Hochschule Wismar

Studiengang Master „IT-Sicherheit und Forensik“

Modul „Forensik in Betriebs- und Anwendungssystemen“

Praktikumsbericht

MUE07

Karina Schuller Michaela Smejkal

Martin Hille

1

Inhalt

Abbildungsverzeichnis ................................................................................................ 2

Tabellenverzeichnis .................................................................................................... 2

1. Szenario ................................................................................................................. 3

2. Vorgehensschema .................................................................................................. 4

2.1. Operationale Vorbereitung ............................................................................... 5

2.2.1 Ausgangssituation ...................................................................................... 5

2.2.2 Verwendete Utensilien ................................................................................ 5

2.2.3 Datenquelle ................................................................................................ 6

2.2 Datensammlung ................................................................................................ 7

2.2.1 Physische Sicherung .................................................................................. 7

2.3 Datenextraktion ............................................................................................... 10

2.3.1 Vorbereitung der Untersuchung ................................................................ 10

2.3.2 Starten der Auswertung ............................................................................ 10

2.3.3 Schlüsselwörtersuche mit Magnet AXIOM Process .................................. 13

2.3.4 Auswertung mit Magnet AXIOM Examine ................................................. 14

2.3.4.1 Filterung: Bilder .................................................................................. 15

2.3.4.2 Filterung: E-Mails ............................................................................... 16

2.3.4.3 Online-Analyse ................................................................................... 18

2.3.4.4 Filterung: Internet ............................................................................... 19

2.3.4.5 Verschlüsselte Ordner ........................................................................ 19

2.3.5 Vergleich der Ergebnisse .......................................................................... 20

2.4 Datenanalyse .................................................................................................. 21

2.4.1 Auswertung Logdaten ............................................................................... 21

2.5 Dokumentation ................................................................................................ 22

3. Ermittlungsergebnis .............................................................................................. 26

2

Abbildungsverzeichnis

Abbildung 1: Beweismittel Laptop (Datenquelle Nr. 010203) ...................................... 7

Abbildung 2: Erzeugung des Image ............................................................................ 8

Abbildung 3: FTKImage erstellen ............................................................................... 8

Abbildung 4: Export des Images in E01-Format ......................................................... 9

Abbildung 5: Hash Verifikation .................................................................................. 10

Abbildung 6: Axiom Process Einstellungen............................................................... 12

Abbildung 7: Schlagwörter für die Suche .................................................................. 13

Abbildung 8: Beweisanalyse ..................................................................................... 14

Abbildung 9: Zeitleiste Artefakte ............................................................................... 14

Abbildung 10: Filter-Funktion "Bilder" ....................................................................... 15

Abbildung 11: Filter für E-Mail-Verkehr ..................................................................... 16

Abbildung 12: Filterung nach E-Mail-Text ................................................................. 17

Abbildung 13: Ergebnisse der Filterung .................................................................... 18

Abbildung 14: Ping E-Mail-Adresse .......................................................................... 18

Abbildung 15: Filterung Internet ................................................................................ 19

Abbildung 16: Verschlüsselte Ordner........................................................................ 20

Abbildung 17: Auswertung Windows Ereignisprotokoll ............................................. 21

Abbildung 18: Auswertung ausgeführter Programme ............................................... 22

Tabellenverzeichnis

Tabelle 1: Timeline vor der Meldung bis zum IT-labor ................................................. 5

Tabelle 2: Eckdaten der Datenquelle .......................................................................... 6

Tabelle 3: Timeline Festplattenspiegelung .................................................................. 9

Tabelle 4: Zusammenstellung der Ergebnisse .......................................................... 21

Tabelle 5: Polizeiliche Ermittlungen .......................................................................... 22

Tabelle 6: Beweismittel Sichtung IT-Forensik ........................................................... 23

Tabelle 7: Sicherstellung des Beweismittels ............................................................. 23

Tabelle 8: Auswertung/Analyse der Daten 1 ............................................................. 24

Tabelle 9: Auswertung/Analyse der Daten 2 ............................................................. 25

3

1. Szenario

Die Ermittlungskräfte der Polizei haben am 25.07.2019 einen anonymen Hinweis auf illegale

Tätigkeiten des Jack the Reaper (geb. 01.01.1960 in München) erhalten. Der Gegenstand der

Ermittlungen betrifft möglichen illegalen Tierhandel und Hinweise auf weitere illegale

Aktivitäten, die jedoch nicht näher spezifiziert wurden und somit reine Vermutungen darstellen.

Der Tatverdächtige ist kein Unbekannter und ist bei ähnlichen Delikten bereits vorbelastet.

Somit wurde am 01.08.2019 die Wohnung des Verdächtigen durchsucht. Es konnten keine

Auffälligkeiten bei der Durchsuchung entdeckt werden (die Wohnung war auffällig sauber),

jedoch wurden für weitere Ermittlungen vorhandene digitale Medien beschlagnahmt: privater

Laptop des Verdächtigen (Handy oder weitere Medien konnten Vorort nicht entdeckt werden).

Das beschlagnahmte Medium wurde an das forensische Team „MUE07“, bestehend aus drei

erfahrenen IT-Forensikern, weitergegeben. Die Aufgabe des Teams besteht nun darin, das

Medium sachgerecht und rechtssicher auszuwerten, wertvolle Erkenntnisse zu sammeln und

in einem Bericht nachvollziehbar zusammenzufassen.

Im Folgenden werden detailliert sowohl die Vorgehensweise der Auswertung, als auch daraus

resultierende Erkenntnisse des IT-Forensik-Teams „MUE07“ dargelegt. Diese Auswertung wird

dann an die zuständigen Ermittler übersendet und ist ein entscheidendes Kriterium für die

Weiterverfolgung des Falls.

4

2. Vorgehensschema

Das Vorgehen der IT-Forensiker muss eine anerkannte Methode zugrunde haben. Für diesen

Fall wird „ Der abschnittsbasierte Verlauf einer forensischen Untersuchung“ (Leitfaden IT-

Forensik, BSI, März 2011) gewählt.

1. Strategische Vorbereitung

Für diese Fallkonstellation nicht anwendbar.

2. Operationale Vorbereitung

Schritte vor der Datensammlung

Identifikation und Enumeration potentieller Datenquellen (mobil, extern)

Forensische Werkzeuge identifiziert und Auswahlkriterien dokumentiert

3. Datensammlung

Kopien der Datenquelle erstellen, Kryptographie beachten

Integrität der Beweismittel gewährleisten für gerichtliche Verwertbarkeit

Sammlung wichtiger Daten von potentiell betroffenen Komponenten

4. Datenextraktion

Untersuchung wertvoller Daten (bspw. Extrahieren von Bilddateien aus dem Image)

Reduktion der Daten durch Ausschließen

5. Datenanalyse

Ergebnisse im Zeitverlauf darstellen & logischen Zusammenhand finden

Detailanalyse der gewonnenen Daten (Bsp. Logdateienauswertung)

Verbindungen zwischen Inhalten herstellen

6. Dokumentation

Alle gefundenen Einzelergebnisse zu einer Gesamtbetrachtung zusammenfassen.

Abb. 1: 1Das BSI Vorgehensmodell

5

2.1. Operationale Vorbereitung

Bei der Auswertung der Datenquelle wird insbesondere nach digitalen Spuren und Indizien für

einen möglichen illegalen Tierhandel gesucht, hierzu gehört sowohl die Auswertung der

Festplatte, als auch eine Online-Analyse. Indizien für weitere eventuelle Gesetzesverstöße

werden ebenfalls gesammelt.

2.2.1 Ausgangssituation

Der Laptop befindet sich in einem Karton im ausgeschalteten Zustand, folglich besteht keine

Möglichkeit mehr eine Live-Response-Analyse durchzuführen und den Hauptspeicher

auszulesen. Alle flüchtigen Informationen können damit als verloren betrachtet werden.

Für die IT-Forensische Untersuchung kommt nun das Post-Mortem-Akquise-Verfahren infrage

und somit ist die Festplatte, mit den gespeicherten persistenten Spuren, der zentrale

Auswertungsgegenstand.

2.2.2 Verwendete Utensilien

Für den dargestellten Fall werden folgende Utensilien verwendet:

• Kamera

Mithilfe einer digitalen Kamera wird der Zustand des Laptops festgehalten

• Handschuhe

Für die Untersuchung wird das Gerätes in seine Komponenten zerlegt und diese auf

Unregelmäßigkeiten überprüft. Hierfür verwendet der Forensiker Handschuhe.

• Schraubendrehset

Für das Ausbauen des Gehäuses wird ein Schraubendrehset eingesetzt.

• Hardware

◦ leistungsstarker Rechner (Laborrechner der Forensikabteilung)

◦ Write-Blocker mit Adapter

◦ drei externe Festplatten

25.07.2019

• Die Polizeistelle München erhält einen anonymen Hinweis

01.08.2019

• Polizeibeamte durchsuchen die Wohnung des Tatverdächtigen und beschlagnamen einen Laptop

02.08.2019

• Das IT-Forensikteam erhält den Laptop für eine forensische Auswertung

Tabelle 1: Timeline vor der Meldung bis zum IT-labor

6

• Software

◦ MS Office Word 2016

◦ FTK Imager 4.2.1.4 (2016)

◦ Magnetics AXIOM, Version 3.3.1.14874

▪ Magnetics AXIOM Process

▪ Magnetics AXIOM Examine

• Formulare

Abläufe und Vorgehensweise werden nach anerkannten Standards und mithilfe von

standardisierten Formularen dokumentiert.

• Funkuhr

Bei der Untersuchung des Mediums wird die zeitliche Abfolge dokumentiert.

• Schreibutensilien

Für Notizen und Anmerkungen werden Schreibblöcke und Stifte verwendet.

2.2.3 Datenquelle

Erste äußere Sichtung des Mediums ergibt keine erkennbaren Speichererweiterungen oder

Manipulationen, für eine endgültige Aussage wird jedoch das Gehäuse aufgeschraubt.

Die Sichtung nach dem Öffnen des Gehäuses und Recherche zu den Hardwarebestandteilen

ergeben keine Auffälligkeiten oder Speichererweiterungen. Folgende Hardware-Details

konnten identifiziert werden:

Beschlagnahmte Datenquelle Nr. 010203

Model HP 15-db0321ng

Display 15.6 Zoll, Full-HD

Betriebssystem Windows 10 Home (64 Bit)

Prozessor AMD Ryzen™ 5 2500U Mobil Prozessor

Arbeitsspeicher-Größe 16 GB

Festplatte HDD, 1 TB, 5400 U/Min., SATA (WD Blue)

Tabelle 2: Eckdaten der Datenquelle

7

Abbildung 1: Beweismittel Laptop (Datenquelle Nr. 010203)

2.2 Datensammlung

Bei diesem Schritt werden die Daten sowohl physisch geklont, als auch logisch, mithilfe der

hierfür standardisiert verwendeten Tools, strukturell aufbereitet. Die Datensammlung erfolgt

aktiv durch einen IT-Forensik-Experten, wobei seine beiden Kollegen permanent aktiv am

Vorgehen teilnehmen und ihm beobachtend und beratend zur Seite stehen. Das Vorgehen

wird durchgehend dokumentiert.

2.2.1 Physische Sicherung

Zuallererst müssen forensische Duplikate der Datenquelle erstellt werden, so dass der Ist-

Zustand des Datenträgers und der darin enthaltenen Daten nicht verfälscht oder geändert wird.

Die Integrität der Datenquelle wird stets sichergestellt durch anerkannte Vorgehensmethoden

(siehe BSI-Leitfaden). Hierzu werden, unter der Verwendung eines Write-Blockers, drei

bitgenaue Images der Festplatte erstellt und auf separate Beweis-Festplatten kopiert:

Bei der Erstellung des Images wird wie folgt vorgegangen:

1. Zwischen die zu sichernde Datenquelle und das auswertende Computersystem der IT-

Forensiker wird ein Write-Blocker zwischengeschaltet, um jegliche Veränderungen der

Datenspuren zu vermeiden. Der Write-Blocker wird eingeschaltet und auf

„read“ eingestellt (siehe Abb. 2).

2. Das Computersystem der IT-Forensiker läuft mit einem Windows 10 Enterprise (64 Bit)

8

Betriebssystem. Hierauf ist das Programm FTKImager installiert, welches

standardmäßig zur Erzeugung eines Images von digitalen Datenquellen eingesetzt

wird (siehe Abb. 3).

3. Mithilfe des FTKImagers wird anschließend ein Image der Datenquelle mit E01-Format

erstellt und anschließend redundant auf drei Festplatten kopiert (siehe Abb. 4).

Abbildung 2: Erzeugung des Image

Abbildung 3: FTKImage erstellen

9

Abbildung 4: Export des Images in E01-Format

Tabelle 3: Timeline Festplattenspiegelung

Jedes der Images enthält Prüfsummen (kryptographische Hashes: MD5 und SHA-1), um

jegliche nachträgliche Veränderungen der Spuren sichtbar machen zu können. Das erste

Image ist eine Referenzkopie und wird nicht für die Untersuchungen verwendet. Die anderen

beiden Images werden für voneinander unabhängige forensische Auswertungen zweier IT-

Forensiker verwendet. Somit wird sowohl die Nachweisbarkeit, als auch die

Reproduktionssicherheit der ermittelten Ergebnisse sichergestellt.

Datenquelle Duplikationszeitpunkt

Festplatte 1: Nr. 111 (Referenzfestplatte) 02.08.2019 (11:05 – 11:15)

Festplatte 2: Nr. 222 02.08.2019 (11:20 – 11:30)

Festplatte 3: Nr. 333 02.08.2019 (11:40 – 11:50)

10

Abbildung 5: Hash Verifikation

2.3 Datenextraktion

Bei dem Schritt „Datenextraktion“ werden die gesammelten Datenspuren mithilfe eines

forensischen Tools ausgewertet. Hierbei werden zwei Computersysteme (jeweils Windows 10

Enterprise (64 Bit)) verwendet. Beide enthalten das forensische Programm Magnetics AXIOM,

mithilfe dessen die Images nach digital verwertbaren Spuren durchsucht werden. Das

Programm ist im IT-forensischen Bereich anerkannt und wird regulär für Untersuchung

verwendet. Für die Analyse verwendete Bereiche des Tools sind AXIOM Process und AXIOM

Examine.

2.3.1 Vorbereitung der Untersuchung

Nach dem Start des Programms wird das Image aus der Festplatte Nr. 222 an das

Computersystem 1 und das Image aus der Festplatte Nr. 333 an das Computersystem 2

angeschlossen. Beide IT-Forensik-Experten arbeiten nicht abgesprochen, jedoch, aufgrund

der standardisierten und erfahrungsgemäßen Vorgehensweise, in einer sehr ähnlichen Weise.

Beobachtet werden beide Systeme zusätzlich zu den aktiven Ermittlern, durch den dritten IT-

Forensik-Experten und einen unabhängigen weiteren eingeladenen Experten aus dem

forensischen Tätigkeitsgebiet. Alle Schritte werden stets dokumentiert.

2.3.2 Starten der Auswertung

Das in FTKImager erstellte Abbild wird nun in das Tool Magnet AXIOM Process geladen.

Dieses Tool dient der Auswahl der zu analysierenden Kriterien. Folgende Einstellungen

werden vorgenommen:

11

1

2

12

Abbildung 6: Axiom Process Einstellungen

3

4

13

Bei der Auswahl der Einstellungen wird insbesondere auf die Berechnung und Verifizierung

der Hashes für jede einzelne Beweisquelle geachtet. Diese Einstellung ist wichtig um die

Integrität der Daten sicherstellen zu können. Des Weiteren wird die Einstellung

„Protokollierung“ aktiviert und für das Verschlüsselungsverfahren die Einstellung

„MD5“ ausgewählt.

2.3.3 Schlüsselwörtersuche mit Magnet AXIOM Process

Das Tool Axiom Process erlaubt es über den Menü-Bereich „Verarbeitungsoptionen“ eine

Suche nach spezifischen, für den Vorgang wahrscheinlich relevanten, Schlüsselwörtern

vorzunehmen. Für diesen Fall werden die Wörter: „Jack Reaper“, „meeting“, „meet“ „date“,

„treffen“ etc. ausgewählt.

Abbildung 7: Schlagwörter für die Suche

Nachdem die Einstellungen getätigt wurden, kann die Beweisanalyse beginnen. Die

ausgewählten Einstellungen werden zunächst für die schnellere Artefakte-Analyse, welche

sich auf E-Mail Verläufe, Bilddateien, Internet-Aktivitäten und ähnliche Artefakte beschränkt.

Mit der Beweisanalyse werden die eigentlichen Beweise aus dem Image der Datenquelle

extrahiert und für weitere Untersuchungen zusammengefasst dargestellt. Im Menü-Bereich

„Beweisanalyse“ werden hierfür entsprechende Datenquellen ausgewählt.

14

Abbildung 8: Beweisanalyse

2.3.4 Auswertung mit Magnet AXIOM Examine

Zur Auswertung der Ergebnisse des Durchlaufes, wird anschließend das Nachfolgetool

„Magnet AXIOM Examiner“ eingesetzt. Hierbei kann anhand des Abbildes festgestellt werden,

dass im Juli 2019 eine höhere Aktivität auf dem Datenträger stattgefunden hat. Dies wird in

erster Linie anhand der Zeitleiste der Artefakte sichtbar:

Abbildung 9: Zeitleiste Artefakte

15

Insbesondere kann festgehalten werden, dass der Datenträger bis zum 14.07.2019 Aktivitäten

aufwies und im Zeitraum vom 12.-14.07.2017 die meisten Aktivitäten stattgefunden haben.

Im nächsten Schritt werden die Ergebnisse der Beweisanalyse durch die Tool-Funktion

„Filtern“ auf für die Ermittlungen relevanter Artefakte reduziert. Somit kann explizit auf spezielle

Dateiformate eingegangen werden und diese Dateien, die auf dem Datenträger verteilt

aufzufinden sind, schließlich (nach Format sortiert) zusammengestellt werden. Diese

Übersicht ermöglicht eine besonders zielgerichtete Suche.

2.3.4.1 Filterung: Bilder

Die erste Filter-Einstellung wird für „Bilder“ verwendet. Diese Auswahl-Einstellung ist wichtig

aufgrund des Ermittlungsgegenstandes, denn für den Tierhandel ist die Wahrscheinlichkeit

hoch, dass hierbei auch Bilder gesucht, gespeichert, verwendet und ausgetauscht werden.

Abbildung 10: Filter-Funktion "Bilder"

Die Filter-Funktion liefert zahlreiche Ergebnisse, wobei das im Ergebnisbereich hohe

Aufkommen von Tierbildern hervorzuheben ist. In erster Linie sind (neben vielen Cache Bildern,

wie bspw. Icons, Logo etc.) überwiegend Katzenbilder erkennbar. Von allen vom Tool

angezeigten Bildern, werden Bilder von Relevanz mit einem „Tag“ markiert und als „von

besonderem Interesse“ gekennzeichnet. Die bestehende Auswertung ergibt insgesamt 75

Bilder, die als „wichtig für die Ermittlungen“ eingestuft werden können und explizit

gekennzeichnet werden. Anschließend können diese Tags gesondert zusammengefasst und

im Detail ausgewertet werden.

16

2.3.4.2 Filterung: E-Mails

Als nächstes werden die E-Mail-Verkehrsdaten herausgefiltert und ausgewertet. Bei dieser

Filterung können der Zeitraum und einige weitere Optionen eingestellt werden. Für den

zugrundeliegenden Fall wird zunächst nach E-Mails mit Anhängen gesucht, um auf den

Verdachtsgegenstand des Falles einzugehen. Die sonstigen E-Mails stellen keine Relevanz

für den weiteren Ermittlungsverlauf dar und werden im Nachfolgenden nicht weiter betrachtet.

Abbildung 11: Filter für E-Mail-Verkehr

Das Ergebnis der Suche mit Anhang, zeigt vier E-Mails mit Anhängen. Diese Anhänge

enthalten Katzenbilder, werden als vorgemerkte Artefakte gekennzeichnet und als „wichtige

Beweismittel“ eingestuft und getaggt.

Anschließend werden die E-Mail-Texte nach relevanten Schlagwörtern, wie „treffen“ und

„meeting“, „cat“ durchgesucht. Das Ergebnis der Suche ergibt 18 E-Mails mit den besagten

Schlagwörtern (siehe Abb. 12).

Insbesondere ist ein reger Kommunikationsverkehr zwischen dem Verdächtigen „Jack The

Reaper, E-Mail: thereaper13@gmx.de“ und seinem Kommunikationspartner „E-Mail:

Ginter713@web.de“ erkennbar. Der Inhalt des Schriftverkehrs bezieht sich insbesondere auf

die Vereinbarung eines Treffens und das Ausschauhalten nach bestimmten Katzenrassen. Die

gelb markierten Stellen der Such-Ergebnisse markieren die eingegebenen Schlagwörter.

Aus dem E-Mail-Verkehr geht außerdem hervor, dass die Personen nicht entdeckt werden

17

möchten. Es werden geheime Treffplätze am 17.07.2019 an einer Autobahn-Tankstelle nähe

München ausgemacht und Katzenrassen, die übergeben werden sollen, genannt. Als Ziel des

Weiterverkaufs werden Nicht-EU-Länder genannt, auf die jedoch nicht genauer eingegangen

wird. Der Gesamtwert der betroffenen Katzen soll 10.000 € betragen und in bar an der gleichen

Tankstelle am 20.07.2019 übergeben werden. Die Anzahl der Katzen beläuft sich anhand der

E-Mail-Angaben auf 9 kleine Kätzchen der Rasse „Maine-Coon“.

Diese Ergebnisse werden als „sehr wichtig“ eingestuft und als relevante Beweismittel

gekennzeichnet. Alles Beweise, die das besagte Tag tragen wurden ausgedruckt beigelegt.

Abbildung 12: Filterung nach E-Mail-Text

18

Abbildung 13: Ergebnisse der Filterung

2.3.4.3 Online-Analyse

Um mögliche weitere Ermittlungsbereiche abzudecken, wird die anschließend an die

Beweissicherung der E-Mails, eine Online-Analyse durchgeführt. Der Gegenstand dieser

Analyse betrifft die Ermittlung der Identität von „Ginter713@web.de“ und eventuell das

Auffinden von weiteren Indizien anhand einer Internet-Recherche.

Das „Anpingen“ der E-Mail-Adresse ergibt, dass diese nicht aktiv ist. Weitere Internet-

Recherche ergeben auch keine Auffälligkeiten.

Abbildung 14: Ping E-Mail-Adresse

19

2.3.4.4 Filterung: Internet

Aufgrund des häufigen Auftretens von Katzenbildern auf der Datenquelle und E-Mails mit

Inhalten über Katzen, wird auch in der Untersuchung der Internetaktivitäten der Fokus

zunächst auf Tier-bezogene Ergebnisse gelegt. Somit wird die Filter-Funktion auf

„cats“ eingestellt. Diese Filterung zeig wonach der Verdächtige mit seinen Suchanfragen

explizit gesucht haben könnte. Die ausgewählte Einstellung liefert unmittelbar Ergebnisse zum

Schlagwort. Anhand der Abbildung 13 ist erkennbar, dass der Verdächtige nach Katzen im

Internet gesucht hatte. Hierzu wurde der Browser Microsoft Edge verwendet und insgesamt

für vier Suchanfragen verwendet.

Es kann zwar festgehalten werden, dass in der Suchmaschine „Google“ tatsächlich nach

Katzen gesucht wurde, es bestehen jedoch keine Indizien für interessante Suchanfragen. Die

Ergebnisse aus diesem Bereich werden somit als „bedingt wichtig“ eingestuft.

Abbildung 15: Filterung Internet

2.3.4.5 Verschlüsselte Ordner

Das eingesetzte Tool verfügt auch über die Möglichkeit Verschlüsselte Ordner zu erkennen

und anzuzeigen. Im Menü-Bereich „Verschlüsselung“ findet man Ergebnisse, die darauf

schließen lassen, dass der TOR-Browser zum Einsatz kam.

Die Verwendung des TOR-Browsers deutet darauf hin, dass der Verdächtige bei seinen

Internet-Tätigkeiten anonym bleiben wollte und keine digitalen Spuren hinterlassen wollte. Des

20

Weiteren muss angemerkt werden, dass diese Art von Browsern den Zugang zum Darknet

und somit illegalen Plattformen erlaubt.

Aufgrund der Menge der verschlüsselten Daten, kann eine erhöhte Aktivität über dieses

Medium festgestellt werden. Durch die Tatsache, dass Dateien mit verschlüsseltem Inhalt

gefunden wurden und Aktivitäten im Tor Browser nachgewiesen werden konnten, kann zwar

keine exakte Aussage über deren Inhalt getroffen, jedoch der Verdacht auf illegale

Machenschaften verstärkt werden. Die Ergebnisse aus diesem Bereich können somit als

„bedingt wichtig“ eingestuft werden.

Abbildung 16: Verschlüsselte Ordner

2.3.5 Vergleich der Ergebnisse

Alle Daten konnten ausgewertet werden mit der Ausnahme der verschlüsselten Ordner des

TOR-Browsers. Dieser Auswertungsbereich stellte die Einzige unüberwindbare Hürde für die

Ermittler dar.

Die Ergebnisse beider IT-Forensiker stimmen überein. Eingesetzte Beobachtungsbeauftragte

haben keine Einwände ausgesprochen und haben die Ergebnisse als beweissicher

abgezeichnet. Die Auswertung nahm (inklusive Vorbereitung) fünf Tage in Anspruch und wurde

von insgesamt vier IT-Forensikern durchgeführt (drei IT-Experten des Einsatzteams

„MUE07“ und eine Beobachtungsperson).

21

2.4 Datenanalyse

Die in der Extraktion gesammelten Daten können nun gegenübergestellt und zueinander in

Beziehung gestellt werden. In der Tabelle 4 werden übersichtlich die Artefakte und deren

Einstufung dargestellt:

Kategorisierung der ermittelten Artefakte

Format Anzahl Kategorie Ermittlungszeitpunkt

Bild 75 Wichtig 03.08.2019 (08:51)

E-Mail 18 Sehr wichtig 04.08.2019 (10:15)

E-Mail-Anhang 4 Sehr wichtig 04.08.2019 (15:30)

Internetsuche 4 Bedingt wichtig 06.08.2019 (08:50)

Verschlüsselte

Ordner

5 Bedingt wichtig 06.08.2019 (12:01)

Tabelle 4: Zusammenstellung der Ergebnisse

Aus der Tabelle geht nun hervor, dass die eindeutigsten Indizien aus dem E-Mail Bereich

geliefert werden und eine besondere Gewichtung erhalten sollten. Die Bilder und die

Internetsuche sind nur unterstützende Indizien.

2.4.1 Auswertung Logdaten

Mit dem Tool Magnet AXIOM Examine kann auch das Windows Ereignisprotokoll ausgewertet

werden. In diesem Schritt werden die Logdaten des Betriebssystems ausgelesen und

strukturiert dargestellt (siehe Abb. 17).

Abbildung 17: Auswertung Windows Ereignisprotokoll

22

2.4.2 Auswertung der ausgeführten Programme

Zusätzlich bietet das Tool die Möglichkeit alle auf dem Betriebssystem ausgeführten

Programme anzuzeigen (siehe Abb. 18). Bis auf die verdächtigen Aktivitäten im TOR Browser,

konnte die Auswertung der Ergebnisse jedoch keine verwertbaren Spuren oder Auffälligkeiten

zeigen:

2.5 Dokumentation

Zur gerichtsverwertbaren Dokumentation wurde ein genauer Zeitplan der

Ermittlungstätigkeiten der IT-Forensik durchgeführt. Dabei ist die Aufzeichnung mittels

Funkuhr dokumentiert. Die polizeilichen Ermittlungen (s. Tabelle 5) sind hier grob skizziert,

weitere Details sind dem Polizeibericht zu entnehmen.

ID Beschreibung Zeit

A-001/1 Polizeieingang anonymer Hinweis Jack the Reaper 25.07.2019 (13:00)

A-001/2 Wohnungsdurchsuchung Jack the Reaper 01.08.2019 (12:00)

A-001/3 Beschlagnahmung Laptop JtR, ausgeschaltet 01.08.2019 (12:01)

A-001/4 Übergabe Medium an MUE7 02.08.2019 (07:30)

Tabelle 5: Polizeiliche Ermittlungen

Abbildung 18: Auswertung ausgeführter Programme

23

Nach Übergabe der Beweismittel an die IT-Forensik ist der Zeitpunkt der Sichtung und Ankunft

im Labor (s. Tabelle 6) dokumentiert.

ID Beschreibung Zeit

B-001/1 Foto Laptop Datenquelle Nr. 010203 02.08.2019 (07:35)

B-001/2 Untersuchung Hardware 02.08.2019 (07:40 - 08:20)

B-001/3 Ausbau Festplatte 02.08.2019 (08:15)

Tabelle 6: Beweismittel Sichtung IT-Forensik

Das Vorgehen der IT-Forensik wurde nach BSI-Leitfaden durchgeführt, dabei wurde speziell

auf die Sicherung des Beweismittels Wert gelegt (s. Tabelle 7), sodass der originale Beweis

unverändert vorliegt und nur auf Kopien gearbeitet wurde.

ID Beschreibung Zeit

B-002/1 Aufbau/Nutzung Write-Blocker 02.08.2019 (09:00)

B-002/2 Spiegelung 3-fach Image und Hashwerte 02.08.2019

B-002/3 Festplatte 1: Nr. 111 (Referenzfestplatte) 02.08.2019 (11:05 – 11:15)

B-002/4 Festplatte 2: Nr. 222 02.08.2019 (11:20 – 11:30)

B-002/5 Festplatte 3: Nr. 333 02.08.2019 (11:40 – 11:50)

Tabelle 7: Sicherstellung des Beweismittels

Die Auswertung der kopierten Festplatten ergab (s. Tabelle 8), dass diverse Artefakte zu einem

dringenden Tatverdacht führen. Es konnten Bild-Dateien sichergestellt werden, welche sich in

Email-Anhängen befinden. Dieser Verdacht erhärtet sich zwischen Jack the Reaper und einem

unbekannten „Ginter731“.

24

ID Beschreibung Zeit

C-001/1 Computersystem 1 --> Anschluss Festplatte Nr. 222 02.08.2019 (13:00)

C-001/2 Computersystem 2 --> Anschluss Festplatte Nr. 333 02.08.2019 (13:01)

C-001/3 Erzeugung der Images an beiden Computersystemen FTKImager E01

02.08.2019 (13:10 - 14:30)

C-002/1 Untersuchung Image 02.08.2019 (14:45 – 15:00)

C-002/2 Magnetics AXIOM, anerkanntes Forensik-Software Pro-dukt

02.08.2019

C-002/3 AXIOM Process 02.08.2019

C-002/4 Einstellung Keyword-Suche: date; Jack; Jack Reaper; JackReaper; meet; meeting; Reaper; treffen

02.08.2019 (15:00)

C-003/1 AXIOM Examine 02.08.2019

C-003/2 Suche nach Email-Anhängen 04.08.2019 (15:30)

C-003/3 55.jfif Fund Artefakt-ID 1365270 04.08.2019 (15:31)

C-003/4 4.jpg Fund Artefakt-ID 1365270 04.08.2019 (15:32)

C-003/5 55.jfif Fund Artefakt-ID 1593491 04.08.2019 (15:33)

C-003/6 4.jpg Fund Artefakt-ID 1593491 04.08.2019 (15:34)

C-003/7 E-Mail: thereaper13@gmx.de 04.08.2019 (10:15)

C-003/8 E-Mail: Ginter713@web.de 04.08.2019 (10:16)

Tabelle 8: Auswertung/Analyse der Daten 1

Nach der Auswertung der Kommunikationspartner Jack the Reaper (J) und Ginter731 (g)

konnte die Email-Konversation nachvollzogen werden (s. Tabelle 9). Hierbei ergab sich eine

Art Geschäftsverhältnis der Beiden, indem es sich um illegalen Tierhandel handelt.

ID Beschreibung Zeit

C-004/1 Suche nach Email-Keywords: treffe; meeting; cat 04.08.2019 (10:16)

C-004/2 Email g-->J: "wanted"14.07.2019 09:27 Uhr Gesuch nach kleinen Katzen der Rasse Maine-Coon gestellt

04.08.2019 (10:17)

C-004/3 Email J-->g: "wth"14.07.2019 09:29 Uhr Angebot wird unterbreitet

04.08.2019 (10:18)

C-004/4 Email J-->g: "time"14.07.2019 09:33 Uhr Zeitpunkt der Anschauung wird festgelegt "Treffplatz 17.07.2019 Au-tobahn-Tankstelle nähe München" und Zeitpunkt der Übergabe "Treffplatz 20.07.2019 9 kleine Katzen Be-trag 10.000€ Rasse Maine-Coon"

04.08.2019 (10:19)

25

C-004/5 Internet-Recherche "Ginter713@web.de" 04.08.2019 (10:20)

C-004/6 Kontaktversuch: Email-Adresse nicht existent, Mail ser-ver rejected

04.08.2019 (10:21)

C-004/7 Verschlüsselter Ordner: Einsatz TOR-Browser, Extrak-tion nicht möglich

04.08.2019 (11:00)

Tabelle 9: Auswertung/Analyse der Daten 2

26

3. Ermittlungsergebnis

Das Ergebnis der IT-forensischen Untersuchung liefert für den Prozess wertvolle Beweismittel,

die starke Indizien für Jack the Reapers illegale Aktivitäten im Bereich Tierhandel anzeigen.

Sowohl die Beteiligung des Verdächtigen, als auch die Identifikation der betroffenen Tiere kann

in diesem Bericht eindeutig nachgewiesen werden.

Der Prozess des Verkaufs ist durch die E-Mail-Kommunikation des Verdächtigen belegbar, die

vereinbarten Treffpunkte müssen jedoch noch durch Sicherstellung und Auswertung der

Videos am Übergabeort eindeutig belegt werden.

Die Ermittlungen nach Ginter731 sollten fortgeführt werden, sodass die Tiere wieder zu ihren

ursprünglichen Besitzern zurückgeführt werden können. Sobald die Identität von Ginter731

geklärt ist, können weitere Beweismittel durch die IT-Forensik analysiert und ausgewertet

werden.

Da die E-Mail-Kommunikation nicht vollständig ist, sollten die Smartphones oder weitere

Geräte an den betroffenen Tatverdächtigen beschlagnahmt und untersucht werden. Dies wird

weitere Artefakte liefern und gegebenenfalls weitere Taten aufdecken.