Was ist Computer Evidence? (Mit Bildern)
Computerbeweise sind Daten, die von einer Computerfestplatte gesammelt und im Rahmen einer Kriminalermittlung verwendet werden. Da es relativ einfach ist, auf einer Festplatte gespeicherte Daten zu beschädigen, unternehmen Forensiker große Anstrengungen, um Computer zu sichern und zu schützen, die im Rahmen des Untersuchungsprozesses beschlagnahmt werden. Das Extrahieren der Daten muss unter streng kontrollierten Bedingungen erfolgen und von Strafverfolgungsbeamten durchgeführt werden, die speziell in diesem Prozess geschult sind.
Es ist nicht ungewöhnlich, dass Computer gesammelt werden, wenn sie an einem Tatort gefunden werden. Wenn beispielsweise eine Person in ihrem Zuhause ermordet wird, besteht eine gute Chance, dass alle am Tatort gefundenen Laptops oder Desktop-Computer beschlagnahmt werden. Wenn eine Person wegen des Verdachts eines Betrugs oder einer Veruntreuung festgenommen wird, werden wahrscheinlich ihre persönlichen und geschäftlichen Computer zur Analyse durch Experten gesammelt.
Die Suche nach Computer-Beweisen beginnt mit einer gründlichen Überprüfung aller auf der Festplatte gefundenen Dateien. Zu diesem Zweck wird die Festplatte sorgfältig auf versteckte oder gesicherte Dateien überprüft, die möglicherweise nicht ohne weiteres erkennbar sind. Da auf Festplatten Kopien von Dateien gespeichert sind, die aus öffentlichen Verzeichnissen gelöscht wurden, werden Experten, die an der forensischen Untersuchung beteiligt sind, nach gelöschten Dateien suchen und diese extrahieren. Dies ist wichtig, da sie möglicherweise Daten enthalten, die die Schuld bestätigen oder möglicherweise den Nachweis erbringen, dass die verhaftete Person nicht an der Begehung des Verbrechens beteiligt war.
Viele verschiedene Dateitypen liefern möglicherweise Computerbeweise, die bei der Aufklärung eines Verbrechens hilfreich sind. Visuelle Bilder, E-Mails, Tabellenkalkulationen und andere gängige Dateitypen können verschlüsselt und in verschiedenen Caches auf der Festplatte versteckt werden. Experten wissen, wie sie diese versteckten Caches finden, darauf zugreifen und den Inhalt dieser Caches anzeigen können. Viele Betriebssysteme führen diese Funktion automatisch aus, auch wenn Dateien gelöscht werden. Dabei werden Kopien erstellt, die in den versteckten Caches abgelegt werden. Dies bedeutet, dass selbst wenn der Kriminelle Schritte unternommen hat, um belastende Beweise von der Festplatte zu entfernen, die Wahrscheinlichkeit groß ist, dass einer oder mehrere dieser versteckten Caches übersehen werden und von den Strafverfolgungsbehörden entfernt werden können.
Das Sammeln von Computerdaten ist eine hochqualifizierte Aufgabe, die normalerweise in bestimmten Schritten ausgeführt wird. Sobald der Computer beschlagnahmt wurde, wird er an einen sicheren Ort transportiert. Nur eine begrenzte Anzahl autorisierter Personen hat Zugriff auf das System, während es auf mögliche Beweise untersucht wird. Da der Abbau und die Gewinnung unter solch strengen Bedingungen durchgeführt werden, ist es praktisch unmöglich, dass die Festplatte manipuliert wird. Dies ermöglicht es, dass alle gesammelten Beweise für die laufende Untersuchung nützlich sind.
Die Verwendung von Computerbeweisen vor Gericht hat in den letzten Jahren an Akzeptanz gewonnen. Bedenken hinsichtlich Manipulation oder Beschädigung der Beweise in den vergangenen Jahren führten manchmal zu Einschränkungen, wie viel Beweise von Computern in einem bestimmten Fall gesammelt werden konnten. Da die Strafverfolgung jedoch ihre Methoden zum Schutz und zur Sicherung von Festplatten vor möglicher Kontamination verbessert hat, betrachten immer mehr Rechtssysteme auf der ganzen Welt Computer-Beweise als vor Gericht uneingeschränkt zulässig.