Locard'sche Regel

Aus IT-Forensik Wiki
Version vom 2. August 2019, 22:12 Uhr von St181283 (Diskussion | Beiträge) (interne Links hinzugefügt)
(Unterschied) ← Nächstältere Version | Aktuelle Version (Unterschied) | Nächstjüngere Version → (Unterschied)

Die Locard‘sche Regel

oder auch das Locard‘sche Prinzip oder das Locard‘sche Austauschprinzip

Dr. Edmond Locard wurde am 13. Dezember 1877 in Saint-Chamond geboren und starb am 4. April 1966 in Lyon. Als Direktor des Polizeilabors in Lyon formulierte Locard um das Jahr 1910 herum einen für die damalige Zeit ungewöhnlichen Ansatz, der ihn zu einem der Mitbegründer der Forensik machte[1]:

„Überall dort, wo er geht, was er berührt, was er hinterlässt, auch unbewusst, all das dient als stummer Zeuge gegen ihn. Nicht nur seine Fingerabdrücke oder seine Fußabdrücke, auch seine Haare, die Fasern aus seiner Kleidung, das Glas, das er bricht, die Abdrücke der Werkzeuge, die er hinterlässt, die Kratzer, die er in die Farbe macht, das Blut oder Sperma, das er hinterlässt oder an sich trägt. All dies und mehr sind stumme Zeugen gegen ihn. Dies ist der Beweis, der niemals vergisst. Er ist nicht verwirrt durch die Spannung des Augenblicks. Er ist nicht unkonzentriert, wie es die menschlichen Zeugen sind. Er ist ein sachlicher Beweis. Physikalische Beweismittel können nicht falsch sein, sie können sich selbst nicht verstellen, sie können nicht vollständig verschwinden. Nur menschliches Versagen diese zu finden, zu studieren und zu verstehen kann ihren Wert zunichte machen.“[2]

Kurzum: Jeder Akteur an einem Tatort hinterlässt Spuren an ebendiesem Tatort und bei sich selbst.

Analog zu Straftaten im realen Leben hinterlässt auch eine rein digital durchgeführte Straftat Spuren am Tatort bzw. Hilfstatort, da jedes komplexere IT System bei der Verarbeitung von Daten digitale Spuren erzeugt. Verschafft sich ein Angreifer beispielsweise über ein Netzwerk Zugriff auf den Rechner eines Opfers, da er keinen direkten physischen Zugriff hat, so erzeugt dies unvermeidlich Spuren, die im Nachhinein praktisch nicht vollständig zu beseitigen sind. Dies beginnt bereits mit Metadaten, die im Moment des Verbindungsaufbaus beim Internetanbieter oder auf lokalen Netzwerkkomponenten gespeichert werden. Aber auch lokale Aktivitäten auf dem Rechner des Opfers wie das Manipulieren von Dateien erzeugen Spuren im System. Dies können zum Beispiel Einträge in System- oder Applikations-Logs sein. Auch gelöschte Daten können bei der forensischen Analyse mittels spezieller Software wiederhergestellt werden (z.B. durch File_Carving ).

Die Locard’sche Regel kann daher auch für den Bereich der Computerkriminalität als „digitales Austauschprinzip“ angewendet werden.[3][4]

  • Das Locard'sche Prinzip

    Das Locard'sche Prinzip

  1. https://de.wikipedia.org/wiki/Edmond_Locard (Stand 06.2019)
  2. Locard, Edmond, Die Kriminaluntersuchung und ihre wissenschaftlichen Methoden, Berlin, 1930 übernommen aus https://de.wikipedia.org/wiki/Locard%E2%80%99sche_Regel (Stand 06.2019)
  3. Labudde, Michael Spranger, Forensik in der digitalen Welt, Springer Spektrum 2017
  4. https://www.hwzdigital.ch/digitale-forensik-keine-tat-ohne-spuren/ (Stand 06.2019)
Abgerufen von „http://it-forensik.fiw.hs-wismar.de/index.php?title=Locard%27sche_Regel&oldid=726