Electrostatic Discharge: Unterschied zwischen den Versionen

Aus IT-Forensik Wiki
Keine Bearbeitungszusammenfassung
KKeine Bearbeitungszusammenfassung
Zeile 1: Zeile 1:
== Entstehung ==
== Entstehung ==
Elektrostatische Entladungen (ESD) treten in vielen Alltagssituationen auf. Es handelt sich um Entladungsvorgängen von Potenzialdifferenzen in Folge von elektrostatischer Aufladung. Diese Aufladung entsteht zum einen durch Triboelektrizität (Aufladung durch Reibung) oder durch Influenz, also der Aufladung eines Körpers durch Exposition in einem elektrischen Feld. Die erreichbaren Potenziale können dabei Werte im Bereich von bis zu 15kV betragen.
Elektrostatische Entladungen (ESD) treten in vielen Alltagssituationen auf. Es handelt sich um Entladungsvorgängen aufgrund von Potenzialdifferenzen in Folge elektrostatischer Aufladung. Diese Aufladung entsteht durch Triboelektrizität (Aufladung durch Reibung) oder durch Influenz, also der Aufladung eines Körpers durch Exposition in einem elektrischen Feld. Die erreichbaren Potenziale können dabei Werte im Bereich von bis zu 15 kV betragen.


{| class="wikitable"
{| class="wikitable"
Zeile 18: Zeile 18:
<small>Elektrostatische Spannnungen bei unterschiedlichen Handlungen vgl. Berndt (2009): ESD-Schutz S. 85</small>
<small>Elektrostatische Spannnungen bei unterschiedlichen Handlungen vgl. Berndt (2009): ESD-Schutz S. 85</small>


Die Endladungsvorgänge können durch direktes Berühren als Kontaktentladung oder durch die Luft als Blitz oder Koronaentladung auftreten. Die Form der Entladung, der zeitliche Verlauf sowie die Stromstärke hängt hauptsächlich von den Faktoren Temperatur, Luftfeuchtigkeit, el. Kapazität der Körper, und Übergangswiderstand ab. Es werden in der DIN EN 61340-3 3 Modelle zur Darstellung der Vorgänge definiert, das HUMAN BODY MODEL (HBM), das CARGED DEVICE MODEL (CDM) und das MACHINE MODEL (MM). Diese Modelle dienen zur Auslegung von Referenzmessungen und Testaufbauten. Da für den Umgang mit IT-forensischen Asservaten der menschliche Körper die Endladungsquelle darstellt wird für die Betrachtungen das HBM angewendet.
Die Endladungsvorgänge können durch direktes Berühren als Kontaktentladung oder durch die Luft als Blitz oder Koronaentladung auftreten. Die Form der Entladung, der zeitliche Verlauf sowie die Stromstärke hängt hauptsächlich von den Faktoren Temperatur, Luftfeuchtigkeit, el. Kapazität der Körper, und Übergangswiderstand ab. Es werden in der DIN EN 61340-3 drei Modelle zur Darstellung der Vorgänge definiert, das HUMAN BODY MODEL (HBM), das CARGED DEVICE MODEL (CDM) und das MACHINE MODEL (MM). Diese Modelle dienen zur Auslegung von Referenzmessungen und Testaufbauten. Da für den Umgang mit IT-forensischen Asservaten der menschliche Körper die Endladungsquelle darstellt wird für die Betrachtungen das HBM angewendet.
== Wirkung auf elektronische Bauelemente ==
== Wirkung auf elektronische Bauelemente ==
ESD sind in der Lage elektronische Bauelement zu beschädigen oder zu zerstören. Geräte, z.B. Computer, Smartphones, Laptops und externe Festplatten, werden durch ESD-Schutzbeschaltungen an den Kontakten und Gehäuseerdungen geschützt. Bei der Handhabung von Einzelkomponenten kann dieser Schutz nicht mehr vorausgesetzt werden. So kann z.B. beim Ausbau einer Festplatte die Platine direkt zugänglich. Ein Schaden durch eine Entladung an einer beliebigen Stelle, speziell nachdem der Stecker der Spannungsversorgung abgezogen wurde, ist wahrscheinlich.
ESD sind in der Lage elektronische Bauelement zu beschädigen oder zu zerstören. Geräte, z.B. Computer, Smartphones, Laptops und externe Festplatten, werden durch ESD-Schutzbeschaltungen an den Kontakten und Gehäuseerdungen geschützt. Bei der Handhabung von Einzelkomponenten kann dieser Schutz nicht mehr vorausgesetzt werden. So ist z.B. beim Ausbau einer Festplatte die Platine direkt zugänglich. Ein Schaden durch eine Entladung an einer beliebigen Stelle, speziell nachdem der Stecker der Spannungsversorgung abgezogen wurde, ist wahrscheinlich.
<gallery>
<gallery>
Festplatte.jpg|Festplatte mit offener Platine ©Carsten Haubenschild 2023
Festplatte.jpg|Festplatte mit offener Platine ©Carsten Haubenschild 2023
[[Datei:Festplatte.jpg|mini]]
[[Datei:Festplatte.jpg|mini]]
</gallery>
</gallery>
Praktisch jedes elektronische Bauelement kann durch ein ESD beschädigt werden. Exemplarisch wird dies an einem Transistor in CMOS-Technologie, die am häufigsten eingesetzte Technologie für Logikbausteine, erläutert. Durch den Entladungsvorgang liegt am Gate des Transistors eine hohe Spannung an. Überschreitet diese die Gate-Durchbruchsspannung wird die Metalloxid - Isolationsschicht durchgebrannt, sodass ein leitfähiger Kanal entsteht und dieser einen Kurschluss im Gate hervorruft. Dieser Fehlermodus wird als Dielektrischer Durchbruch bezeichnete und zerstört den Transistor. Ein weiterer möglicher Fehlermodus ist das An- oder Aufschmelzen der Metallisierung oder der Bonddrähte im Chip.
Praktisch jedes elektronische Bauelement kann durch ein ESD beschädigt werden. Exemplarisch wird dies an einem Transistor in CMOS-Technologie, die am häufigsten eingesetzte Technologie für Logikbausteine, erläutert. Durch den Entladungsvorgang liegt am Gate des Transistors eine hohe Spannung an. Überschreitet diese die Gate-Durchbruchsspannung wird die Metalloxid - Isolationsschicht durchgebrannt, sodass ein leitfähiger Kanal entsteht und dieser einen Kurzschluss im Gate hervorruft. Dieser Fehlermodus wird als dielektrischer Durchbruch bezeichnete und zerstört den Transistor. Ein weiterer möglicher Fehlermodus ist das An- oder Aufschmelzen der Metallisierung oder der Bonddrähte im Chip.
<gallery>
<gallery>
ESD Krater.jpg|ESD – Schaden im Silizium Quelle: (Berndt, Hartmut (2009): ESD-Schutz S.19)
ESD Krater.jpg|ESD – Schaden im Silizium Quelle: (Berndt, Hartmut (2009): ESD-Schutz S.19)
Zeile 34: Zeile 34:
Um die beschriebenen Schäden zu vermeiden, sollten die in der DIN EN 61340-5-1 beschriebenen Vorgehensweisen eingehalten werden. Diese umfassen bei der Arbeit mit Bauelementen, die gegen ESD empfindlich sind (ESDS), die Einrichtung von ESD-Arbeitsplätzen oder ESD-Zonen. Ferner die Schulung der Mitarbeiter und den Aufbau eines ESD-Kontrollprogramms, sowie die Nutzung geeigneter Verpackungsmaterialien.  
Um die beschriebenen Schäden zu vermeiden, sollten die in der DIN EN 61340-5-1 beschriebenen Vorgehensweisen eingehalten werden. Diese umfassen bei der Arbeit mit Bauelementen, die gegen ESD empfindlich sind (ESDS), die Einrichtung von ESD-Arbeitsplätzen oder ESD-Zonen. Ferner die Schulung der Mitarbeiter und den Aufbau eines ESD-Kontrollprogramms, sowie die Nutzung geeigneter Verpackungsmaterialien.  
==Am Tatort==
==Am Tatort==
Die Einrichtung eines ESD-Arbeitsbereichs ist an einem „Tatort“ praktisch nicht möglich. Ein Forensiker sollte daher bei der Sicherstellung der Beweisstücke darauf achten möglichst komplette Geräte sicherzustellen. Grundsätzlich müssen bei der Arbeit an digitalen Beweisstücken (Hardware) ein ESD-Armband und ESD-Schuhe getragen werden. Es sollte Bekleidung mit einem Oberflächen-widerstand < 10<sup>9</sup> Ω getragen werden z.B. als Overall.
Die Einrichtung eines ESD-Arbeitsbereichs ist an einem „Tatort“ praktisch nicht möglich. Ein Forensiker sollte daher bei der Sicherstellung der Beweisstücke darauf achten möglichst komplette Geräte sicherzustellen. Grundsätzlich müssen bei der Arbeit an digitalen Beweisstücken (Hardware) mindestens ein ESD-Armband und ESD-Schuhe getragen werden. Es sollte Bekleidung mit einem Oberflächenwiderstand < 10<sup>9</sup> Ω getragen werden z.B. als Overall.
<gallery>
<gallery>
EP1003184-PROTEX-ESD-Sweater-Active-Marine.jpg|ESD-Kleidung Quelle: ESD-PROTECT GmbH https://shop.esd-protect.de/
EP1003184-PROTEX-ESD-Sweater-Active-Marine.jpg|ESD-Kleidung Quelle: ESD-PROTECT GmbH https://shop.esd-protect.de/
Zeile 45: Zeile 45:
[[Datei:EP1006958-Abeba-ESD-Sicherheitsschuh-uni6-36775.jpg|mini]]
[[Datei:EP1006958-Abeba-ESD-Sicherheitsschuh-uni6-36775.jpg|mini]]
</gallery>
</gallery>
Bei ESD-Armbändern ist ein Erdungswiderstand zw. 1 MΩ und 35MΩ einzuhalten um die Elektrostatische Aufladung abzuleiten aber auch Fehlerströme ausreichend zu begrenzen.
Bei ESD-Armbändern ist ein Erdungswiderstand zw. 1 MΩ und 35 MΩ einzuhalten um die elektrostatische Aufladung abzuleiten aber auch Fehlerströme ausreichend zu begrenzen.
<gallery>
<gallery>
EP0105031-Handgelenkband-Budget-DK-4-am-Arm.jpg|ESD-Armband Quelle: ESD-PROTECT GmbH https://shop.esd-protect.de/
EP0105031-Handgelenkband-Budget-DK-4-am-Arm.jpg|ESD-Armband Quelle: ESD-PROTECT GmbH https://shop.esd-protect.de/
[[Datei:EP0105031-Handgelenkband-Budget-DK-4-am-Arm.jpg|mini]]
[[Datei:EP0105031-Handgelenkband-Budget-DK-4-am-Arm.jpg|mini]]
</gallery>
</gallery>
Wenn Datenträger ausgebaut werden müssen, dann wird als erstes ein Potenzialausgleich mit dem Gerät hergestellt. Der einfachste Weg ist es das Erdungskabel des ESD-Armbands mit dem Gehäuse zu verbinden z.B. mit einer Krokodilklemme. Da es nicht auszuschließen dass ein Täter sein PC-Gehäuse auf die Netzphase gelegt hat, um eine sehr „persönliche“ Form von Anti-Forensik durchzuführen sollte zu Sicherheit dass Gehäuse geprüft werden, der definierte Erdungswiderstand verhindert aber auf jeden Fall eine Gefährdung.
Wenn Datenträger ausgebaut werden müssen, dann wird als erstes ein Potenzialausgleich mit dem Gerät hergestellt. Der einfachste Weg ist es das Erdungskabel des ESD-Armbands mit dem Gehäuse zu verbinden z.B. mit einer Krokodilklemme. Da es nicht auszuschließen ist, dass ein Täter sein PC-Gehäuse auf die Netzphase gelegt hat, um eine sehr „persönliche“ Form von Anti-Forensik durchzuführen sollte zu Sicherheit dass Gehäuse zuvor geprüft werden. Der hohe Erdungswiderstand verhindert eine Gefährdung durch die elektrische Spannung.
Nach dem Ausbau der Komponente muss diese sofort in einen ESDS geeigneten Beutel verpackt werden. Die Verpackung sollte abschirmend sein. „Pink Poly“ – Beutel oder Beutel aus leitfähiger Folie sind nur ableitend. Abschirmende Verpackungen sind zusätzlich metallisiert. ESDS geeignete Verpackungen sind gekennzeichnet.
Nach dem Ausbau der Komponente muss diese sofort in einen ESDS-gerechte Beutel verpackt werden. Die Verpackung sollte abschirmend sein. „Pink Poly“ – Beutel oder Beutel aus leitfähiger Folie sind nur ableitend. Abschirmende Verpackungen sind zusätzlich metallisiert. ESDS geeignete Verpackungen sind gekennzeichnet.
<gallery>
<gallery>
Beutelkategorien 1920x1920.png|ESDS-Verpackung Quelle: ESD-PROTECT GmbH https://shop.esd-protect.de/
Beutelkategorien 1920x1920.png|ESDS-Verpackung Quelle: ESD-PROTECT GmbH https://shop.esd-protect.de/
[[Datei:Beutelkategorien 1920x1920.png|mini]]
[[Datei:Beutelkategorien 1920x1920.png|mini]]
</gallery>
</gallery>
Zum Transport sollten die Asservate in leitfähige Kunststoff Boxen gelegt werden. Diese erleichtern das Handling, weil diese die Anforderungen an den ESD-Schutz erfüllen und somit in ESD-Bereichen eingesetzt werden dürfen.
Zum Transport sollten die Asservate in leitfähige Kunststoff-Boxen gelegt werden. Diese erleichtern das Handling, weil diese die Anforderungen an den ESD-Schutz erfüllen und somit in ESD-Bereichen eingesetzt werden dürfen.
<gallery>
<gallery>
EP0705018-Koffer BLACKLINE.jpg|ESD Behälter und Transportwagen Quelle: ESD-PROTECT GmbH https://shop.esd-protect.de/
EP0705018-Koffer BLACKLINE.jpg|ESD Behälter und Transportwagen Quelle: ESD-PROTECT GmbH https://shop.esd-protect.de/
Zeile 69: Zeile 69:
==Bei der Analyse==
==Bei der Analyse==
Die HW-seitige Analyse sollte mindestens an einem ESD-Arbeitsplatz durchgeführt werden, die Einrichtung eines ESD-Bereichs ist ratsam. Ein ESD-Arbeitsplatz besteht aus einem Tisch mit einer ableitenden Oberfläche, einem Anschluss für ESD-Armbänder und einem ableitenden Stuhl. Der Arbeitsplatz muss auf einem ableitenden Boden stehen. Alle Elemente werden sternförmig auf einem gemeinsamen Punkt geerdet.  
Die HW-seitige Analyse sollte mindestens an einem ESD-Arbeitsplatz durchgeführt werden, die Einrichtung eines ESD-Bereichs ist ratsam. Ein ESD-Arbeitsplatz besteht aus einem Tisch mit einer ableitenden Oberfläche, einem Anschluss für ESD-Armbänder und einem ableitenden Stuhl. Der Arbeitsplatz muss auf einem ableitenden Boden stehen. Alle Elemente werden sternförmig auf einem gemeinsamen Punkt geerdet.  
Die Mitarbeite müssen an einem solchen Arbeitsplatz geeignete ESD - Kleidung, - Schuhe und - Armbänder tragen. Das verwendete Werkzeug muss ebenso ableitend sein. Verwendete Analysegeräte müssen für einen ESD-Schutz geerdet werden.
Die Mitarbeiter müssen an einem solchen Arbeitsplatz geeignete ESD-Kleidung, -Schuhe und -Armbänder tragen. Das verwendete Werkzeug muss ebenso ableitend sein. Verwendete Analysegeräte müssen für einen ESD-Schutz geerdet werden.
<gallery>
<gallery>
EP0504048-ESD-Tischmatten-Set-Starter-Kit-60x60-Anschluss-Erdungsblock 200x200@2x.jpg|ESD Arbeitsplatzsystem Quelle: ESD-PROTECT GmbH https://shop.esd-protect.de/
EP0504048-ESD-Tischmatten-Set-Starter-Kit-60x60-Anschluss-Erdungsblock 200x200@2x.jpg|ESD Arbeitsplatzsystem Quelle: ESD-PROTECT GmbH https://shop.esd-protect.de/

Version vom 19. Juni 2023, 15:28 Uhr

Entstehung

Elektrostatische Entladungen (ESD) treten in vielen Alltagssituationen auf. Es handelt sich um Entladungsvorgängen aufgrund von Potenzialdifferenzen in Folge elektrostatischer Aufladung. Diese Aufladung entsteht durch Triboelektrizität (Aufladung durch Reibung) oder durch Influenz, also der Aufladung eines Körpers durch Exposition in einem elektrischen Feld. Die erreichbaren Potenziale können dabei Werte im Bereich von bis zu 15 kV betragen.

Handlung oder Ladungsquelle elektrostatische Aufladung U in kV
Person geht über PVC - Fußbodenbelag 0,5 – 9
Person geht über synthetischen Teppich 10 – 15
PE-Tasche gerieben und auf Kunststoffarbeitsfläche gelegt 0,3 – 7
Bestückte Leiterplatte in Kunststofftragetasche gelegt 0,1 – 0,8
Person hebt PVC-Tasche von einer Werkbank 0,1 – 3

Elektrostatische Spannnungen bei unterschiedlichen Handlungen vgl. Berndt (2009): ESD-Schutz S. 85

Die Endladungsvorgänge können durch direktes Berühren als Kontaktentladung oder durch die Luft als Blitz oder Koronaentladung auftreten. Die Form der Entladung, der zeitliche Verlauf sowie die Stromstärke hängt hauptsächlich von den Faktoren Temperatur, Luftfeuchtigkeit, el. Kapazität der Körper, und Übergangswiderstand ab. Es werden in der DIN EN 61340-3 drei Modelle zur Darstellung der Vorgänge definiert, das HUMAN BODY MODEL (HBM), das CARGED DEVICE MODEL (CDM) und das MACHINE MODEL (MM). Diese Modelle dienen zur Auslegung von Referenzmessungen und Testaufbauten. Da für den Umgang mit IT-forensischen Asservaten der menschliche Körper die Endladungsquelle darstellt wird für die Betrachtungen das HBM angewendet.

Wirkung auf elektronische Bauelemente

ESD sind in der Lage elektronische Bauelement zu beschädigen oder zu zerstören. Geräte, z.B. Computer, Smartphones, Laptops und externe Festplatten, werden durch ESD-Schutzbeschaltungen an den Kontakten und Gehäuseerdungen geschützt. Bei der Handhabung von Einzelkomponenten kann dieser Schutz nicht mehr vorausgesetzt werden. So ist z.B. beim Ausbau einer Festplatte die Platine direkt zugänglich. Ein Schaden durch eine Entladung an einer beliebigen Stelle, speziell nachdem der Stecker der Spannungsversorgung abgezogen wurde, ist wahrscheinlich.

Praktisch jedes elektronische Bauelement kann durch ein ESD beschädigt werden. Exemplarisch wird dies an einem Transistor in CMOS-Technologie, die am häufigsten eingesetzte Technologie für Logikbausteine, erläutert. Durch den Entladungsvorgang liegt am Gate des Transistors eine hohe Spannung an. Überschreitet diese die Gate-Durchbruchsspannung wird die Metalloxid - Isolationsschicht durchgebrannt, sodass ein leitfähiger Kanal entsteht und dieser einen Kurzschluss im Gate hervorruft. Dieser Fehlermodus wird als dielektrischer Durchbruch bezeichnete und zerstört den Transistor. Ein weiterer möglicher Fehlermodus ist das An- oder Aufschmelzen der Metallisierung oder der Bonddrähte im Chip.

Bei Entladungen an einem Steckerkontakt einer Festplatte mit einer Spannung < 1 kV, also unterhalb der menschlichen Wahrnehmung, ist es wahrscheinlich, dass die Spannung während der Ableitvorgänge die an einen am Kontakt angeschlossenen Eingangstransistor anliegt, diesen beschädigt oder zerstört.

Schutzmassnahmen für den Umgang mit IT-forensischen Asservaten

Um die beschriebenen Schäden zu vermeiden, sollten die in der DIN EN 61340-5-1 beschriebenen Vorgehensweisen eingehalten werden. Diese umfassen bei der Arbeit mit Bauelementen, die gegen ESD empfindlich sind (ESDS), die Einrichtung von ESD-Arbeitsplätzen oder ESD-Zonen. Ferner die Schulung der Mitarbeiter und den Aufbau eines ESD-Kontrollprogramms, sowie die Nutzung geeigneter Verpackungsmaterialien.

Am Tatort

Die Einrichtung eines ESD-Arbeitsbereichs ist an einem „Tatort“ praktisch nicht möglich. Ein Forensiker sollte daher bei der Sicherstellung der Beweisstücke darauf achten möglichst komplette Geräte sicherzustellen. Grundsätzlich müssen bei der Arbeit an digitalen Beweisstücken (Hardware) mindestens ein ESD-Armband und ESD-Schuhe getragen werden. Es sollte Bekleidung mit einem Oberflächenwiderstand < 109 Ω getragen werden z.B. als Overall.

Bei ESD-Armbändern ist ein Erdungswiderstand zw. 1 MΩ und 35 MΩ einzuhalten um die elektrostatische Aufladung abzuleiten aber auch Fehlerströme ausreichend zu begrenzen.

Wenn Datenträger ausgebaut werden müssen, dann wird als erstes ein Potenzialausgleich mit dem Gerät hergestellt. Der einfachste Weg ist es das Erdungskabel des ESD-Armbands mit dem Gehäuse zu verbinden z.B. mit einer Krokodilklemme. Da es nicht auszuschließen ist, dass ein Täter sein PC-Gehäuse auf die Netzphase gelegt hat, um eine sehr „persönliche“ Form von Anti-Forensik durchzuführen sollte zu Sicherheit dass Gehäuse zuvor geprüft werden. Der hohe Erdungswiderstand verhindert eine Gefährdung durch die elektrische Spannung. Nach dem Ausbau der Komponente muss diese sofort in einen ESDS-gerechte Beutel verpackt werden. Die Verpackung sollte abschirmend sein. „Pink Poly“ – Beutel oder Beutel aus leitfähiger Folie sind nur ableitend. Abschirmende Verpackungen sind zusätzlich metallisiert. ESDS geeignete Verpackungen sind gekennzeichnet.

Zum Transport sollten die Asservate in leitfähige Kunststoff-Boxen gelegt werden. Diese erleichtern das Handling, weil diese die Anforderungen an den ESD-Schutz erfüllen und somit in ESD-Bereichen eingesetzt werden dürfen.

Bei der Analyse

Die HW-seitige Analyse sollte mindestens an einem ESD-Arbeitsplatz durchgeführt werden, die Einrichtung eines ESD-Bereichs ist ratsam. Ein ESD-Arbeitsplatz besteht aus einem Tisch mit einer ableitenden Oberfläche, einem Anschluss für ESD-Armbänder und einem ableitenden Stuhl. Der Arbeitsplatz muss auf einem ableitenden Boden stehen. Alle Elemente werden sternförmig auf einem gemeinsamen Punkt geerdet. Die Mitarbeiter müssen an einem solchen Arbeitsplatz geeignete ESD-Kleidung, -Schuhe und -Armbänder tragen. Das verwendete Werkzeug muss ebenso ableitend sein. Verwendete Analysegeräte müssen für einen ESD-Schutz geerdet werden.

Da speziell ESD-Möbel und ESD-Bodenbeläge sehr teuer sind, ist es möglich auch „normale“ Tische und Böden mit Ableitmatten aufzuwerten. Wichtig ist außerdem, dass die Mitarbeiter (regelmäßig) für das Thema ESD und ESD-Schutz geschult und sensibilisiert werden.

Quellen

Berndt, Hartmut (2009): ESD-Schutz, Prof. Dr.-Ing. Dr. h.c. Wilfried J. Barz (Hrsg.) et. Al., 2. Auflage, Renningen: expert verlag https://de.wikipedia.org/wiki/Elektrostatische_Entladung https://de.wikipedia.org/wiki/Complementary_metal-oxide-semiconductor https://shop.esd-protect.de/