Forensische Akquise und Analyse im Vergleich zu HDDs

Fachhochschule St. Pölten, Masterarbeit 2022, Studiengang Information Security

Die zunehmende Nutzung von Informationstechnologie führte in den letzten Jahren zu einer Digitalisierung der Kriminalität. Angesichts dessen spielt die Identifizierung und gerichtsfeste Beweissicherung von digitalen Spuren für die Aufklärung von Straftaten eine zentrale Rolle. Die fachgerechte Beweisaufnahme durch forensische Ermittler*innen ist dabei ein großer Faktor für die Zulässigkeit und Glaubwürdigkeit von digitalen Beweismitteln vor Gericht. Die Wahrung der Grundsätze der digitalen Forensik wie die Integrität und Authentizität von Beweisdaten werden stets vor neuen Herausforderungen gestellt, wie beispielsweise der Wechsel von herkömmlichen Festplatten („Hard-Disk Drives“, HDD) zu modernen Speichermedien wie „Solid-State-Drives“ (SSD) bzw. Flash-basierte Datenträger. Dieser Wandel der Datenbewahrung hat die Grundsätze der Computerforensik bedeutend verändert. Daher besteht das Ziel dieser Arbeit in der kritischen Analyse der Unterschiede und Eigenschaften der Speichermedien in Bezug auf die Auswirkung auf digital-forensische Untersuchungen. Diese Arbeit gibt einen Einblick in die Grundlagen der digitalen Forensik sowie der Funktionsweise und Eigenschaften von Speichermedien. Hierbei liegt der Fokus auf dem Herzstück der SSD, dem Controller, der die begrenzte Lebensdauer durch implementierte Funktionen erhöhen kann. Mithilfe eines Experimentaufbaus konnte durch verschiedene Testszenarien festgestellt werden, dass nach einer Datenlöschung Funktionen wie TRIM und Garbage-Collection im Vergleich zu anderen Speichermedien eine Datenwiederherstellung auch mit forensischen Mitteln grundsätzlich nicht immer ermöglichen. Daraus lässt sich schließen, dass der Schlüsselfaktor zu den grundlegenden Differenzen und die unvorhersehbaren Auswirkungen auf die Datenwiederherstellung in der Firmware der SSD liegt.

The increasing use of information technology has led to a digitalisation of criminality in recent years. In this context, the identification and court-proof preservation of digital evidence plays a central role in the investigation of crimes. The professional collection of evidence by forensic investigators is a major factor for the admissibility and credibility of digital evidence in court. The preservation of the principles of digital forensics, such as the integrity and authenticity of digital evidence. This shift in data storage has significantly changed the principles of computer forensics. Therefore, the aim of this thesis is to critically analyse the differences and characteristics of storage media in terms of their impact on digital forensic investigations. This thesis provides an insight into the basics of digital forensics as well as the functioning and properties of storage media. The focus here is on the centrepiece of the SSD, the controller, which can increase the limited lifetime through implemented functions. With the implementation of an experiment, it was possible to determine through various test cases that after data deletion, functions such as TRIM and garbage collection do not always permit data recovery, even with forensic tools, compared to other storage media. This leads to the conclusion that the key factor to the fundamental differences and the unpredictable impact on data recovery lies in the firmware of the SSD.

Computerforensik ; Datenträger

application/pdf