Forensischer Koffer
Aus IT-Forensik Wiki
Um eine forensische Untersuchung durchzuführen, wird mehr benötigt, als nur ein Laptop mit entsprechender Datensicherungssoftware und das notwendige Know-How. Es gibt eigene „forensische Koffer“, die mit diversen Utensilien ausgestattet sind, die bei keinem operativen Einsatz fehlen sollten. Dabei empfiehlt es sich, nach jedem Einsatz das verbrauchte Material direkt wieder aufzustocken, denn in Eile hat man nicht immer die Zeit, den Koffer auf Vollständigkeit zu prüfen. Welche Gegenstände keinesfalls in dem Koffer fehlen sollten, ist in der unteren Tabelle aufgelistet.
| Kamera | Dient der Dokumentation der Umgebung und um den Ursprungszustand des zu untersuchenden Computers festzuhalten. Für die spätere Auswertung können detaillierte Informationen von Bedeutung sein, an die man sich möglicherweise kaum erinnert. Insbesondere dann, wenn es sich um verwirrende Kabelverbindungen handelt. Mithilfe von Bildmaterial lassen sich diese einfacher rekonstruieren. |
| Verpackungsmaterialien | Zum Schutz empfindlicher elektronischer Komponenten vor jeglicher Art von äußeren Einflüssen ist es wichtig, entsprechendes Verpackungsmaterial mitzuführen. Festplatten, Computer und Peripheriegeräte sind insbesondere vor Hitze durch Sonneneinstrahlung, Nässe, Schmutz und Staub sowie transportbedingten Erschütterungen zu schützen. Bei offenliegenden Platinen und Chips ist eine antistatische Verpackung unabdingbar. |
| Handschuhe | In erster Linie verhindert man mit dem Tragen von Handschuhen das Verbreiten der eigenen Fingerabdrücke auf den Komponenten und je nach Auftrag kann es notwendig sein, spurenschonend vorzugehen. Weiterhin sind Computergehäuse selten eine saubere Angelegenheit. Insbesondere die Kombination aus Staub und Zigarettenrauch erzeugt einen schmierigen Film auf den Komponenten, mit dem man ungern ungeschützt in Kontakt kommen möchte. |
| Taschenlampe inkl. Ersatzbatterien | Mit der zusätzlichen Lichtquelle verschafft man sich einen besseren Überblick im dunklen Computergehäuse. Besonders kleine Jumper, Steckverbindungen und Seriennummern sind mit einer Taschenlampe viel leichter zu erkennen. |
| Aufkleber und Umhängeschilder | Zur Kennzeichnung von Geräten und Kabelverbindungen. Es empfiehlt sich, die Komponenten zu nummerieren, um diese später eindeutig identifizieren und zuordnen zu können. Messer, Schere und Zange helfen dabei, die Aufkleber auf die richtige Größe zuzuschneiden und Kabelbinder zu lösen. |
| Schraubendreherset inkl. vollständigem Bitsatz | Unabdingbar zum Öffnen eines PC- oder Notebook-Gehäuses, zur Entnahme einer Festplatte oder zum Öffnen einer externen Festplatte. |
| Schreibschutzadapter | Wird benötigt, sobald eine forensische Datensicherung erstellt werden soll. Er gewährleistet, dass keine Schreibzugriffe auf das zu sichernde Medium stattfinden. Entsprechende Anschlüsse für Festplatten aller Art sind dabei mitzuführen. |
| Festplattenkabel/-anschlüsse | Je nach Alter oder Bauweise des Rechners trifft man auf unterschiedliche Anschlüsse. Deshalb sollten Anschlüsse für SATA-, SAS-, IDE- und auch SCSI-Festplatten vorrätig sein, da all diese Anschlussarten noch immer zum Einsatz kommen und vorher unbekannt ist, welche Art von Festplatte in einem Computer verbaut ist. |
| Speichermedien | Speichermedien intern sowie extern mit Schnittstellen wie eSATA, USB, Firewire und auch LAN sind die Arbeitsgrundlage für jede Datensicherung. Irgendwo müssen die zu sichernden Daten ja hingeschrieben werden. Im Zweifel gilt: Lieber zu viel Speicher vorhalten als zu wenig. |
| Boot-DVDs und Software | Auf dem Laptop sollte bereits sämtliche Software, die man für eine forensische Untersuchung benötigt, installiert sein. Ebenso sollten Boot-DVDs, mit denen man auf das System zugreifen kann, nicht im Koffer fehlen. Insbesondere eignen sich dabei Boot-DVDs mit dem Betriebssystem Linux. |
| Formulare | Werden benötigt, sobald Abläufe und Vorgehensweisen dokumentiert werden müssen. In der Regel ist dies der Fall, wenn man mit Verfahren zu tun hat, die eine betriebliche oder gerichtliche Relevanz besitzen. |
| Kabel | Netzwerkkabel oder Crossover-Kabel kommen dann zum Einsatz, sobald man eigenständig in einem Netzwerk tätig werden will. Über ein Crossover-Kabel kann beispielsweise die Sicherung eines kompletten Datenträgers über das Netzwerk auf den eigenen Computer erfolgen. |
| Erdungs-/Anti-Statik-Armband | Verhindert, dass das eigene oder fremde technische Gerät beim Ein- und Ausbau durch sich entladende elektrostatische Aufladung beschädigt oder gar zerstört wird. |
| Funkuhr | Für eine sekundengenaue Dokumentation der erfolgten Maßnahmen und bei einer Live-Sicherung kann anhand einer Funkuhr die Abweichung der Systemzeit zur Echtzeit festgestellt werden. |
| Stift und Papier | Kann man immer gut gebrauchen, um sich schnell Notizen zu machen z.B. Seriennummern, Dokumentation der Maßnahmen, Zeichnen einer Netzplanskizze, etc. |
| Umzugskartons | Dienen dem Transport von Geräten und zugehörigen Beweismitteln, wenn eine Datensicherung außerhalb des Büros/Labors durchgeführt werden musste. Vorher ist stets unklar, wie viele Geräte vom Untersuchungsort ins Labor/Büro transportiert werden müssen. |
| WLAN-Sniffer/-Scanner | Zum Aufspüren kabelloser Netzwerkspeicher. Insbesondere dann, wenn eine Datensicherung außerhalb der eigenen Büros durchgeführt werden muss. |
| Büroklammer | Dient als universeller DVD-Fach-Öffner. |
| Mouse Jiggler | Ein Mouse Jiggler ist ein USB-Stöpsel, der dem PC eine bewegte Maus vorgaukelt. ... Sie verhindern PC-Schlaf auch während Präsentationen oder bei Messungen der Akkulaufzeit, wenn man die Einstellungen für die Energiesparfunktionen nicht verändern kann oder will. Im Kontext der IT-Forensik wird ein Mouse Jiggler genutzt um zu vermeiden, dass das Gerät in den Schlafmodus verfällt und somit ein Pin zum Entsperren benötigt wird. |
