Electrostatic Discharge
Entstehung
Elektrostatische Entladungen (ESD) treten in vielen Alltagssituationen auf. Es handelt sich um Entladungsvorgängen aufgrund von Potenzialdifferenzen in Folge elektrostatischer Aufladung. Diese Aufladung entsteht durch Triboelektrizität (Aufladung durch Reibung) oder durch Influenz, also der Aufladung eines Körpers durch Exposition in einem elektrischen Feld. Die erreichbaren Potenziale können dabei Werte im Bereich von bis zu 15 kV betragen.
| Handlung oder Ladungsquelle | elektrostatische Aufladung U in kV |
|---|---|
| Person geht über PVC - Fußbodenbelag | 0,5 – 9 |
| Person geht über synthetischen Teppich | 10 – 15 |
| PE-Tasche gerieben und auf Kunststoffarbeitsfläche gelegt | 0,3 – 7 |
| Bestückte Leiterplatte in Kunststofftragetasche gelegt | 0,1 – 0,8 |
| Person hebt PVC-Tasche von einer Werkbank | 0,1 – 3 |
Elektrostatische Spannnungen bei unterschiedlichen Handlungen vgl. Berndt (2009): ESD-Schutz S. 85
Die Endladungsvorgänge können durch direktes Berühren als Kontaktentladung oder durch die Luft als Blitz oder Koronaentladung auftreten. Die Form der Entladung, der zeitliche Verlauf sowie die Stromstärke hängt hauptsächlich von den Faktoren Temperatur, Luftfeuchtigkeit, el. Kapazität der Körper, und Übergangswiderstand ab. Es werden in der DIN EN 61340-3 drei Modelle zur Darstellung der Vorgänge definiert, das HUMAN BODY MODEL (HBM), das CARGED DEVICE MODEL (CDM) und das MACHINE MODEL (MM). Diese Modelle dienen zur Auslegung von Referenzmessungen und Testaufbauten. Da für den Umgang mit IT-forensischen Asservaten der menschliche Körper die Endladungsquelle darstellt wird für die Betrachtungen das HBM angewendet.
Wirkung auf elektronische Bauelemente
ESD sind in der Lage elektronische Bauelement zu beschädigen oder zu zerstören. Geräte, z.B. Computer, Smartphones, Laptops und externe Festplatten, werden durch ESD-Schutzbeschaltungen an den Kontakten und Gehäuseerdungen geschützt. Bei der Handhabung von Einzelkomponenten kann dieser Schutz nicht mehr vorausgesetzt werden. So ist z.B. beim Ausbau einer Festplatte die Platine direkt zugänglich. Ein Schaden durch eine Entladung an einer beliebigen Stelle, speziell nachdem der Stecker der Spannungsversorgung abgezogen wurde, ist wahrscheinlich.
Festplatte mit offener Platine ©Carsten Haubenschild 2023
Praktisch jedes elektronische Bauelement kann durch ein ESD beschädigt werden. Exemplarisch wird dies an einem Transistor in CMOS-Technologie, die am häufigsten eingesetzte Technologie für Logikbausteine, erläutert. Durch den Entladungsvorgang liegt am Gate des Transistors eine hohe Spannung an. Überschreitet diese die Gate-Durchbruchsspannung wird die Metalloxid - Isolationsschicht durchgebrannt, sodass ein leitfähiger Kanal entsteht und dieser einen Kurzschluss im Gate hervorruft. Dieser Fehlermodus wird als dielektrischer Durchbruch bezeichnete und zerstört den Transistor. Ein weiterer möglicher Fehlermodus ist das An- oder Aufschmelzen der Metallisierung oder der Bonddrähte im Chip.
ESD – Schaden im Silizium Quelle: (Berndt, Hartmut (2009): ESD-Schutz S.19)
Quelle: Fraunhofer-Institut für Siliziumtechnologie ISIT https://www.isit.fraunhofer.de/de/alle-veranstaltungen/messe/nortec2020.html
Bei Entladungen an einem Steckerkontakt einer Festplatte mit einer Spannung < 1 kV, also unterhalb der menschlichen Wahrnehmung, ist es wahrscheinlich, dass die Spannung während der Ableitvorgänge die an einen am Kontakt angeschlossenen Eingangstransistor anliegt, diesen beschädigt oder zerstört.
Schutzmassnahmen für den Umgang mit IT-forensischen Asservaten
Um die beschriebenen Schäden zu vermeiden, sollten die in der DIN EN 61340-5-1 beschriebenen Vorgehensweisen eingehalten werden. Diese umfassen bei der Arbeit mit Bauelementen, die gegen ESD empfindlich sind (ESDS), die Einrichtung von ESD-Arbeitsplätzen oder ESD-Zonen. Ferner die Schulung der Mitarbeiter und den Aufbau eines ESD-Kontrollprogramms, sowie die Nutzung geeigneter Verpackungsmaterialien.
Am Tatort
Die Einrichtung eines ESD-Arbeitsbereichs ist an einem „Tatort“ praktisch nicht möglich. Ein Forensiker sollte daher bei der Sicherstellung der Beweisstücke darauf achten möglichst komplette Geräte sicherzustellen. Grundsätzlich müssen bei der Arbeit an digitalen Beweisstücken (Hardware) mindestens ein ESD-Armband und ESD-Schuhe getragen werden. Es sollte Bekleidung mit einem Oberflächenwiderstand < 109 Ω getragen werden z.B. als Overall.
ESD-Kleidung Quelle: ESD-PROTECT GmbH https://shop.esd-protect.de/
Bei ESD-Armbändern ist ein Erdungswiderstand zw. 1 MΩ und 35 MΩ einzuhalten um die elektrostatische Aufladung abzuleiten aber auch Fehlerströme ausreichend zu begrenzen.
ESD-Armband Quelle: ESD-PROTECT GmbH https://shop.esd-protect.de/
Wenn Datenträger ausgebaut werden müssen, dann wird als erstes ein Potenzialausgleich mit dem Gerät hergestellt. Der einfachste Weg ist es das Erdungskabel des ESD-Armbands mit dem Gehäuse zu verbinden z.B. mit einer Krokodilklemme. Da es nicht auszuschließen ist, dass ein Täter sein PC-Gehäuse auf die Netzphase gelegt hat, um eine sehr „persönliche“ Form von Anti-Forensik durchzuführen sollte zu Sicherheit dass Gehäuse zuvor mit einem geeigneten Spannungsmessgerät geprüft werden. Nach dem Ausbau der Komponente muss diese sofort in einen ESDS-gerechte Beutel verpackt werden. Die Verpackung sollte abschirmend sein. „Pink Poly“ – Beutel oder Beutel aus leitfähiger Folie sind nur ableitend. Abschirmende Verpackungen sind zusätzlich metallisiert. ESDS geeignete Verpackungen sind gekennzeichnet.
ESDS-Verpackung Quelle: ESD-PROTECT GmbH https://shop.esd-protect.de/
Zum Transport sollten die Asservate in leitfähige Kunststoff-Boxen gelegt werden. Diese erleichtern das Handling, weil diese die Anforderungen an den ESD-Schutz erfüllen und somit in ESD-Bereichen eingesetzt werden dürfen.
ESD Behälter und Transportwagen Quelle: ESD-PROTECT GmbH https://shop.esd-protect.de/
Bei der Analyse
Die HW-seitige Analyse sollte mindestens an einem ESD-Arbeitsplatz durchgeführt werden, die Einrichtung eines ESD-Bereichs ist ratsam. Ein ESD-Arbeitsplatz besteht aus einem Tisch mit einer ableitenden Oberfläche, einem Anschluss für ESD-Armbänder und einem ableitenden Stuhl. Der Arbeitsplatz muss auf einem ableitenden Boden stehen. Alle Elemente werden sternförmig auf einem gemeinsamen Punkt geerdet. Die Mitarbeiter müssen an einem solchen Arbeitsplatz geeignete ESD-Kleidung, -Schuhe und -Armbänder tragen. Das verwendete Werkzeug muss ebenso ableitend sein. Verwendete Analysegeräte müssen für einen ESD-Schutz geerdet werden.
ESD Arbeitsplatzsystem Quelle: ESD-PROTECT GmbH https://shop.esd-protect.de/
Da speziell ESD-Möbel und ESD-Bodenbeläge sehr teuer sind, ist es möglich auch „normale“ Tische und Böden mit Ableitmatten aufzuwerten. Wichtig ist außerdem, dass die Mitarbeiter (regelmäßig) für das Thema ESD und ESD-Schutz geschult und sensibilisiert werden.
Quellen
Berndt, Hartmut (2009): ESD-Schutz, Prof. Dr.-Ing. Dr. h.c. Wilfried J. Barz (Hrsg.) et. Al., 2. Auflage, Renningen: expert verlag https://de.wikipedia.org/wiki/Elektrostatische_Entladung https://de.wikipedia.org/wiki/Complementary_metal-oxide-semiconductor https://shop.esd-protect.de/
