Im Kern der Ausführungen stand EnCase, eines der aktuell meist verwendeten polizeilichen Programme zur digitalen Beweissicherung. Die Experten nahmen das Programm unter die Lupe und deckten eine Reihe von Fehlern auf. Durch diese sei es möglich, Files auf Datenträgern zu verstecken, hieß es in ihrem Vortrag. "Forensische Programme sind Tools, die zuerst eine 1:1-Spiegelung des Datenträgers anfertigen. Dabei werden alle Daten gesichert, auch gelöschte Files und Fragmente", erklärt Reinhold Kern, Abteilungsleiter Forensik beim Datenrettungsspezialisten Kroll Ontrack, im Gespräch mit pressetext. Die Untersuchung der klar vorliegenden Dateien ist dabei keine Herausforderung. Viel wichtiger ist die Interpretation der Daten, die nur mehr in Bruchstücken vorliegen. "Diese Interpretation ist in der Forensik das Essenzielle. Das ist die Expertenaufgabe", streicht Kern hervor.

Die US-Experten berichten von manuell veränderten Master Boot Records unter Linux. Damit kann man durch einen eingefügten Directory Loop alle folgenden Daten für EnCase unsichtbar machen. Zum Absturz bringen Hacker EnCase durch leere Verzeichnisbäume mit tausend Unterverzeichnissen. Zudem sei das Programm überfordert, sobald sich mehr als 25 Partitionen auf dem Datenträger befinden. Ab der 26. Partition erkenne EnCase die Daten nicht mehr, so die Vortragenden.

"Keine Software ist zu 100 Prozent perfekt", meint Kern. Ausnahmen gäbe es sicher und durch den ein oder anderen Fehler könne die Forensiksoftware natürlich überlistet werden. "Deshalb besitzt ein Forensikexperte auch einen Paket von Werkzeugen und Tools, mit denen die Daten durchsucht werden. Liegen keine eindeutigen Beweise vor, so setzen wir verschiedene Programme ein, um unsere Ergebnisse zu prüfen. Es ist ein Risiko, sich auf ein Programm allein zu verlassen", sagt Kern. Zudem werden die Untersuchungen exakt protokolliert, um die Ergebnisse nachvollziehbar zu machen. (pte)