FORSCHUNGSBERICHT

Gibt es „gerichtlich zugelassene“
Tools für mobile Forensik?

Es gibt kein „gerichtlich anerkanntes“ Tool für die Mobilgeräte-Forensik und keine standardisierte Zertifizierung für forensische Tools, die für alle unterschiedlichen Rechtssysteme weltweit gültig ist.
Im Allgemeinen muss für ein forensisches Tool in jedem nationalen, staatlichen oder lokalen Rechtssystem, in dem es eingesetzt wird, nachgewiesen werden, dass es seinen Zweck erfüllt.

Richtlinien für digitale Beweise

Es gibt zwar keinen einheitlichen globalen Standard, Großbritannien hat jedoch einen nützlichen Leitfaden zur Validierung forensischer Tools und den dabei zu beachtenden Grundsätzen erstellt, den ACPO Good Practice Guide for Digital Evidence.

XRY ist mit den Grundsätzen dieses Dokuments vollständig kompatibel:

Grundsatz 1
Durch keine Maßnahmen, die von Strafverfolgungsbehörden, Personen, die von diesen Behörden beschäftigt werden, oder deren Vertretern ergriffen werden, sollen Daten geändert werden, die später gerichtlich geltend gemacht werden können.

Grundsatz 2
In Situationen, in denen eine Person es für notwendig hält, auf Originaldaten zuzugreifen, muss diese Person dazu befähigt sein und außerdem in der Lage sein, die Relevanz und Auswirkungen ihrer Handlungen zu erläutern.

Grundsatz 3
Ein Protokoll oder eine Aufzeichnung aller auf das mobile Endgerät angewendeten Prozesse soll erstellt und aufbewahrt werden.
Eine unabhängige dritte Partei sollte in der Lage sein, diese Prozesse zu untersuchen und die gleichen Ergebnisse zu erzielen.

Grundsatz 4
Die Gesamtverantwortung für die Einhaltung des Gesetzes und dieser Grundsätze obliegt der für die Ermittlung zuständigen Person.

Grundsatz 1 ist beim Umgang mit mobilen Endgeräten sehr schwer einzuhalten.
Da Mobiltelefone in der Regel proprietäre eingebettete Geräte sind, ändern sie ihren digitalen Status in dem Moment, in dem sie eingeschaltet werden. Daher wird für Mobiltelefone eher Grundsatz 2 angewendet.

Grundsatz 2 ist beim Umgang mit mobilen Endgeräten entscheidend und bedeutet, dass der Benutzer entsprechend ausgebildet sein sollte, wenn er den XRY-Bericht als Beweis vor Gericht verwenden möchte. XRY wird täglich in Gerichten auf der ganzen Welt eingesetzt. Obwohl MSAB alles dafür tut, ein Produkt zur Verfügung zu stellen, das die höchsten Standards in der digitalen Forensik erreicht, ist es zwingend notwendig, dass die Ermittler die Informationen, die sie vor Gericht präsentieren, gründlich verstehen.

Im Mittelpunkt steht dabei die Fähigkeit, den XRY-Bericht als Beweis zu präsentieren und zu erläutern. Das Gericht wird den Großteil seiner Einschätzung auf die Stärke des Ermittlers bei der Erläuterung der Beweismittel stützen. XRY Certification-Schulungen sind unerlässlich, um Ermittler und Analysten dabei zu unterstützen, Beweise sicher zu präsentieren und einen dokumentarischen Nachweis der Kompetenz in der forensischen Analyse von mobilen Endgeräten mit XRY zu liefern.

XRY erfüllt problemlos Grundsatz 3: Eine detaillierte „Audit-Protokoll“-Datei in jedem XRY-Bericht zeigt genau, wie die Daten gesammelt wurden. Das bedeutet, dass eine unabhängige Partei den Schritten in der Protokolldatei folgen kann und die Ergebnisse reproduzieren kann, selbst wenn seit der ursprünglichen Ermittlung sehr viel Zeit vergangen ist.

Grundsatz 4 dient dazu sicherzustellen, dass der Ankläger die notwendige Übersicht hat. Dies fällt nicht in den Bereich der Anforderungen an forensische Tools.

Telefone & Apps

EAls Hersteller von digitalen forensischen Tools führt MSAB für alle unterstützen Geräteprofile und Apps eigene gründliche Tests durch. Wichtig dabei sind wiederholte Tests vor der Freigabe neuer Versionen, um sicherzustellen, dass die von XRY erzeugten Informationen validiert und verifiziert werden können.

Wir pflegen eine vollständige Bibliothek mit allen von MSAB unterstützten digitalen Endgeräten. Sollten Sie einmal technischen Support für ein mobiles Endgerät benötigen, können wir ihr System bei uns genau nachbilden und das gleiche Telefon testen, um Ihre Ergebnisse zu überprüfen.

ISO 17025

Eine weitere Norm, die für digitale forensische Laboratorien gilt, ist ISO/IEC 17025:2005.

Großbritannien kann als Maßstab für Beweisstandards dienen. Es gibt eine Reihe von Richtlinien, die vom Forensic Science Regulator erstellt wurden. Diese sehen vor, dass der Anbieter von digitaler Kriminaltechnik den Verhaltenskodex für Anbieter und Anwender von Kriminaltechnik des Strafrechtssystems einhalten und gemäß ISO/IEC 17025:2005 für Laborfunktionen (wie z. B. Wiederherstellung oder Bildverarbeitung digitaler Daten) akkreditiert sein muss.

Leider kann MSAB einzelne Organisationen nicht bei der Zertifizierung nach ISO 17025 unterstützen, da der Akkreditierungsprozess vorschreibt, dass die Organisation, die digitale Beweismittel vorlegt, ihre eigenen unabhängigen Tests durchführen muss.

Nichtsdestotrotz können wir bestätigen, dass viele unserer Kunden in ihren digitalen forensischen Laboratorien erfolgreich nach ISO 17025 zertifiziert wurden und dabei XRY als Haupttool für die Gewinnung von digitalen Beweisen aus Mobilgeräten für forensische Zwecke einsetzen.

Verwendbarkeit vor Gericht

Vor Gericht sind Verteidiger dazu berechtigt, Beweise anzufechten. Das gilt natürlich auch für XRY-Berichte. XRY wurde in zahlreichen Fällen weltweit vor Strafgerichten als Beweismittel angefochten. Uns ist jedoch kein Fall bekannt, in dem XRY-Beweismittel aufgrund von Unzuverlässigkeit oder Zweifeln an der forensischen Integrität des Systems nicht zugelassen wurden. Aus diesem Grund gehen wir davon aus, dass XRY als Beweismittel vor Gericht zulässig ist.

Im Allgemeinen werden Fragen zur Validität unserer Tools am häufigsten in der Anfangsphase der Produkteinführung gestellt, wenn die Benutzer noch nicht mit der Technologie vertraut sind und sie noch nicht ganz verstehen. Da die Gerichte immer vertrauter mit der Vorlage digitaler Beweise aus mobilen Endgeräten werden, werden diese Fragen seltener gestellt.

In den meisten Ländern ist es vollkommen zulässig, den XRY-Bericht als Beweismittel vorzulegen. Der Beweis wird meistens in Form eines „Beweisstücks“ eingereicht. Dies erfolgt durch eine Person (in der Regel die Person, die das Telefon untersucht hat) in einer beeidigten Zeugenaussage. Die Zeugenaussage und das Beweisstück werden dann als Beweismittel vor Gericht eingereicht und zugelassen. Während der Zeugenaussage sollte dargestellt werden, wie das Telefon untersucht wurde, die Kompetenz des Ermittlers nachgewiesen und unbedingt der XRY-Bericht als Beweismittel vorgelegt werden.

Der XRY-Bericht kann als Ausdruck auf Papier oder als elektronisches Dokument (z. B. PDF) oder als Original-Bericht durch Anzeigen am PC vorgelegt werden. In letzter Zeit hat es sich aufgrund der Menge an Daten- und Multimedia-Dateien auf modernen Smartphones als vorteilhaft erwiesen, den XRY-Bericht in seinem ursprünglichen Format vorzulegen, um Video- oder Audio-Aufnahmen vor Gericht abzuspielen.

Lokale Gerichte legen üblicherweise fest, welches Medienformat sie als Beweismittel bevorzugen. Da jedoch Smartphones Gigabytes an Daten enthalten, ist es praktisch unmöglich geworden, Beweise auf Papier vorzulegen, da diese Berichte oft länger als 10.000 Seiten sein können.

Die Regeln der Beweisführung legen nahe, dass die forensischen Berichte immer validiert werden sollten. Dies kann manuell durch Abgleich des Telefons mit dem XRY-Bericht erfolgen. Dabei werden die Inhalte durch Vergleichen verifiziert. Die häufiger eingesetzte Methode ist jedoch die des „Dual Tooling“. Dabei wird ein anders forensisches Produkt verwendet, um die Ergebnisse des XRY-Berichts zu validieren.

Letztlich können nur die Strafgerichte in jedem Fall und individuell entscheiden, ob digitale Beweismittel zugelassen werden.
Es gibt also keine „gerichtlich anerkannten“ Tools für die Mobilgeräte-Forensik. Diese Richtlinie kann Gerichte dabei unterstützen, eine fundierte Entscheidung über die Zulassung der Beweismittel zu treffen.

Weitere Informationen zu XRY finden Sie unter
msab.com/products/XRY