Botschaften aus dem All
Weil Kriminelle auch am Rechner versuchen, ihre Spuren zu verwischen, beruht Computerforensik auf professioneller Datenrettung. Hier erreichen die Experten sowohl anhand spektakulärer Einzelfälle wie auch durch solide Grundlagenforschung wichtige Erkenntnisse. Die Hürden für eine endgültige Vernichtung von Daten werden höher. Papier ist schnell verbrannt und verkohlt. Fingerabdrücke können weggewischt werden. Daten sind aber immer noch in Form positiver oder negativer Polung oder Ladung der kleinsten Einheiten einer Platte, der Sektoren, als digitale Nullen oder Einsen dargestellt. Eine magnetische Polung einer Festplatte ist sehr stabil. Ein Magnetfeld von etwa 11 700 Gauss - das Magnetfeld eines Sonnenflecks beträgt gerade mal 2500 bis 3000 Gauss - oder Temperaturen über 700 Grad Celsius sind nötig, um eine magnetische Polung vollständig und sicher zu beseitigen.
Die Experten von Kroll Ontrack konnten sogar Daten auf einer Festplatte der im Januar 2003 verunglückten Columbia-Raumfähre retten. Bei Eintritt in die Atmosphäre waren das Gehäuse und die einzelnen Platten am Ende, und der Controller sowie alle elektronischen Teile zerschmolzen. Aber die Datensektoren hatten überlebt.
Modernes Enigma
Im logischen Bereich erinnert die Tätigkeit der Forensiker an die der Entschlüsselungskünstler früherer Tage. Gefragt ist hier nicht der Physiker oder Feinmechaniker, sondern der analytisch begabte Dechiffrierer von Dateiorganisationen. Aus reinem Hexadezimalcode das zugrunde liegende Strickmuster zu erkennen setzt dieselbe stringente und automatisierte Logik voraus wie bei der Entschlüsselung der deutschen Enigma-Funksprüche durch Alan Turing und seine Kollegen im Zweiten Weltkrieg.
Forensiker müssen bei aktuellen Technologien, wie zurzeit zum Beispiel Flash, die Rätsel lösen, die ihnen die Dateistruktur eines neuen Speichermediums bietet. Die Kenntnis solcher Inhaltsverzeichnisse ist auch für die Forensik zentral. Wer weiß, wie ein Medium im Normalfall aufgebaut ist, kann zur Not auch ohne Verzeichnisstrukur nach gelöschten Daten oder Verzeichnissen von Log-Dateien suchen. Die Strukturen elektromagnetischer Festplatten und Bänder sind dabei relativ aufgeräumt. Dateisysteme wie FAT oder NTFS sind gut dokumentiert. Schillernd sind aber schon Linux-Systeme, die häufig in externen Festplatten zum Einsatz kommen. Wenn ein Open-Source-Entwickler beispielsweise das EXT3 individuell leicht verändert, ist ein Datendetektiv schnell auf der falschen Spur. Terra Incognita und Forschungsschwerpunkt sind zurzeit die neuen Flash-Medien. Die handlichen und daher für eine Industriespionage prädestinierten USB-Sticks und Thumb Drives verfügen über unterschiedliche Datensysteme, die undokumentiert sind und es auch bleiben werden.
Außerdem ist die Organisation der Speicherbereiche bei Flash besonders "sprunghaft", weil die Ladung und Entladung die einzelnen Sektoren physikalisch stärker in Anspruch nimmt als die Polung bei magnetischen Medien. Deswegen sprechen die Controller von Flash-Medien möglichst viele verschiedene Sektoren an. Computerforensiker und Datenretter müssen hier gemeinsam im Reverse Engineering versuchen, die Controller nachzubauen. So entwickeln sie mit der Zeit standardisierte Tools für die verschiedenen neuen Dateisysteme. Automatische Tools, hinter deren Entwicklung jahrelanges Know-how und Erfahrung stecken, machen dann auch forensische Ermittlungen erschwinglich.