Locard'sche Regel: Unterschied zwischen den Versionen

Aus IT-Forensik Wiki
(Die Seite wurde neu angelegt: „== Die Locard‘sche Regel== oder auch das '''Locard‘sche Prinzip''' oder das '''Locard‘sche Austauschprinzip''' Dr. Edmond Locard wurde am 13. Dezember 1…“)
 
(interne Links hinzugefügt)
 
(Eine dazwischenliegende Version desselben Benutzers wird nicht angezeigt)
Zeile 2: Zeile 2:
oder auch das '''Locard‘sche Prinzip''' oder das '''Locard‘sche Austauschprinzip'''
oder auch das '''Locard‘sche Prinzip''' oder das '''Locard‘sche Austauschprinzip'''


Dr. Edmond Locard wurde am 13. Dezember 1877 in Saint-Chamond geboren und starb am 4. April 1966 in Lyon. Als Direktor des Polizeilabors in Lyon formulierte Locard um das Jahr 1910 herum einen für die damalige Zeit ungewöhnlichen Ansatz, der ihn zu einem der Mitbegründer der Forensik machte<ref>https://de.wikipedia.org/wiki/Edmond_Locard (Stand 06.2019)</ref>:
Dr. Edmond Locard wurde am 13. Dezember 1877 in Saint-Chamond geboren und starb am 4. April 1966 in Lyon. Als Direktor des Polizeilabors in Lyon formulierte Locard um das Jahr 1910 herum einen für die damalige Zeit ungewöhnlichen Ansatz, der ihn zu einem der Mitbegründer der [[IT-Forensik|Forensik]] machte<ref>https://de.wikipedia.org/wiki/Edmond_Locard (Stand 06.2019)</ref>:


''„Überall dort, wo er geht, was er berührt, was er hinterlässt, auch unbewusst, all das dient als stummer Zeuge gegen ihn. Nicht nur seine Fingerabdrücke oder seine Fußabdrücke, auch seine Haare, die Fasern aus seiner Kleidung, das Glas, das er bricht, die Abdrücke der Werkzeuge, die er hinterlässt, die Kratzer, die er in die Farbe macht, das Blut oder Sperma, das er hinterlässt oder an sich trägt. All dies und mehr sind stumme Zeugen gegen ihn. Dies ist der Beweis, der niemals vergisst. Er ist nicht verwirrt durch die Spannung des Augenblicks. Er ist nicht unkonzentriert, wie es die menschlichen Zeugen sind. Er ist ein sachlicher Beweis. Physikalische Beweismittel können nicht falsch sein, sie können sich selbst nicht verstellen, sie können nicht vollständig verschwinden. Nur menschliches Versagen diese zu finden, zu studieren und zu verstehen kann ihren Wert zunichte machen.“''<ref>Locard, Edmond, Die Kriminaluntersuchung und ihre wissenschaftlichen Methoden, Berlin, 1930 übernommen aus https://de.wikipedia.org/wiki/Locard%E2%80%99sche_Regel (Stand 06.2019)</ref>
''„Überall dort, wo er geht, was er berührt, was er hinterlässt, auch unbewusst, all das dient als stummer Zeuge gegen ihn. Nicht nur seine Fingerabdrücke oder seine Fußabdrücke, auch seine Haare, die Fasern aus seiner Kleidung, das Glas, das er bricht, die Abdrücke der Werkzeuge, die er hinterlässt, die Kratzer, die er in die Farbe macht, das Blut oder Sperma, das er hinterlässt oder an sich trägt. All dies und mehr sind stumme Zeugen gegen ihn. Dies ist der Beweis, der niemals vergisst. Er ist nicht verwirrt durch die Spannung des Augenblicks. Er ist nicht unkonzentriert, wie es die menschlichen Zeugen sind. Er ist ein sachlicher Beweis. Physikalische Beweismittel können nicht falsch sein, sie können sich selbst nicht verstellen, sie können nicht vollständig verschwinden. Nur menschliches Versagen diese zu finden, zu studieren und zu verstehen kann ihren Wert zunichte machen.“''<ref>Locard, Edmond, Die Kriminaluntersuchung und ihre wissenschaftlichen Methoden, Berlin, 1930 übernommen aus https://de.wikipedia.org/wiki/Locard%E2%80%99sche_Regel (Stand 06.2019)</ref>
Zeile 8: Zeile 8:
Kurzum: Jeder Akteur an einem Tatort hinterlässt Spuren an ebendiesem Tatort und bei sich selbst.
Kurzum: Jeder Akteur an einem Tatort hinterlässt Spuren an ebendiesem Tatort und bei sich selbst.


Analog zu Straftaten im realen Leben hinterlässt auch eine rein digital durchgeführte Straftat Spuren am Tatort bzw. Hilfstatort, da jedes komplexere IT System bei der Verarbeitung von Daten digitale Spuren erzeugt.  
Analog zu Straftaten im realen Leben hinterlässt auch eine rein digital durchgeführte Straftat Spuren am [[Tatort|Tatort]] bzw. [[Tatort#Hilfstatort|Hilfstatort]], da jedes komplexere IT System bei der Verarbeitung von Daten digitale Spuren erzeugt.  
Verschafft sich ein Angreifer beispielsweise über ein Netzwerk Zugriff auf den Rechner eines Opfers, da er keinen direkten physischen Zugriff hat, so erzeugt dies unvermeidlich Spuren, die im Nachhinein praktisch nicht vollständig zu beseitigen sind. Dies beginnt bereits mit Metadaten, die im Moment des Verbindungsaufbaus beim Internetanbieter oder auf lokalen Netzwerkkomponenten gespeichert werden. Aber auch lokale Aktivitäten auf dem Rechner des Opfers wie das Manipulieren von Dateien erzeugen Spuren im System. Dies können zum Beispiel Einträge in System- oder Applikations-Logs sein. Auch gelöschte Daten können bei der forensischen Analyse mittels spezieller Software wiederhergestellt werden.
Verschafft sich ein Angreifer beispielsweise über ein Netzwerk Zugriff auf den Rechner eines Opfers, da er keinen direkten physischen Zugriff hat, so erzeugt dies unvermeidlich Spuren, die im Nachhinein praktisch nicht vollständig zu beseitigen sind. Dies beginnt bereits mit [[Metadaten|Metadaten]], die im Moment des Verbindungsaufbaus beim Internetanbieter oder auf lokalen Netzwerkkomponenten gespeichert werden. Aber auch lokale Aktivitäten auf dem Rechner des Opfers wie das Manipulieren von Dateien erzeugen Spuren im System. Dies können zum Beispiel Einträge in System- oder Applikations-[[Log-File|Logs]] sein. Auch gelöschte Daten können bei der forensischen Analyse mittels spezieller Software wiederhergestellt werden (z.B. durch [[File_Carving]] ).


Die Locard’sche Regel kann daher auch für den Bereich der Computerkriminalität als „''digitales Austauschprinzip''“  angewendet werden.<ref>Labudde, Michael Spranger, Forensik in der digitalen Welt, Springer Spektrum 2017</ref><ref>https://www.hwzdigital.ch/digitale-forensik-keine-tat-ohne-spuren/ (Stand 06.2019)</ref>
Die Locard’sche Regel kann daher auch für den Bereich der Computerkriminalität als „''digitales Austauschprinzip''“  angewendet werden.<ref>Labudde, Michael Spranger, Forensik in der digitalen Welt, Springer Spektrum 2017</ref><ref>https://www.hwzdigital.ch/digitale-forensik-keine-tat-ohne-spuren/ (Stand 06.2019)</ref>


<gallery>
<gallery>
[[Datei:Locardsches Prinzip.png|gerahmt|Locard]]
Locardsches_Prinzip.png|1024px|Das Locard'sche Prinzip
</gallery>
</gallery>

Aktuelle Version vom 2. August 2019, 21:12 Uhr

Die Locard‘sche Regel

oder auch das Locard‘sche Prinzip oder das Locard‘sche Austauschprinzip

Dr. Edmond Locard wurde am 13. Dezember 1877 in Saint-Chamond geboren und starb am 4. April 1966 in Lyon. Als Direktor des Polizeilabors in Lyon formulierte Locard um das Jahr 1910 herum einen für die damalige Zeit ungewöhnlichen Ansatz, der ihn zu einem der Mitbegründer der Forensik machte[1]:

„Überall dort, wo er geht, was er berührt, was er hinterlässt, auch unbewusst, all das dient als stummer Zeuge gegen ihn. Nicht nur seine Fingerabdrücke oder seine Fußabdrücke, auch seine Haare, die Fasern aus seiner Kleidung, das Glas, das er bricht, die Abdrücke der Werkzeuge, die er hinterlässt, die Kratzer, die er in die Farbe macht, das Blut oder Sperma, das er hinterlässt oder an sich trägt. All dies und mehr sind stumme Zeugen gegen ihn. Dies ist der Beweis, der niemals vergisst. Er ist nicht verwirrt durch die Spannung des Augenblicks. Er ist nicht unkonzentriert, wie es die menschlichen Zeugen sind. Er ist ein sachlicher Beweis. Physikalische Beweismittel können nicht falsch sein, sie können sich selbst nicht verstellen, sie können nicht vollständig verschwinden. Nur menschliches Versagen diese zu finden, zu studieren und zu verstehen kann ihren Wert zunichte machen.“[2]

Kurzum: Jeder Akteur an einem Tatort hinterlässt Spuren an ebendiesem Tatort und bei sich selbst.

Analog zu Straftaten im realen Leben hinterlässt auch eine rein digital durchgeführte Straftat Spuren am Tatort bzw. Hilfstatort, da jedes komplexere IT System bei der Verarbeitung von Daten digitale Spuren erzeugt. Verschafft sich ein Angreifer beispielsweise über ein Netzwerk Zugriff auf den Rechner eines Opfers, da er keinen direkten physischen Zugriff hat, so erzeugt dies unvermeidlich Spuren, die im Nachhinein praktisch nicht vollständig zu beseitigen sind. Dies beginnt bereits mit Metadaten, die im Moment des Verbindungsaufbaus beim Internetanbieter oder auf lokalen Netzwerkkomponenten gespeichert werden. Aber auch lokale Aktivitäten auf dem Rechner des Opfers wie das Manipulieren von Dateien erzeugen Spuren im System. Dies können zum Beispiel Einträge in System- oder Applikations-Logs sein. Auch gelöschte Daten können bei der forensischen Analyse mittels spezieller Software wiederhergestellt werden (z.B. durch File_Carving ).

Die Locard’sche Regel kann daher auch für den Bereich der Computerkriminalität als „digitales Austauschprinzip“ angewendet werden.[3][4]

  1. https://de.wikipedia.org/wiki/Edmond_Locard (Stand 06.2019)
  2. Locard, Edmond, Die Kriminaluntersuchung und ihre wissenschaftlichen Methoden, Berlin, 1930 übernommen aus https://de.wikipedia.org/wiki/Locard%E2%80%99sche_Regel (Stand 06.2019)
  3. Labudde, Michael Spranger, Forensik in der digitalen Welt, Springer Spektrum 2017
  4. https://www.hwzdigital.ch/digitale-forensik-keine-tat-ohne-spuren/ (Stand 06.2019)