möglichkeiten und grenzen der digitalen forensikmöglichkeiten+grenzen... · 2015-04-11 ·...
TRANSCRIPT
![Page 1: Möglichkeiten und Grenzen der digitalen ForensikMöglichkeiten+Grenzen... · 2015-04-11 · digitalen Forensik Kriminalistisches Institut, Wintersemester 2015 . Möglichkeiten und](https://reader033.vdokument.com/reader033/viewer/2022041708/5e46392c89d0fc2102759a1e/html5/thumbnails/1.jpg)
Forensisches Institut ZürichEine Organisation der Kantonspolizei und Stadtpolizei Zürich
Ra Mai 10
Jörg Arnold dipl. phys. ETHZ
Fachbereichsleiter Unfälle/Technik
Andreas Leu, Automobil-Ing. FH
Experte Unfallanalytik
Forensisches Institut ZürichEine Organisation der Kantonspolizei und Stadtpolizei Zürich
Möglichkeiten und Grenzen der digitalen Forensik Kriminalistisches Institut, Wintersemester 2015
![Page 2: Möglichkeiten und Grenzen der digitalen ForensikMöglichkeiten+Grenzen... · 2015-04-11 · digitalen Forensik Kriminalistisches Institut, Wintersemester 2015 . Möglichkeiten und](https://reader033.vdokument.com/reader033/viewer/2022041708/5e46392c89d0fc2102759a1e/html5/thumbnails/2.jpg)
Möglichkeiten und Grenzen der digitalen Forensik Kriminalistisches Institut, Wintersemester 2015
Zeit/Ort: Dienstag, 20. Januar 2015, Freitag, 23. Januar 2015,
Theatersaal, Universität Irchel Referent: Steffen Görlich, MSc Computer Forensics, DC TEU-ICT
![Page 3: Möglichkeiten und Grenzen der digitalen ForensikMöglichkeiten+Grenzen... · 2015-04-11 · digitalen Forensik Kriminalistisches Institut, Wintersemester 2015 . Möglichkeiten und](https://reader033.vdokument.com/reader033/viewer/2022041708/5e46392c89d0fc2102759a1e/html5/thumbnails/3.jpg)
Kanton Zürich Direktion der Justiz und des Innern Strafverfolgung Erwachsene
© SW2015
Möglichkeiten und Grenzen der digitalen Forensik Kriminalistisches Institut, Wintersemester 2015
Zeit/Ort: Dienstag, 20. Januar 2015, Freitag, 23. Januar 2015,
Theatersaal, Universität Irchel Referent: STA lic.iur. St. Walder, STA II, Abt. D
![Page 4: Möglichkeiten und Grenzen der digitalen ForensikMöglichkeiten+Grenzen... · 2015-04-11 · digitalen Forensik Kriminalistisches Institut, Wintersemester 2015 . Möglichkeiten und](https://reader033.vdokument.com/reader033/viewer/2022041708/5e46392c89d0fc2102759a1e/html5/thumbnails/4.jpg)
Steffen Görlich Möglichkeiten und Grenzen der Digitalen Forensik
NFC - Near Field Communication
![Page 5: Möglichkeiten und Grenzen der digitalen ForensikMöglichkeiten+Grenzen... · 2015-04-11 · digitalen Forensik Kriminalistisches Institut, Wintersemester 2015 . Möglichkeiten und](https://reader033.vdokument.com/reader033/viewer/2022041708/5e46392c89d0fc2102759a1e/html5/thumbnails/5.jpg)
Steffen Görlich Möglichkeiten und Grenzen der Digitalen Forensik
NFC - Near Field Communication
► App Banking Card Reader
![Page 6: Möglichkeiten und Grenzen der digitalen ForensikMöglichkeiten+Grenzen... · 2015-04-11 · digitalen Forensik Kriminalistisches Institut, Wintersemester 2015 . Möglichkeiten und](https://reader033.vdokument.com/reader033/viewer/2022041708/5e46392c89d0fc2102759a1e/html5/thumbnails/6.jpg)
Forensisches Institut ZürichEine Organisation der Kantonspolizei und Stadtpolizei Zürich
Ra Mai 10
Digitale Spuren Aufzeichnungen
• Digitale Spuren in Fahrzeugen
• Aufzeichnungsgeräte (DFS, RAG, UDS, TEL1000, Jupiter, …… VTS Art. 100 und Art. 102)
• Videoaufzeichnungen (SatSpeed, Semista, Tunnels, Gebäude, DashCams, z. B. 2014 Corvette C7, ……)
• EDR (EventDataRecorders) und CDR-Kit
• Seitenblick in die StPO
![Page 7: Möglichkeiten und Grenzen der digitalen ForensikMöglichkeiten+Grenzen... · 2015-04-11 · digitalen Forensik Kriminalistisches Institut, Wintersemester 2015 . Möglichkeiten und](https://reader033.vdokument.com/reader033/viewer/2022041708/5e46392c89d0fc2102759a1e/html5/thumbnails/7.jpg)
Forensisches Institut ZürichEine Organisation der Kantonspolizei und Stadtpolizei Zürich
Ra Mai 10
Digitale Spuren
Fahrzeuge
Personenwagen
Kollisionsdaten EDR
UDS/RAG/TEL1000 Crashrecorder
Fz-Identifikation VIN elektronisch
Steuergeräte
Schliesssysteme Schlüssel-Daten Transponder…
Navigationsgeräte externe interne
Lastwagen
Motorräder
PC's/Internet Mobile
Kommunikation
Server Laptops
Computer HDD's
Smartphones Apps
GPS-Daten
Steuerungen
Schliessysteme Brandmeldesysteme
Gebäudetechnik
Maschinensteuerungen Krananlagen
CNC-Maschinen Anlagensteuerungen
![Page 8: Möglichkeiten und Grenzen der digitalen ForensikMöglichkeiten+Grenzen... · 2015-04-11 · digitalen Forensik Kriminalistisches Institut, Wintersemester 2015 . Möglichkeiten und](https://reader033.vdokument.com/reader033/viewer/2022041708/5e46392c89d0fc2102759a1e/html5/thumbnails/8.jpg)
Forensisches Institut ZürichEine Organisation der Kantonspolizei und Stadtpolizei Zürich
Ra Mai 10
Datenspeicherung in Fahrzeugen
• Digitale Spuren in Steuergeräten
– Daten des Steuergerätes (VIN-Nummer, Seriennummer, Produktion etc. )
– Fehlercodes mit Umgebungsdaten
– Schlüssel und Schliessdaten
– Servicedaten
• Navigationsdaten
• etc., etc.
![Page 9: Möglichkeiten und Grenzen der digitalen ForensikMöglichkeiten+Grenzen... · 2015-04-11 · digitalen Forensik Kriminalistisches Institut, Wintersemester 2015 . Möglichkeiten und](https://reader033.vdokument.com/reader033/viewer/2022041708/5e46392c89d0fc2102759a1e/html5/thumbnails/9.jpg)
Forensisches Institut ZürichEine Organisation der Kantonspolizei und Stadtpolizei Zürich
Ra Mai 10
Steuergeräte / Spuren sichern
OBD II Schnittstelle
![Page 10: Möglichkeiten und Grenzen der digitalen ForensikMöglichkeiten+Grenzen... · 2015-04-11 · digitalen Forensik Kriminalistisches Institut, Wintersemester 2015 . Möglichkeiten und](https://reader033.vdokument.com/reader033/viewer/2022041708/5e46392c89d0fc2102759a1e/html5/thumbnails/10.jpg)
Forensisches Institut ZürichEine Organisation der Kantonspolizei und Stadtpolizei Zürich
Ra Mai 10
EDR-Daten in Pw's (NHTSA 49 CFR part 563)
• Ab 01.01.2013 USA/Kanada: Alle neuen und neu importierten Fahrzeuge (inkl. aus Asien und Europa), die über EDR verfügen, müssen diesem Gesetz entsprechen
• EDR: Event Data Recorder Baustein im ACM (Airbag Control Module) vorhanden Kostet ca. 2 $ Enthält vorkollisionäre Daten aus dem Airbag Modul nach einem "Crash" oder einem „Beinahe-Crash“
![Page 11: Möglichkeiten und Grenzen der digitalen ForensikMöglichkeiten+Grenzen... · 2015-04-11 · digitalen Forensik Kriminalistisches Institut, Wintersemester 2015 . Möglichkeiten und](https://reader033.vdokument.com/reader033/viewer/2022041708/5e46392c89d0fc2102759a1e/html5/thumbnails/11.jpg)
Forensisches Institut ZürichEine Organisation der Kantonspolizei und Stadtpolizei Zürich
Ra Mai 10
CDR-Kit (BOSCH Crash Data Retrival Kit)
Auslesen über OBDII Schnittstelle (intakte Fahrzeugelektrik)
Bei stark beschädigten Fahrzeugen kann das Steuergerät
direkt ausgelesen werden
![Page 12: Möglichkeiten und Grenzen der digitalen ForensikMöglichkeiten+Grenzen... · 2015-04-11 · digitalen Forensik Kriminalistisches Institut, Wintersemester 2015 . Möglichkeiten und](https://reader033.vdokument.com/reader033/viewer/2022041708/5e46392c89d0fc2102759a1e/html5/thumbnails/12.jpg)
Forensisches Institut ZürichEine Organisation der Kantonspolizei und Stadtpolizei Zürich
Ra Mai 10
Dashcams in Fahrzeugen
![Page 13: Möglichkeiten und Grenzen der digitalen ForensikMöglichkeiten+Grenzen... · 2015-04-11 · digitalen Forensik Kriminalistisches Institut, Wintersemester 2015 . Möglichkeiten und](https://reader033.vdokument.com/reader033/viewer/2022041708/5e46392c89d0fc2102759a1e/html5/thumbnails/13.jpg)
Forensisches Institut ZürichEine Organisation der Kantonspolizei und Stadtpolizei Zürich
Ra Mai 10
Spurensicherung ab dem Fahrzeug
• Nur gemeinsam mit dem Hersteller:
• Zeitfaktor: Man sollte sofort …….!!!
• Digitale Spuren in Steuergeräten – Daten des Steuergerätes (VIN-Nummer,
Seriennummer, Produktion etc. )
– Fehlercodes mit Umgebungsdaten?
– Schlüssel und Schliessdaten?
– Servicedaten
• Navigationsdaten ???
![Page 14: Möglichkeiten und Grenzen der digitalen ForensikMöglichkeiten+Grenzen... · 2015-04-11 · digitalen Forensik Kriminalistisches Institut, Wintersemester 2015 . Möglichkeiten und](https://reader033.vdokument.com/reader033/viewer/2022041708/5e46392c89d0fc2102759a1e/html5/thumbnails/14.jpg)
Forensisches Institut ZürichEine Organisation der Kantonspolizei und Stadtpolizei Zürich
Ra Mai 10
Interpretation der Spuren
• Basiert auf den mit dem Hersteller zusammen gesicherten digitalen Spuren!
• Digitale Spuren in Steuergeräten
– Daten des Steuergerätes: Verändert?
– Fehlercodes mit Umgebungsdaten: Kriterien?
– Schlüssel und Schliessdaten: Kriterien?
– Servicedaten: Verändert?
• Navigationsdaten ??? Zeitliche Zuordnung? Nur geplant oder gefahren?
![Page 15: Möglichkeiten und Grenzen der digitalen ForensikMöglichkeiten+Grenzen... · 2015-04-11 · digitalen Forensik Kriminalistisches Institut, Wintersemester 2015 . Möglichkeiten und](https://reader033.vdokument.com/reader033/viewer/2022041708/5e46392c89d0fc2102759a1e/html5/thumbnails/15.jpg)
Forensisches Institut ZürichEine Organisation der Kantonspolizei und Stadtpolizei Zürich
Ra Mai 10
Aktuelle Situation / Fälle?
• Wie sehen die Bedürfnisse von Polizei und Staatsanwaltschaft oder Gericht aus!
• Wer löst solche Fälle aktuell mit wem?
• Navigationsdaten ???
• Personelle Ressourcenplanung?
• Prozessuale Fragen: Sicherung Durchsuchung Auswertung …
![Page 16: Möglichkeiten und Grenzen der digitalen ForensikMöglichkeiten+Grenzen... · 2015-04-11 · digitalen Forensik Kriminalistisches Institut, Wintersemester 2015 . Möglichkeiten und](https://reader033.vdokument.com/reader033/viewer/2022041708/5e46392c89d0fc2102759a1e/html5/thumbnails/16.jpg)
Forensisches Institut ZürichEine Organisation der Kantonspolizei und Stadtpolizei Zürich
Ra Mai 10
Fallbeispiel: "Corvette Schwyz"
![Page 17: Möglichkeiten und Grenzen der digitalen ForensikMöglichkeiten+Grenzen... · 2015-04-11 · digitalen Forensik Kriminalistisches Institut, Wintersemester 2015 . Möglichkeiten und](https://reader033.vdokument.com/reader033/viewer/2022041708/5e46392c89d0fc2102759a1e/html5/thumbnails/17.jpg)
Forensisches Institut ZürichEine Organisation der Kantonspolizei und Stadtpolizei Zürich
Ra Mai 10
"Corvette Schwyz"
![Page 18: Möglichkeiten und Grenzen der digitalen ForensikMöglichkeiten+Grenzen... · 2015-04-11 · digitalen Forensik Kriminalistisches Institut, Wintersemester 2015 . Möglichkeiten und](https://reader033.vdokument.com/reader033/viewer/2022041708/5e46392c89d0fc2102759a1e/html5/thumbnails/18.jpg)
Forensisches Institut ZürichEine Organisation der Kantonspolizei und Stadtpolizei Zürich
Ra Mai 10
"Corvette Schwyz"
![Page 19: Möglichkeiten und Grenzen der digitalen ForensikMöglichkeiten+Grenzen... · 2015-04-11 · digitalen Forensik Kriminalistisches Institut, Wintersemester 2015 . Möglichkeiten und](https://reader033.vdokument.com/reader033/viewer/2022041708/5e46392c89d0fc2102759a1e/html5/thumbnails/19.jpg)
Forensisches Institut ZürichEine Organisation der Kantonspolizei und Stadtpolizei Zürich
Ra Mai 10
![Page 20: Möglichkeiten und Grenzen der digitalen ForensikMöglichkeiten+Grenzen... · 2015-04-11 · digitalen Forensik Kriminalistisches Institut, Wintersemester 2015 . Möglichkeiten und](https://reader033.vdokument.com/reader033/viewer/2022041708/5e46392c89d0fc2102759a1e/html5/thumbnails/20.jpg)
Forensisches Institut ZürichEine Organisation der Kantonspolizei und Stadtpolizei Zürich
Ra Mai 10
"Corvette Schwyz"
![Page 21: Möglichkeiten und Grenzen der digitalen ForensikMöglichkeiten+Grenzen... · 2015-04-11 · digitalen Forensik Kriminalistisches Institut, Wintersemester 2015 . Möglichkeiten und](https://reader033.vdokument.com/reader033/viewer/2022041708/5e46392c89d0fc2102759a1e/html5/thumbnails/21.jpg)
Forensisches Institut ZürichEine Organisation der Kantonspolizei und Stadtpolizei Zürich
Ra Mai 10
Verfügbare CDR Daten:
"Corvette Schwyz"
![Page 22: Möglichkeiten und Grenzen der digitalen ForensikMöglichkeiten+Grenzen... · 2015-04-11 · digitalen Forensik Kriminalistisches Institut, Wintersemester 2015 . Möglichkeiten und](https://reader033.vdokument.com/reader033/viewer/2022041708/5e46392c89d0fc2102759a1e/html5/thumbnails/22.jpg)
Forensisches Institut ZürichEine Organisation der Kantonspolizei und Stadtpolizei Zürich
Ra Mai 10
"Corvette Schwyz"
![Page 23: Möglichkeiten und Grenzen der digitalen ForensikMöglichkeiten+Grenzen... · 2015-04-11 · digitalen Forensik Kriminalistisches Institut, Wintersemester 2015 . Möglichkeiten und](https://reader033.vdokument.com/reader033/viewer/2022041708/5e46392c89d0fc2102759a1e/html5/thumbnails/23.jpg)
Steffen Görlich Möglichkeiten und Grenzen der Digitalen Forensik
JTAG - Navigationsgerät
► Mobile Navigationsgeräte
► Eingegebene Ziele
► Gefahrene Routen | Triplogs
► Datum und Uhrzeit
► Keine Schnittstelle
► Kein Massenspeicher
![Page 24: Möglichkeiten und Grenzen der digitalen ForensikMöglichkeiten+Grenzen... · 2015-04-11 · digitalen Forensik Kriminalistisches Institut, Wintersemester 2015 . Möglichkeiten und](https://reader033.vdokument.com/reader033/viewer/2022041708/5e46392c89d0fc2102759a1e/html5/thumbnails/24.jpg)
Steffen Görlich Möglichkeiten und Grenzen der Digitalen Forensik
JTAG - Navigationsgerät
![Page 25: Möglichkeiten und Grenzen der digitalen ForensikMöglichkeiten+Grenzen... · 2015-04-11 · digitalen Forensik Kriminalistisches Institut, Wintersemester 2015 . Möglichkeiten und](https://reader033.vdokument.com/reader033/viewer/2022041708/5e46392c89d0fc2102759a1e/html5/thumbnails/25.jpg)
Steffen Görlich Möglichkeiten und Grenzen der Digitalen Forensik
JTAG - Navigationsgerät
![Page 26: Möglichkeiten und Grenzen der digitalen ForensikMöglichkeiten+Grenzen... · 2015-04-11 · digitalen Forensik Kriminalistisches Institut, Wintersemester 2015 . Möglichkeiten und](https://reader033.vdokument.com/reader033/viewer/2022041708/5e46392c89d0fc2102759a1e/html5/thumbnails/26.jpg)
Steffen Görlich Möglichkeiten und Grenzen der Digitalen Forensik
JTAG - Navigationsgerät
![Page 27: Möglichkeiten und Grenzen der digitalen ForensikMöglichkeiten+Grenzen... · 2015-04-11 · digitalen Forensik Kriminalistisches Institut, Wintersemester 2015 . Möglichkeiten und](https://reader033.vdokument.com/reader033/viewer/2022041708/5e46392c89d0fc2102759a1e/html5/thumbnails/27.jpg)
Steffen Görlich Möglichkeiten und Grenzen der Digitalen Forensik
JTAG - Navigationsgerät
► Daten nicht interpretierbar
► proprietäres Datenformat
► teilweise verschlüsselt
► Unterstützung Hersteller
► kostenlos
► Rechtshilfeersuchen
![Page 28: Möglichkeiten und Grenzen der digitalen ForensikMöglichkeiten+Grenzen... · 2015-04-11 · digitalen Forensik Kriminalistisches Institut, Wintersemester 2015 . Möglichkeiten und](https://reader033.vdokument.com/reader033/viewer/2022041708/5e46392c89d0fc2102759a1e/html5/thumbnails/28.jpg)
Steffen Görlich Möglichkeiten und Grenzen der Digitalen Forensik
Digitale Spuren - Arten
![Page 29: Möglichkeiten und Grenzen der digitalen ForensikMöglichkeiten+Grenzen... · 2015-04-11 · digitalen Forensik Kriminalistisches Institut, Wintersemester 2015 . Möglichkeiten und](https://reader033.vdokument.com/reader033/viewer/2022041708/5e46392c89d0fc2102759a1e/html5/thumbnails/29.jpg)
Steffen Görlich Möglichkeiten und Grenzen der Digitalen Forensik
Digitale Spurenträger - Arten
![Page 30: Möglichkeiten und Grenzen der digitalen ForensikMöglichkeiten+Grenzen... · 2015-04-11 · digitalen Forensik Kriminalistisches Institut, Wintersemester 2015 . Möglichkeiten und](https://reader033.vdokument.com/reader033/viewer/2022041708/5e46392c89d0fc2102759a1e/html5/thumbnails/30.jpg)
Steffen Görlich Möglichkeiten und Grenzen der Digitalen Forensik
Digitale Datenträger - Arten
![Page 31: Möglichkeiten und Grenzen der digitalen ForensikMöglichkeiten+Grenzen... · 2015-04-11 · digitalen Forensik Kriminalistisches Institut, Wintersemester 2015 . Möglichkeiten und](https://reader033.vdokument.com/reader033/viewer/2022041708/5e46392c89d0fc2102759a1e/html5/thumbnails/31.jpg)
Steffen Görlich Möglichkeiten und Grenzen der Digitalen Forensik
Versteckte Datenträger
![Page 32: Möglichkeiten und Grenzen der digitalen ForensikMöglichkeiten+Grenzen... · 2015-04-11 · digitalen Forensik Kriminalistisches Institut, Wintersemester 2015 . Möglichkeiten und](https://reader033.vdokument.com/reader033/viewer/2022041708/5e46392c89d0fc2102759a1e/html5/thumbnails/32.jpg)
Steffen Görlich Möglichkeiten und Grenzen der Digitalen Forensik
RZ
Daten
Betreiber RZ Kunde Colocation Kunde Housing
Identifikation - Daten
![Page 33: Möglichkeiten und Grenzen der digitalen ForensikMöglichkeiten+Grenzen... · 2015-04-11 · digitalen Forensik Kriminalistisches Institut, Wintersemester 2015 . Möglichkeiten und](https://reader033.vdokument.com/reader033/viewer/2022041708/5e46392c89d0fc2102759a1e/html5/thumbnails/33.jpg)
Kanton Zürich Direktion der Justiz und des Innern Strafverfolgung Erwachsene
© SW
Malware
• Speicherort beim Hersteller
• Verbreitung über Internet
• Einsatz mittels Botnet
• Command- und Control-Server
Kommunikationsdaten (Mail/Messages/Voice)
• Inhaltsdaten und Randdaten
• Aufzeichnungen / Protokolle / Skripte
• Data in storage, Data in Traffic
• Datenspeicher / Cloud-Speicher
Geldfluss
• Währungsart (Konventionell oder Internetwährung)
• Kontodaten / Wallet-Data
• Kontoinhaber / Wallet-Owner
• Paper -Trail
Inhalt
Wer?
Wann?
Wo?
Was?
Wie?
Warum?
DIGITALE SPUREN
![Page 34: Möglichkeiten und Grenzen der digitalen ForensikMöglichkeiten+Grenzen... · 2015-04-11 · digitalen Forensik Kriminalistisches Institut, Wintersemester 2015 . Möglichkeiten und](https://reader033.vdokument.com/reader033/viewer/2022041708/5e46392c89d0fc2102759a1e/html5/thumbnails/34.jpg)
Kanton Zürich Direktion der Justiz und des Innern Strafverfolgung Erwachsene
© SW
Computer /
Smartphone
(Absender)
Router (Internet-
Anschluss)
Zugangsprovider
(Absender)
Mailserver
(Absender / Empfänger)
Zugangsprovider
(Empfänger)
Router (Internet-
Anschluss) Computer /
Smartphone
(Empfänger)
Durchsuchung im Sinne von Art. 246 StPO
Herausgabe im Sinne von Art. 265 StPO
Durchsuchung im Sinne von Art. 246 StPO
Herausgabe im Sinne von Art. 265 StPO
Überwachung im Sinne von Art. 269 ff. StPO
Überwachung im Sinne von Art. 269 ff. StPO
Inhalt
Wer?
Wann?
Wo?
Was?
Wie?
Warum?
DATA IN STORAGE / IN TRAFFIC?
![Page 35: Möglichkeiten und Grenzen der digitalen ForensikMöglichkeiten+Grenzen... · 2015-04-11 · digitalen Forensik Kriminalistisches Institut, Wintersemester 2015 . Möglichkeiten und](https://reader033.vdokument.com/reader033/viewer/2022041708/5e46392c89d0fc2102759a1e/html5/thumbnails/35.jpg)
Kanton Zürich Direktion der Justiz und des Innern Strafverfolgung Erwachsene
© SW
Zugang vom Computer /
Smartphone mittels
Username/Password
• Briefkastenschlüssel?
Rückwirkender Mailverkehr:
• Randdaten (RTI 6M)
• Inhaltsdaten?
Mailserver
(Absender / Empfänger)
Zugang über Mail-Server
beim Mail-Provider
• Überwachung
• WLAN-Ports 21d!
Inhalt
Wer?
Wann?
Wo?
Was?
Wie?
Warum?
DATA IN STORAGE / IN TRAFFIC?
![Page 36: Möglichkeiten und Grenzen der digitalen ForensikMöglichkeiten+Grenzen... · 2015-04-11 · digitalen Forensik Kriminalistisches Institut, Wintersemester 2015 . Möglichkeiten und](https://reader033.vdokument.com/reader033/viewer/2022041708/5e46392c89d0fc2102759a1e/html5/thumbnails/36.jpg)
Kanton Zürich
Direktion der Justiz und des Innern
Strafverfolgung Erwachsene
© SW
DIGITALE SPUREN WORDLWIDE
36
Inhalt
Wer?
Wann?
Wo?
Was?
Wie?
Warum?
Art. 3 StGB: Territorialitätsprinzip
1 Diesem Gesetz ist unterworfen, wer in der Schweiz ein Verbrechen oder Vergehen
begeht.
Art. 299 StGB: Verletzung fremder Gebietshoheit
1. Wer die Gebietshoheit eines fremden Staates verletzt, insbesondere durch
unerlaubte Vornahme von Amtshandlungen auf dem fremden Staatsgebiete
![Page 37: Möglichkeiten und Grenzen der digitalen ForensikMöglichkeiten+Grenzen... · 2015-04-11 · digitalen Forensik Kriminalistisches Institut, Wintersemester 2015 . Möglichkeiten und](https://reader033.vdokument.com/reader033/viewer/2022041708/5e46392c89d0fc2102759a1e/html5/thumbnails/37.jpg)
Kanton Zürich
Direktion der Justiz und des Innern
Strafverfolgung Erwachsene
© SW
„MLAT“ / NATIONAL
37
Art. 3 StGB: Territorialitätsprinzip
1 Diesem Gesetz ist unterworfen, wer in der Schweiz ein Verbrechen oder Vergehen
begeht.
Art. 299 StGB: Verletzung fremder Gebietshoheit
1. Wer die Gebietshoheit eines fremden Staates verletzt, insbesondere durch
unerlaubte Vornahme von Amtshandlungen auf dem fremden Staatsgebiete
ISP: Internet-Service-
Provider CH • Sitz CH
• Provider gemäss
FMG/BÜPF
• RTI, Echtzeit etc.
• RTI ü 6 Monate:
BGE 1B_481/2012 vs
BGE 1B_128/2013
Benutzer;
GES: • Anschluss CH
• Edition
• Auswertung HD
• Profilübernahme
• VF/VE
• RTI/Echtzeit
Inhalt
Wer?
Wann?
Wo?
Was?
Wie?
Warum?
![Page 38: Möglichkeiten und Grenzen der digitalen ForensikMöglichkeiten+Grenzen... · 2015-04-11 · digitalen Forensik Kriminalistisches Institut, Wintersemester 2015 . Möglichkeiten und](https://reader033.vdokument.com/reader033/viewer/2022041708/5e46392c89d0fc2102759a1e/html5/thumbnails/38.jpg)
Kanton Zürich
Direktion der Justiz und des Innern
Strafverfolgung Erwachsene
© SW
MLAT / INT. / EU
38
Art. 3 StGB: Territorialitätsprinzip
1 Diesem Gesetz ist unterworfen, wer in der Schweiz ein Verbrechen oder Vergehen
begeht.
Art. 299 StGB: Verletzung fremder Gebietshoheit
1. Wer die Gebietshoheit eines fremden Staates verletzt, insbesondere durch
unerlaubte Vornahme von Amtshandlungen auf dem fremden Staatsgebiete
ISP: Internet-Service-
Provider EU • Preservation Requests
gemäss Art. 18 und 29,
32 CCC direkt beim
Provider,
• Rechtshilfe (31 CCC)
nach Staats-V/ IRSG (Bsp. D: Vertrag zwischen CH
und der D über die Ergänzung
des Europäischen
Übereinkommens über die
Rechtshilfe in Strafsachen vom
20. April 1959 und die
Erleichterung seiner
Anwendung: Direkter Verkehr)
Benutzer;
GES CH; • Art. 31 Abs. 1
Satz 2 StPO Liegt nur der Ort, an
dem der Erfolg der
Straftat eingetreten
ist, in der Schweiz,
so sind die
Behörden dieses
Ortes zuständig
Inhalt
Wer?
Wann?
Wo?
Was?
Wie?
Warum?
Cybercrime Convention ; Grundregel
Artikel 29 Umgehende Sicherung gespeicherter
Computerdaten
1 Eine Vertragspartei kann eine andere Vertragspartei
um Anordnung oder anderweitige Bewirkung der
umgehenden Sicherung von Daten ersuchen, die
mittels eines Computersystems gespeichert sind, das sich
im Hoheitsgebiet der anderen Vertragspartei befindet, und
derentwegen die ersuchende Vertragspartei beabsichtigt,
ein Rechtshilfeersuchen um Durchsuchung oder
ähnlichen Zugriff, Beschlagnahme oder ähnliche
Sicherstellung oder Weitergabe der Daten zu stellen.
Titel 2 – Rechtshilfe in Bezug auf Ermittlungsbefugnisse
Art. 31 CCC Rechtshilfe beim Zugriff auf gespeicherte
Computerdaten
1 Eine Vertragspartei kann eine andere Vertragspartei
um Durchsuchung oder ähnlichen Zugriff, um
Beschlagnahme oder ähnliche Sicherstellung und um
Weitergabe von Daten ersuchen, die mittels eines
Computersystems gespeichert sind, das sich im
Hoheitsgebiet der ersuchten Vertragspartei befindet,
einschließlich Daten, die nach Artikel 29 gesichert worden
sind.
![Page 39: Möglichkeiten und Grenzen der digitalen ForensikMöglichkeiten+Grenzen... · 2015-04-11 · digitalen Forensik Kriminalistisches Institut, Wintersemester 2015 . Möglichkeiten und](https://reader033.vdokument.com/reader033/viewer/2022041708/5e46392c89d0fc2102759a1e/html5/thumbnails/39.jpg)
Kanton Zürich
Direktion der Justiz und des Innern
Strafverfolgung Erwachsene
© SW
MLAT / INT. / USA
39
Art. 3 StGB: Territorialitätsprinzip
1 Diesem Gesetz ist unterworfen, wer in der Schweiz ein Verbrechen oder Vergehen
begeht.
Art. 299 StGB: Verletzung fremder Gebietshoheit
1. Wer die Gebietshoheit eines fremden Staates verletzt, insbesondere durch
unerlaubte Vornahme von Amtshandlungen auf dem fremden Staatsgebiete
ISP, Enduser USA: • Staatsvertrag mit den
Vereinigten Staaten von
Amerika über gegenseitige
Rechtshilfe in Strafsachen (BG-
RVUS, SR 351.93
• Bundesgesetz
zum Staatsvertrag mit den
Vereinigten Staaten von
Amerika über gegenseitige
Rechtshilfe in Strafsachen (SR
351.93)
• Beweiserhebungen: Dauer 3-
18M
• Über Zentralstelle USA des BJ
Inhalt
Wer?
Wann?
Wo?
Was?
Wie?
Warum?
ISP USA: • Preservation Requests
nach Art. 18 und 32 CCC
Anfragen über Mail,
LERS-Portale
![Page 40: Möglichkeiten und Grenzen der digitalen ForensikMöglichkeiten+Grenzen... · 2015-04-11 · digitalen Forensik Kriminalistisches Institut, Wintersemester 2015 . Möglichkeiten und](https://reader033.vdokument.com/reader033/viewer/2022041708/5e46392c89d0fc2102759a1e/html5/thumbnails/40.jpg)
Kanton Zürich
Direktion der Justiz und des Innern
Strafverfolgung Erwachsene
© SW
PR / INT. / NON GOV. FRIENDLY
40
Inhalt
Wer?
Wann?
Wo?
Was?
Wie?
Warum?
Art. 3 StGB: Territorialitätsprinzip
1 Diesem Gesetz ist unterworfen, wer in der Schweiz ein Verbrechen oder Vergehen
begeht.
Art. 299 StGB: Verletzung fremder Gebietshoheit
1. Wer die Gebietshoheit eines fremden Staates verletzt, insbesondere durch
unerlaubte Vornahme von Amtshandlungen auf dem fremden Staatsgebiete
ISP: Internet-Service-
Provider Non-EU,
Non-US, non-CCC: • Rechtshilfeführer
admin.ch
![Page 41: Möglichkeiten und Grenzen der digitalen ForensikMöglichkeiten+Grenzen... · 2015-04-11 · digitalen Forensik Kriminalistisches Institut, Wintersemester 2015 . Möglichkeiten und](https://reader033.vdokument.com/reader033/viewer/2022041708/5e46392c89d0fc2102759a1e/html5/thumbnails/41.jpg)
Kanton Zürich
Direktion der Justiz und des Innern
Strafverfolgung Erwachsene
© SW
PR / OFF-SHORE / CLOUD
41
Art. 3 StGB: Territorialitätsprinzip
1 Diesem Gesetz ist unterworfen, wer in der Schweiz ein Verbrechen oder Vergehen
begeht.
Art. 299 StGB: Verletzung fremder Gebietshoheit
1. Wer die Gebietshoheit eines fremden Staates verletzt, insbesondere durch
unerlaubte Vornahme von Amtshandlungen auf dem fremden Staatsgebiete
Dynamic Off-Shore
Serverfarmen
• Keine Staatsverträge
• Keine
Datenspeicherfristen
• Keine
Gegenseitigkeit nach
IRSG
Cloud-Speicher
• Kein „Serverstandort“
• Keine physisch isolierbaren
Rechner
• Keine Server am allfälligen
Firmensitz
• Keine Lokalisation der
Daten(-Fragmente) möglich
Inhalt
Wer?
Wann?
Wo?
Was?
Wie?
Warum?
![Page 42: Möglichkeiten und Grenzen der digitalen ForensikMöglichkeiten+Grenzen... · 2015-04-11 · digitalen Forensik Kriminalistisches Institut, Wintersemester 2015 . Möglichkeiten und](https://reader033.vdokument.com/reader033/viewer/2022041708/5e46392c89d0fc2102759a1e/html5/thumbnails/42.jpg)
Steffen Görlich Möglichkeiten und Grenzen der Digitalen Forensik
Apple iOS-Geräte - Fernlöschung
► Spurenschutz!
► Flug- | Offlinemodus aktivieren
► Stromversorgung sicherstellen
![Page 43: Möglichkeiten und Grenzen der digitalen ForensikMöglichkeiten+Grenzen... · 2015-04-11 · digitalen Forensik Kriminalistisches Institut, Wintersemester 2015 . Möglichkeiten und](https://reader033.vdokument.com/reader033/viewer/2022041708/5e46392c89d0fc2102759a1e/html5/thumbnails/43.jpg)
Steffen Görlich Möglichkeiten und Grenzen der Digitalen Forensik
Apple iOS-Geräte
► Brute-Force Attacke
► Einfacher Gerätesperrcode
► Version iOS 7 | (iOS 8)
► Löschung nach 10 Falscheingaben
![Page 44: Möglichkeiten und Grenzen der digitalen ForensikMöglichkeiten+Grenzen... · 2015-04-11 · digitalen Forensik Kriminalistisches Institut, Wintersemester 2015 . Möglichkeiten und](https://reader033.vdokument.com/reader033/viewer/2022041708/5e46392c89d0fc2102759a1e/html5/thumbnails/44.jpg)
Steffen Görlich Möglichkeiten und Grenzen der Digitalen Forensik
Apple iOS-Geräte - Gerätesperrcode
► <= iOS 7
► >= iOS 8
► Einfacher Code
► <= iOS 7 | (iOS 8)
► 10 Falscheingaben
► Apple ID
► Passwort
► Kooperation
► Ermittlung
![Page 45: Möglichkeiten und Grenzen der digitalen ForensikMöglichkeiten+Grenzen... · 2015-04-11 · digitalen Forensik Kriminalistisches Institut, Wintersemester 2015 . Möglichkeiten und](https://reader033.vdokument.com/reader033/viewer/2022041708/5e46392c89d0fc2102759a1e/html5/thumbnails/45.jpg)
Forensisches Institut ZürichEine Organisation der Kantonspolizei und Stadtpolizei Zürich
Ra Mai 10
Lösungsansatz für digitale Spuren?
Polizei Justiz
Forensik
Informatiker
![Page 46: Möglichkeiten und Grenzen der digitalen ForensikMöglichkeiten+Grenzen... · 2015-04-11 · digitalen Forensik Kriminalistisches Institut, Wintersemester 2015 . Möglichkeiten und](https://reader033.vdokument.com/reader033/viewer/2022041708/5e46392c89d0fc2102759a1e/html5/thumbnails/46.jpg)
Forensisches Institut ZürichEine Organisation der Kantonspolizei und Stadtpolizei Zürich
Ra Mai 10
Polizeiliches Ermittlungsverfahren Art. 306 StPO: Aufgaben der Polizei
• 1 Die Polizei stellt im Ermittlungsverfahren auf der Grundlage von Anzeigen, Anweisungen der Staats- anwaltschaft oder eigenen Feststellungen den für eine Straftat relevanten Sachverhalt fest.
• 2 Sie hat namentlich: a. Spuren und Beweise sicherzustellen und auszuwerten;
b. geschädigte und tatverdächtige Personen zu ermitteln und zu befragen; c. tatverdächtige Personen nötigenfalls anzuhalten und festzunehmen oder nach ihnen zu fahnden.
![Page 47: Möglichkeiten und Grenzen der digitalen ForensikMöglichkeiten+Grenzen... · 2015-04-11 · digitalen Forensik Kriminalistisches Institut, Wintersemester 2015 . Möglichkeiten und](https://reader033.vdokument.com/reader033/viewer/2022041708/5e46392c89d0fc2102759a1e/html5/thumbnails/47.jpg)
Forensisches Institut ZürichEine Organisation der Kantonspolizei und Stadtpolizei Zürich
Ra Mai 10
Art. 139 ff in der StPO: Beweismittel
Art. 139: Grundsätze 1 Die Strafbehörden setzen zur Wahrheitsfindung alle nach dem Stand von Wissenschaft und Erfahrung geeigneten Beweismittel ein, die rechtlich zulässig sind.
• Was heisst alle geeigneten Beweismittel?
• Diverse weiteren Artikel regeln, was rechtlich nicht zulässig ist oder wann Beweismittel nicht verwertet werden können!
![Page 48: Möglichkeiten und Grenzen der digitalen ForensikMöglichkeiten+Grenzen... · 2015-04-11 · digitalen Forensik Kriminalistisches Institut, Wintersemester 2015 . Möglichkeiten und](https://reader033.vdokument.com/reader033/viewer/2022041708/5e46392c89d0fc2102759a1e/html5/thumbnails/48.jpg)
Forensisches Institut ZürichEine Organisation der Kantonspolizei und Stadtpolizei Zürich
Ra Mai 10
Weisse Flecken in der StPO
• Art. 306 Abs. 2 lit. a … Die Polizei hat namentlich …
• Art. 139 … zur Wahrheitsfindung alle …
• Umfang?
• Qualität?
• Methoden?
• Beizug von Spezialisten? Polizei Staatsanwalt
![Page 49: Möglichkeiten und Grenzen der digitalen ForensikMöglichkeiten+Grenzen... · 2015-04-11 · digitalen Forensik Kriminalistisches Institut, Wintersemester 2015 . Möglichkeiten und](https://reader033.vdokument.com/reader033/viewer/2022041708/5e46392c89d0fc2102759a1e/html5/thumbnails/49.jpg)
Forensisches Institut ZürichEine Organisation der Kantonspolizei und Stadtpolizei Zürich
Ra Mai 10
Beschlagnahme Art. 263 StPO: Grundsatz
1 Gegenstände und Vermögenswerte einer beschuldigten Person oder einer Drittperson können beschlagnahmt werden, wenn die Gegenstände und Vermögenswerte voraussichtlich:
a. als Beweismittel gebraucht werden; …
3 Ist Gefahr im Verzug, so können die Polizei oder Private … … vorläufig sicherstellen.
![Page 50: Möglichkeiten und Grenzen der digitalen ForensikMöglichkeiten+Grenzen... · 2015-04-11 · digitalen Forensik Kriminalistisches Institut, Wintersemester 2015 . Möglichkeiten und](https://reader033.vdokument.com/reader033/viewer/2022041708/5e46392c89d0fc2102759a1e/html5/thumbnails/50.jpg)
Kanton Zürich
Direktion der Justiz und des Innern
Strafverfolgung Erwachsene
© SW 50
Inhalt
Wer?
Wann?
Wo?
Was?
Wie?
Warum?
Art. 3 StGB: Territorialitätsprinzip
1 Diesem Gesetz ist unterworfen, wer in der Schweiz ein Verbrechen oder Vergehen
begeht.
Art. 299 StGB: Verletzung fremder Gebietshoheit
1. Wer die Gebietshoheit eines fremden Staates verletzt, insbesondere durch
unerlaubte Vornahme von Amtshandlungen auf dem fremden Staatsgebiete
Off-Shore Serverfarmen/Cloud-Speicher
Problem:
Anknüpfungspunkt am „Serverstandort“
PR / OFF-SHORE / CLOUD
![Page 51: Möglichkeiten und Grenzen der digitalen ForensikMöglichkeiten+Grenzen... · 2015-04-11 · digitalen Forensik Kriminalistisches Institut, Wintersemester 2015 . Möglichkeiten und](https://reader033.vdokument.com/reader033/viewer/2022041708/5e46392c89d0fc2102759a1e/html5/thumbnails/51.jpg)
Kanton Zürich
Direktion der Justiz und des Innern
Strafverfolgung Erwachsene
© SW 51
Inhalt
Wer?
Wann?
Wo?
Was?
Wie?
Warum?
Art. 3 StGB: Territorialitätsprinzip
1 Diesem Gesetz ist unterworfen, wer in der Schweiz ein Verbrechen oder Vergehen
begeht.
Art. 299 StGB: Verletzung fremder Gebietshoheit
1. Wer die Gebietshoheit eines fremden Staates verletzt, insbesondere durch
unerlaubte Vornahme von Amtshandlungen auf dem fremden Staatsgebiete
Off-Shore Serverfarmen/Cloud-Speicher
Lösung:
Anknüpfungspunkt am Ort der Verfügbarkeit der
Daten, nämlich
• auf durchsuchtem Rechner mittels Zugangsdaten
• am Sitz der Unternehmung in der Schweiz
• am Sitz der Niederlassung in der Schweiz
PR / OFF-SHORE / CLOUD
![Page 52: Möglichkeiten und Grenzen der digitalen ForensikMöglichkeiten+Grenzen... · 2015-04-11 · digitalen Forensik Kriminalistisches Institut, Wintersemester 2015 . Möglichkeiten und](https://reader033.vdokument.com/reader033/viewer/2022041708/5e46392c89d0fc2102759a1e/html5/thumbnails/52.jpg)
Kanton Zürich
Direktion der Justiz und des Innern
Strafverfolgung Erwachsene
© SW
INTERNATIONALER ENTSCHEID
52
Inhalt
Wer?
Wann?
Wo?
Was?
Wie?
Warum?
• Urteil des District Court Southern New York vom 25. April 2014
![Page 53: Möglichkeiten und Grenzen der digitalen ForensikMöglichkeiten+Grenzen... · 2015-04-11 · digitalen Forensik Kriminalistisches Institut, Wintersemester 2015 . Möglichkeiten und](https://reader033.vdokument.com/reader033/viewer/2022041708/5e46392c89d0fc2102759a1e/html5/thumbnails/53.jpg)
Kanton Zürich
Direktion der Justiz und des Innern
Strafverfolgung Erwachsene
© SW
NATIONALE PRAXIS?
53
Inhalt
Wer?
Wann?
Wo?
Was?
Wie?
Warum?
Problem: Erhebung am Speicherort
Lösung: Erhebung am CH-Sitz oder -Niederlassung
Artikel 18 – Anordnung der Herausgabe
1 Jede Vertragspartei trifft die erforderlichen
gesetzgeberischen und anderen Maßnahmen, um ihre
zuständigen Behörden zu ermächtigen anzuordnen,
a dass eine Person in ihrem Hoheitsgebiet bestimmte
Computerdaten, die sich in ihrem Besitz oder unter ihrer
Kontrolle befinden und die in einem Computersystem
oder auf einem Computerdatenträger gespeichert sind,
vorzulegen hat und
b dass ein Diensteanbieter, der seine Dienste im
Hoheitsgebiet der Vertragspartei anbietet,
Bestandsdaten in Zusammenhang mit diesen
Diensten, die sich in seinem Besitz oder unter seiner
Kontrolle befinden, vorzulegen hat.
![Page 54: Möglichkeiten und Grenzen der digitalen ForensikMöglichkeiten+Grenzen... · 2015-04-11 · digitalen Forensik Kriminalistisches Institut, Wintersemester 2015 . Möglichkeiten und](https://reader033.vdokument.com/reader033/viewer/2022041708/5e46392c89d0fc2102759a1e/html5/thumbnails/54.jpg)
Kanton Zürich
Direktion der Justiz und des Innern
Strafverfolgung Erwachsene
© SW
ANSATZ SCHWEINGRUBER*
54
Inhalt
Wer?
Wann?
Wo?
Was?
Wie?
Warum?
• Artikel 18 CCC (Cybercrime Convention)
Anordnung der Herausgabe
• 1 Jede Vertragspartei trifft die erforderlichen gesetzgeberischen und
anderen Maßnahmen, um ihre zuständigen Behörden zu ermächtigen
anzuordnen,
• a dass eine Person in ihrem Hoheitsgebiet bestimmte Computerdaten,
die sich in ihrem Besitz oder unter ihrer Kontrolle befinden und die in
einem Computersystem oder auf einem Computerdatenträger
gespeichert sind, vorzulegen hat und
• b dass ein Diensteanbieter, der seine Dienste im Hoheitsgebiet der
Vertragspartei anbietet, Bestandsdaten in Zusammenhang mit diesen
Diensten, die sich in seinem Besitz oder unter seiner Kontrolle befinden,
vorzulegen hat.
*STA lic.iur. Sandra Schweingruber, Jusletter vom 10. November 2014
![Page 55: Möglichkeiten und Grenzen der digitalen ForensikMöglichkeiten+Grenzen... · 2015-04-11 · digitalen Forensik Kriminalistisches Institut, Wintersemester 2015 . Möglichkeiten und](https://reader033.vdokument.com/reader033/viewer/2022041708/5e46392c89d0fc2102759a1e/html5/thumbnails/55.jpg)
Kanton Zürich
Direktion der Justiz und des Innern
Strafverfolgung Erwachsene
© SW
ANSATZ SCHWEINGRUBER*
55
Inhalt
Wer?
Wann?
Wo?
Was?
Wie?
Warum?
![Page 56: Möglichkeiten und Grenzen der digitalen ForensikMöglichkeiten+Grenzen... · 2015-04-11 · digitalen Forensik Kriminalistisches Institut, Wintersemester 2015 . Möglichkeiten und](https://reader033.vdokument.com/reader033/viewer/2022041708/5e46392c89d0fc2102759a1e/html5/thumbnails/56.jpg)
Kanton Zürich
Direktion der Justiz und des Innern
Strafverfolgung Erwachsene
© SW
DIREKTE „EDITION“?
56
Inhalt
Wer?
Wann?
Wo?
Was?
Wie?
Warum?
Artikel 32 CCC (Cybercrime Convention)
Grenzüberschreitender Zugriff auf gespeicherte Computerdaten mit
Zustimmung oder wenn diese öffentlich zugänglich sind
• Eine Vertragspartei darf ohne die Genehmigung einer anderen
Vertragspartei
a auf öffentlich zugängliche gespeicherte Computerdaten (offene
Quellen) zugreifen, gleichviel, wo sich die Daten geographisch
befinden, oder
b auf gespeicherte Computerdaten, die sich im Hoheitsgebiet einer
anderen Vertragspartei befinden, mittels eines Computersystems in
ihrem Hoheitsgebiet zugreifen oder diese Daten empfangen, wenn sie
die rechtmäßige und freiwillige Zustimmung der Person einholt, die
rechtmäßig befugt ist, die Daten mittels dieses Computersystems
an sie weiterzugeben.
![Page 57: Möglichkeiten und Grenzen der digitalen ForensikMöglichkeiten+Grenzen... · 2015-04-11 · digitalen Forensik Kriminalistisches Institut, Wintersemester 2015 . Möglichkeiten und](https://reader033.vdokument.com/reader033/viewer/2022041708/5e46392c89d0fc2102759a1e/html5/thumbnails/57.jpg)
Kanton Zürich
Direktion der Justiz und des Innern
Strafverfolgung Erwachsene
© SW
FALLSTUDIE
57
Inhalt
Wer?
Wann?
Wo?
Was?
Wie?
Warum?
1. Rassendiskriminierungen via Facebook Accounts
2. Preservation Request bei Facebook
3. Facebook verlangt „richterlichen Entscheid“ für die freiwillige
Herausgabe im Sinne von Art. 32 CCC
4. Nicht-Genehmigung bzw. -Eintreten durch ZMG, da kein Art. 32 CCC
Anwendungsfall (Datenherrin, Freiwilligkeit)
5. Beschwerde ans BGER
• Anwendungsfall von Art. 32 CCC, weil Daten gemäss AGB bei
Upload Facebook in den Besitz von Facebook übergehen.
• Art. 273 StPO anwendbar, da RTI-Daten (IP-History und
Zeitstempel Eruierung Anschlussinhaber ermöglicht)
• Keine rückwirkende Rekonstruktion von Inhaltsdaten mittels URL
![Page 58: Möglichkeiten und Grenzen der digitalen ForensikMöglichkeiten+Grenzen... · 2015-04-11 · digitalen Forensik Kriminalistisches Institut, Wintersemester 2015 . Möglichkeiten und](https://reader033.vdokument.com/reader033/viewer/2022041708/5e46392c89d0fc2102759a1e/html5/thumbnails/58.jpg)
Zwei-Faktor Authentifizierung (2FA)
► Zusätzliche Sicherheit Identitätsnachweis
► Geldautomat PIN Bankkarte
► Arbeitsplatz Passwort Smartcard
► e-Banking Vertragsnummer Kartenleser
Wissen Besitz
![Page 60: Möglichkeiten und Grenzen der digitalen ForensikMöglichkeiten+Grenzen... · 2015-04-11 · digitalen Forensik Kriminalistisches Institut, Wintersemester 2015 . Möglichkeiten und](https://reader033.vdokument.com/reader033/viewer/2022041708/5e46392c89d0fc2102759a1e/html5/thumbnails/60.jpg)
Zwei-Faktor Authentifizierung (2FA)
► Google Konto | Google Mail
► Passwort
► SMS
► Anruf
► Google Authenticator
► Sicherheitsschlüssel
![Page 61: Möglichkeiten und Grenzen der digitalen ForensikMöglichkeiten+Grenzen... · 2015-04-11 · digitalen Forensik Kriminalistisches Institut, Wintersemester 2015 . Möglichkeiten und](https://reader033.vdokument.com/reader033/viewer/2022041708/5e46392c89d0fc2102759a1e/html5/thumbnails/61.jpg)
Zwei-Faktor Authentifizierung (2FA)
![Page 62: Möglichkeiten und Grenzen der digitalen ForensikMöglichkeiten+Grenzen... · 2015-04-11 · digitalen Forensik Kriminalistisches Institut, Wintersemester 2015 . Möglichkeiten und](https://reader033.vdokument.com/reader033/viewer/2022041708/5e46392c89d0fc2102759a1e/html5/thumbnails/62.jpg)
Zwei-Faktor Authentifizierung (2FA)
![Page 63: Möglichkeiten und Grenzen der digitalen ForensikMöglichkeiten+Grenzen... · 2015-04-11 · digitalen Forensik Kriminalistisches Institut, Wintersemester 2015 . Möglichkeiten und](https://reader033.vdokument.com/reader033/viewer/2022041708/5e46392c89d0fc2102759a1e/html5/thumbnails/63.jpg)
Kanton Zürich
Direktion der Justiz und des Innern
Strafverfolgung Erwachsene
© SW
PHISHING „CLASSIC“ Inhalt
Wer?
Wann?
Wo?
Was?
Wie?
Warum?
username
password
![Page 64: Möglichkeiten und Grenzen der digitalen ForensikMöglichkeiten+Grenzen... · 2015-04-11 · digitalen Forensik Kriminalistisches Institut, Wintersemester 2015 . Möglichkeiten und](https://reader033.vdokument.com/reader033/viewer/2022041708/5e46392c89d0fc2102759a1e/html5/thumbnails/64.jpg)
Kanton Zürich
Direktion der Justiz und des Innern
Strafverfolgung Erwachsene
© SW
PHISHING „TODAY“ Inhalt
Wer?
Wann?
Wo?
Was?
Wie?
Warum?
![Page 65: Möglichkeiten und Grenzen der digitalen ForensikMöglichkeiten+Grenzen... · 2015-04-11 · digitalen Forensik Kriminalistisches Institut, Wintersemester 2015 . Möglichkeiten und](https://reader033.vdokument.com/reader033/viewer/2022041708/5e46392c89d0fc2102759a1e/html5/thumbnails/65.jpg)
Kanton Zürich
Direktion der Justiz und des Innern
Strafverfolgung Erwachsene
© SW
„Malware-Distributor“
• Versendet Malware
• Kann Tor-Exit-Node oder Botnet sein
• Zuständigkeit am Tatort/Wohnort
„Hintermann“
• Sender der E-Mails,
• Koordinator ; Empfänger des Geldes
• Zuständigkeit BA bei Hintermännern im Ausland
PHISHING „TODAY“ Inhalt
Wer?
Wann?
Wo?
Was?
Wie?
Warum?
„Money Mule“
• Stellt eigenes Konto zur Verf.
• Leitet Gelder auf Anweisung weiter
• Ist von „Firma“ angestellt
• Zuständigkeit am Tatort/Wohnort
![Page 66: Möglichkeiten und Grenzen der digitalen ForensikMöglichkeiten+Grenzen... · 2015-04-11 · digitalen Forensik Kriminalistisches Institut, Wintersemester 2015 . Möglichkeiten und](https://reader033.vdokument.com/reader033/viewer/2022041708/5e46392c89d0fc2102759a1e/html5/thumbnails/66.jpg)
Verschlüsselung
WHO WATCHES THE WATCHMEN?
![Page 67: Möglichkeiten und Grenzen der digitalen ForensikMöglichkeiten+Grenzen... · 2015-04-11 · digitalen Forensik Kriminalistisches Institut, Wintersemester 2015 . Möglichkeiten und](https://reader033.vdokument.com/reader033/viewer/2022041708/5e46392c89d0fc2102759a1e/html5/thumbnails/67.jpg)
Verschlüsselung
► BitLocker
► File Vault 2
► dm-crypt/LUKS
► Apple iOS 8
► Android 5
![Page 68: Möglichkeiten und Grenzen der digitalen ForensikMöglichkeiten+Grenzen... · 2015-04-11 · digitalen Forensik Kriminalistisches Institut, Wintersemester 2015 . Möglichkeiten und](https://reader033.vdokument.com/reader033/viewer/2022041708/5e46392c89d0fc2102759a1e/html5/thumbnails/68.jpg)
Verschlüsselung - Kommunikation
► Skype
► Threema
![Page 69: Möglichkeiten und Grenzen der digitalen ForensikMöglichkeiten+Grenzen... · 2015-04-11 · digitalen Forensik Kriminalistisches Institut, Wintersemester 2015 . Möglichkeiten und](https://reader033.vdokument.com/reader033/viewer/2022041708/5e46392c89d0fc2102759a1e/html5/thumbnails/69.jpg)
Verschlüsselung
► Schwachstellen
► Dictionary Attack
► Brute-Force Attack
►
► Verschlüsselung
► GovWare
(Government Software)
► Kooperation
► Ermittlung
![Page 70: Möglichkeiten und Grenzen der digitalen ForensikMöglichkeiten+Grenzen... · 2015-04-11 · digitalen Forensik Kriminalistisches Institut, Wintersemester 2015 . Möglichkeiten und](https://reader033.vdokument.com/reader033/viewer/2022041708/5e46392c89d0fc2102759a1e/html5/thumbnails/70.jpg)
Kanton Zürich
Direktion der Justiz und des Innern
Strafverfolgung Erwachsene
© SW
ÜBERWACHUNG?
70
Inhalt
Wer?
Wann?
Wo?
Was?
Wie?
Warum?
Mil. Nachrichtendienst
Lagebild
Bedrohungen
gesetzliche Grundlage
Strafverfolgung
Beweiserhebung
Katalogtaten
Verhältnismässigkeit (Tatschwere)
Dringender Tatverdacht
Proportionalität
Susidiarität
Genehmigung Zwangsmassnahmengericht
Mitteilungspflicht
Zufallsfunde
Verwertbarkeit
![Page 71: Möglichkeiten und Grenzen der digitalen ForensikMöglichkeiten+Grenzen... · 2015-04-11 · digitalen Forensik Kriminalistisches Institut, Wintersemester 2015 . Möglichkeiten und](https://reader033.vdokument.com/reader033/viewer/2022041708/5e46392c89d0fc2102759a1e/html5/thumbnails/71.jpg)
Kanton Zürich
Direktion der Justiz und des Innern
Strafverfolgung Erwachsene
© SW
ÜBERWACHUNG „CLASSIC“
71
Untersuchungsbehörde
Internetzugangsanbieterin
ISP
Ausleitung einer Kopie
des Ein- und Ausgehenden
Datenverkehrs
Inhalt
Wer?
Wann?
Wo?
Was?
Wie?
Warum?
Packet-Loss
LIS/ISS, ISC ÜPF
Unverschlüsselt
![Page 72: Möglichkeiten und Grenzen der digitalen ForensikMöglichkeiten+Grenzen... · 2015-04-11 · digitalen Forensik Kriminalistisches Institut, Wintersemester 2015 . Möglichkeiten und](https://reader033.vdokument.com/reader033/viewer/2022041708/5e46392c89d0fc2102759a1e/html5/thumbnails/72.jpg)
Kanton Zürich
Direktion der Justiz und des Innern
Strafverfolgung Erwachsene
© SW
ÜBERWACHUNG SERVER
72
Inhalt
Wer?
Wann?
Wo?
Was?
Wie?
Warum?
Art. 3 StGB: Territorialitätsprinzip
1 Diesem Gesetz ist unterworfen, wer in der Schweiz ein Verbrechen oder Vergehen
begeht.
Art. 299 StGB: Verletzung fremder Gebietshoheit
1. Wer die Gebietshoheit eines fremden Staates verletzt, insbesondere durch
unerlaubte Vornahme von Amtshandlungen auf dem fremden Staatsgebiete
Untersuchungs-
behörde
Echtzeitüberwachung im Sinne von
Art. 269ff StPO
Genehmigungsfähig (ZMG OG ZH)
Nicht über ISC-EJPD, Dienst ÜPF
Direkt beim Provider
Ausleitung auf Server
Man in the middle
kostenschonend
Nur bei intakter PPP
keine Verschlüsselung
![Page 73: Möglichkeiten und Grenzen der digitalen ForensikMöglichkeiten+Grenzen... · 2015-04-11 · digitalen Forensik Kriminalistisches Institut, Wintersemester 2015 . Möglichkeiten und](https://reader033.vdokument.com/reader033/viewer/2022041708/5e46392c89d0fc2102759a1e/html5/thumbnails/73.jpg)
Kanton Zürich
Direktion der Justiz und des Innern
Strafverfolgung Erwachsene
© SW
ÜBERWACHUNG GOVWARE
73
Inhalt
Wer?
Wann?
Wo?
Was?
Wie?
Warum?
GovWare
Untersuchungsbehörde
IP Ausleitung
![Page 74: Möglichkeiten und Grenzen der digitalen ForensikMöglichkeiten+Grenzen... · 2015-04-11 · digitalen Forensik Kriminalistisches Institut, Wintersemester 2015 . Möglichkeiten und](https://reader033.vdokument.com/reader033/viewer/2022041708/5e46392c89d0fc2102759a1e/html5/thumbnails/74.jpg)
Kanton Zürich
Direktion der Justiz und des Innern
Strafverfolgung Erwachsene
© SW
ÜBERWACHUNG NOGOVWARE
74
Inhalt
Wer?
Wann?
Wo?
Was?
Wie?
Warum?
Untersuchungsbehörde
![Page 75: Möglichkeiten und Grenzen der digitalen ForensikMöglichkeiten+Grenzen... · 2015-04-11 · digitalen Forensik Kriminalistisches Institut, Wintersemester 2015 . Möglichkeiten und](https://reader033.vdokument.com/reader033/viewer/2022041708/5e46392c89d0fc2102759a1e/html5/thumbnails/75.jpg)
Kanton Zürich
Direktion der Justiz und des Innern
Strafverfolgung Erwachsene
© SW
Sicherheitstacho
FRAGEN? Fragen? Fragen?
Vielen Dank für Ihre Aufmerksamkeit und Ihr Interesse!
Forensisches Institut ZürichEine Organisation der Kantonspolizei und Stadtpolizei Zürich