Forensische Software kann durch Bugs getäuscht werden

In einem Vortrag auf der Hackerkonferenz Defcon erläuterten Chris Palmer und Alex Stamos, Softwareexperten bei iSEC Partners, die wenig schmeichelhaften Ergebnisse ihrer Untersuchungen von forensischer Software.

Im Kern der Ausführungen stand EnCase, eines der aktuell meist verwendeten polizeilichen Programme zur digitalen Beweissicherung. Die Experten nahmen das Programm unter die Lupe und deckten eine Reihe von Fehlern auf. Durch diese sei es möglich, Files auf Datenträgern zu verstecken, hieß es in ihrem Vortrag.

"Forensische Programme sind Tools, die zuerst eine 1:1-Spiegelung des Datenträgers anfertigen. Dabei werden alle Daten gesichert, auch gelöschte Files und Fragmente", erklärt Reinhold Kern, Abteilungsleiter Forensik beim Datenrettungsspezialisten Kroll Ontrack, im Gespräch mit pressetext. Die Untersuchung der klar vorliegenden Dateien ist dabei keine Herausforderung. Viel wichtiger ist die Interpretation der Daten, die nur mehr in Bruchstücken vorliegen. "Diese Interpretation ist in der Forensik das Essenzielle. Das ist die Expertenaufgabe", streicht Kern hervor.