aktuelle Version (Unterschied) | Nächstjüngere Version → (Unterschied)
Datei:Portable forensic tableau.JPG
Sicherung einer Festplatte mit Hilfe eines Writeblockers

Ein forensisches Duplikat bezeichnet in der IT-Forensik die bitweise 1:1-Kopie eines digitalen Datenträgers. Hierbei wird durch den Einsatz von spezieller Hardware und Software sichergestellt, dass das Duplikat eine identische Kopie des Originals ist. Alle Ermittlungsarbeiten sollten nur an diesem Duplikat durchgeführt werden.<ref name="BSI Leitfaden_I">Leitfaden „IT-Forensik“, Version 1.0.1 S. 26. Bundesamt für Sicherheit in der Informationstechnik, 1. März 2011, abgerufen am 24. März 2019.</ref>

Auf Unix-Systemen, und damit auch auf vielen Diagnose-CDs (siehe Knoppix STD oder Kali), wird für diesen Zweck das Programm dd beziehungsweise ddrescue (bricht bei Lesefehlern nicht ab) eingesetzt. Entscheidend bei der Toolauswahl ist hierbei, dass bezüglich der Zuverlässigkeit und der Integrität keine Zweifel bestehen.<ref name="CyLaw-Report">XXXV: Zur "Beweiskraft informationstechnologischer Expertise", S. 30. Schmid, Viola, 7. Dezember 2012, abgerufen am 10. April 2019.</ref> Dabei können nur tatsächlich sichtbare Bereiche der Festplatte kopiert werden. Auf ausgeblendete Bereiche, die aufgrund von Fehlern durch unbeschädigte Bereiche ersetzt wurden, kann mit diesen Programmen nicht zugegriffen werden. Für diesen Zweck bleibt nur eine modifizierte Firmware der Festplatte oder ein direktes Auslesen der Platten mit Spezialgeräten.

Um versehentliche Änderungen des zu duplizierenden Datenträgers zu verhindern, werden häufig sogenannte „Writeblocker“ eingesetzt. Ein Writeblocker wird zwischen den zu duplizierenden Datenträger und das Computersystem, mit dem das Duplikat erstellt werden soll, angeschlossen. Er lässt lediglich Lesezugriffe auf den Datenträger zu und filtert Schreibzugriffe. Writeblocker existieren für viele Festplatten- und Datenträger-Schnittstellen, beispielsweise SATA, IDE, SCSI und USB.<ref name="joDF">Vorlage:Cite book/URLVorlage:Cite book/MeldungVorlage:Cite book/MeldungVorlage:Cite book/MeldungVorlage:Cite book/MeldungVorlage:Cite book/MeldungVorlage:Cite book/MeldungVorlage:Cite book/Meldung2</ref>

Sollen die aus einem forensischen Duplikat gewonnenen Informationen vor Gericht verwertet werden können, so muss der Vorgang nachvollziehbar und überprüfbar sein. Alle weiteren Duplikate des Originals müssen mit dem ersten Duplikat entsprechen. Um diese Überprüfung zu ermöglichen, werden kryptografische Prüfsummen verwendet.<ref name="hash">Forensic Use of Hash Values and Associated Hash Algorithms. Netherlands Forensic Institute, Januar 2018, abgerufen am 10. April 2019 (Lua-Fehler in Modul:Multilingual, Zeile 153: attempt to index field 'data' (a nil value)).</ref>

Weblinks

Einzelnachweise

<references />

Abgerufen von „https://wiki-de.moshellshocker.dns64.de/index.php?title=Forensisches_Duplikat&oldid=390057