Beweise und Forensik auf deinem PC, wie ein Fingerabdruck auf der Fensterscheibe

Computer und Sicherheits-Wissen Artikel 18


Tech-Writer Uwe

Tech-Writer Uwe am 23.09.2014



Gesamt: 964
Dieses Jahr: 232
Diesen Monat: 44
Diese Woche: 12
Heute: 1


Sollte dein PC im Rahmen von Ermittlungen beschlagnahmt werden, so werden auch forensische Methoden zur Beweisfindung und Sicherung auf deinem PC eingesetzt. Allein die Tatsache, dass du keinerlei kritische Daten speicherst oder regelmäßig Internetspuren vernichtest, schützt dich nicht vor diversen forensischen Methoden. Dir ist sicher bekannt, dass gelöschte Daten recht einfach mit Recovery-Tools wiederhergestellt werden können. Ein Daten-Shredder zum Vernichten von Daten, temporären Dateien, Internet- und App-Spuren sowie Freispeicher ist nur ein erster Schritt der Forensik ein Schnippchen zu schlagen.


Copyright und Lizenz: Foto von Emilian Robert Vicol, frei nach Public Domain CC0.

Thumbcache-Datei

Inzwischen werden auf deinem PC Daten über dein Handeln gespeichert, auf die du selber keinen Einfluss mehr hast. So werden beispielsweise alle Bilddateien (JPGs) deines PCs in nicht löschbaren Thumbcache-Dateien gespeichert. Du kannst dir diese Dateien nicht mal selber ansehen, bearbeiten oder löschen. Versuch es selber mit folgendem Verzeichnis:

Tippe dazu am besten im START-Menu unter „Programme / Dateien durchsuchen" folgenden Befehl ein:
%USERPROFILE%\AppData\Local\Microsoft\Windows\Explorer
Es öffnet sich der Dateiexplorer mit diversen Thumbcache-Dateien. Wenn du Windows 7 oder größer mit allen Updates zum Stand (09.2014) installierst hast, wird dir ein Entfernen dieser forensischen Beweisdateien kaum mehr gelingen. Ich habe selber versucht mit allen Tricks wie NTFS Besitzt übernehmen, etc. die Rechte zum Entfernen zu bekommen – Ergebnislos. Windows blockiert die Dateien und ein Entfernen war nur im abgemeldeten Zustand möglich.

Prefetch-Dateien

Ein anderes Beispiel sind Prefetch-Dateien (im Verzeichnis: Windows\Prefetch). Tiefgreifende Informationen dazu findest du auf IronGeek.com.

Beweisdateien dieser Art finden sich viele auf deinem PC, die du auch kaum mehr löschen oder überblicken kannst. Einmal ein Fehler gemacht, so verfolgt dieser dich, bis du deine Festplatte formatierst und dein Windows – System neu installierst.

Fazit

Sicherheit ist immer ein komplexes System von Verhaltensweisen, die du ansetzten musst. Vor forensischen Beweisen sichert dich zunächst eine gute Festplattenvollverschlüsselung (siehe BLOG: Datenspeicherung und Verschlüsselung) und eine regelmäßige Reinigungsaktion deines PCs mit beispielsweise einem Daten-Schreddern. Der Punkt auf dem I macht hier wie immer ein virtuelles System mit Snapshot (Foto), wie ich es bereits im BLOG: Virtuelle Systeme beschrieben habe. Hier kannst du dir von deinem System ein saubereres „FOTO" (Snapshot) machen und nach dem Öffnen von kritischen Dateien stets zu diesem Snapshot zurückkehren. Dein ganzes Handeln auf dem virtuellen System geht danach verloren und steht so auch nicht mehr der Forensik zur Verfügung.

Sicherheit ist nicht eine einfach schnelle Sache, sondern die überlegte Kombination von verschiedenen Techniken und Disziplin. Das Ganze ist ein Recht großer Aufwand, schützt dich aber davor Opfer staatlicher Verfolgung zu werden.

Impessum des Autor Kontakt zum Autor



Kommentar eintragen