Möglichkeiten und Grenzen der digitalen Forensik - Kriminalistisches Institut, Wintersemester 2015 - grundrechte.ch
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
Möglichkeiten und Grenzen der
digitalen Forensik
Kriminalistisches Institut, Wintersemester 2015
Jörg Arnold dipl. phys. ETHZ
Forensisches Institut Zürich Fachbereichsleiter Unfälle/Technik
Eine Organisation der Kantonspolizei und Stadtpolizei Zürich
Andreas Leu, Automobil-Ing. FH
Experte Unfallanalytik
Forensisches Institut Zürich
Eine Organisation der Kantonspolizei und Stadtpolizei Zürich
Ra Mai 10
Möglichkeiten und Grenzen der
digitalen Forensik
Kriminalistisches Institut, Wintersemester 2015
Zeit/Ort: Dienstag, 20. Januar 2015, Freitag, 23. Januar 2015,
Theatersaal, Universität Irchel
Referent: Steffen Görlich, MSc Computer Forensics, DC TEU-ICT
Kanton Zürich
Direktion der Justiz und des Innern
Strafverfolgung Erwachsene
Möglichkeiten und Grenzen der
digitalen Forensik
Kriminalistisches Institut, Wintersemester 2015
Zeit/Ort: Dienstag, 20. Januar 2015, Freitag, 23. Januar 2015,
Theatersaal, Universität Irchel
Referent: STA lic.iur. St. Walder, STA II, Abt. D
© SW2015
NFC - Near Field Communication
Möglichkeiten und Grenzen der Digitalen Forensik Steffen Görlich
NFC - Near Field Communication
► App Banking Card Reader
Möglichkeiten und Grenzen der Digitalen Forensik Steffen Görlich
Digitale Spuren Aufzeichnungen
• Digitale Spuren in Fahrzeugen
• Aufzeichnungsgeräte (DFS, RAG, UDS, TEL1000,
Jupiter, …… VTS Art. 100 und Art. 102)
• Videoaufzeichnungen
(SatSpeed, Semista, Tunnels, Gebäude, DashCams,
z. B. 2014 Corvette C7, ……)
• EDR (EventDataRecorders) und CDR-Kit
• Seitenblick in die StPO
Forensisches Institut Zürich
Eine Organisation der Kantonspolizei und Stadtpolizei Zürich
Ra Mai 10
Kollisionsdaten
EDR
UDS/RAG/TEL1000
Crashrecorder
Personenwagen
Fz-Identifikation
VIN elektronisch
Steuergeräte
Lastwagen
Schliesssysteme
Fahrzeuge Schlüssel-Daten
Transponder…
Motorräder
Navigationsgeräte
externe
interne
Schliessysteme
Brandmeldesysteme
Gebäudetechnik
Digitale Spuren
Maschinensteuerungen
Krananlagen
CNC-Maschinen
Steuerungen Anlagensteuerungen
Server
Laptops
Computer
PC's/Internet HDD's
Mobile Smartphones
Kommunikation Apps
GPS-Daten Forensisches Institut Zürich
Eine Organisation der Kantonspolizei und Stadtpolizei Zürich
Ra Mai 10
Datenspeicherung in Fahrzeugen
• Digitale Spuren in Steuergeräten
– Daten des Steuergerätes (VIN-Nummer,
Seriennummer, Produktion etc. )
– Fehlercodes mit Umgebungsdaten
– Schlüssel und Schliessdaten
– Servicedaten
• Navigationsdaten
• etc., etc.
Forensisches Institut Zürich
Eine Organisation der Kantonspolizei und Stadtpolizei Zürich
Ra Mai 10
Steuergeräte / Spuren sichern
OBD II Schnittstelle
Forensisches Institut Zürich
Eine Organisation der Kantonspolizei und Stadtpolizei Zürich
Ra Mai 10
EDR-Daten in Pw's (NHTSA 49 CFR part 563)
• Ab 01.01.2013 USA/Kanada:
Alle neuen und neu importierten Fahrzeuge
(inkl. aus Asien und Europa), die über EDR
verfügen, müssen diesem Gesetz
entsprechen
• EDR: Event Data Recorder
Baustein im ACM (Airbag Control Module)
vorhanden Kostet ca. 2 $
Enthält vorkollisionäre Daten aus dem Airbag
Modul nach einem "Crash" oder
einem „Beinahe-Crash“
Forensisches Institut Zürich
Eine Organisation der Kantonspolizei und Stadtpolizei Zürich
Ra Mai 10CDR-Kit (BOSCH Crash Data Retrival
Kit)
Auslesen über OBDII Schnittstelle (intakte Fahrzeugelektrik)
Bei stark beschädigten Fahrzeugen kann das Steuergerät
direkt ausgelesen werden
Forensisches Institut Zürich
Eine Organisation der Kantonspolizei und Stadtpolizei Zürich
Ra Mai 10Dashcams in Fahrzeugen
Forensisches Institut Zürich
Eine Organisation der Kantonspolizei und Stadtpolizei Zürich
Ra Mai 10Spurensicherung ab dem Fahrzeug
• Nur gemeinsam mit dem Hersteller:
• Zeitfaktor: Man sollte sofort …….!!!
• Digitale Spuren in Steuergeräten
– Daten des Steuergerätes (VIN-Nummer,
Seriennummer, Produktion etc. )
– Fehlercodes mit Umgebungsdaten?
– Schlüssel und Schliessdaten?
– Servicedaten
• Navigationsdaten ???
Forensisches Institut Zürich
Eine Organisation der Kantonspolizei und Stadtpolizei Zürich
Ra Mai 10Interpretation der Spuren
• Basiert auf den mit dem Hersteller zusammen
gesicherten digitalen Spuren!
• Digitale Spuren in Steuergeräten
– Daten des Steuergerätes: Verändert?
– Fehlercodes mit Umgebungsdaten: Kriterien?
– Schlüssel und Schliessdaten: Kriterien?
– Servicedaten: Verändert?
• Navigationsdaten ??? Zeitliche Zuordnung?
Nur geplant oder gefahren?
Forensisches Institut Zürich
Eine Organisation der Kantonspolizei und Stadtpolizei Zürich
Ra Mai 10Aktuelle Situation / Fälle?
• Wie sehen die Bedürfnisse von Polizei und
Staatsanwaltschaft oder Gericht aus!
• Wer löst solche Fälle aktuell mit wem?
• Navigationsdaten ???
• Personelle Ressourcenplanung?
• Prozessuale Fragen: Sicherung
Durchsuchung
Auswertung …
Forensisches Institut Zürich
Eine Organisation der Kantonspolizei und Stadtpolizei Zürich
Ra Mai 10Fallbeispiel: "Corvette Schwyz"
Forensisches Institut Zürich
Eine Organisation der Kantonspolizei und Stadtpolizei Zürich
Ra Mai 10"Corvette Schwyz"
Forensisches Institut Zürich
Eine Organisation der Kantonspolizei und Stadtpolizei Zürich
Ra Mai 10"Corvette Schwyz"
Forensisches Institut Zürich
Eine Organisation der Kantonspolizei und Stadtpolizei Zürich
Ra Mai 10Forensisches Institut Zürich
Eine Organisation der Kantonspolizei und Stadtpolizei Zürich
Ra Mai 10"Corvette Schwyz"
Forensisches Institut Zürich
Eine Organisation der Kantonspolizei und Stadtpolizei Zürich
Ra Mai 10"Corvette Schwyz"
Verfügbare CDR Daten:
Forensisches Institut Zürich
Eine Organisation der Kantonspolizei und Stadtpolizei Zürich
Ra Mai 10"Corvette Schwyz"
Forensisches Institut Zürich
Eine Organisation der Kantonspolizei und Stadtpolizei Zürich
Ra Mai 10 JTAG - Navigationsgerät
► Mobile Navigationsgeräte
► Eingegebene Ziele
► Gefahrene Routen | Triplogs
► Datum und Uhrzeit
► Keine Schnittstelle
► Kein Massenspeicher
Möglichkeiten und Grenzen der Digitalen Forensik Steffen Görlich JTAG - Navigationsgerät
Möglichkeiten und Grenzen der Digitalen Forensik Steffen Görlich JTAG - Navigationsgerät
Möglichkeiten und Grenzen der Digitalen Forensik Steffen Görlich JTAG - Navigationsgerät
Möglichkeiten und Grenzen der Digitalen Forensik Steffen Görlich JTAG - Navigationsgerät
► Daten nicht interpretierbar
► proprietäres Datenformat
► teilweise verschlüsselt
► Unterstützung Hersteller
► kostenlos
► Rechtshilfeersuchen
Möglichkeiten und Grenzen der Digitalen Forensik Steffen Görlich Digitale Spuren - Arten
Möglichkeiten und Grenzen der Digitalen Forensik Steffen Görlich Digitale Spurenträger - Arten
Möglichkeiten und Grenzen der Digitalen Forensik Steffen Görlich Digitale Datenträger - Arten
Möglichkeiten und Grenzen der Digitalen Forensik Steffen Görlich Versteckte Datenträger
Möglichkeiten und Grenzen der Digitalen Forensik Steffen Görlich Identifikation - Daten
Betreiber RZ Kunde Housing Kunde Colocation
RZ
Daten
Möglichkeiten und Grenzen der Digitalen Forensik Steffen GörlichKanton Zürich
Direktion der Justiz und des Innern
Strafverfolgung Erwachsene
DIGITALE SPUREN
Malware
Inhalt
• Speicherort beim Hersteller
Wer? • Verbreitung über Internet
• Einsatz mittels Botnet
Wann?
• Command- und Control-Server
Wo?
Was? Kommunikationsdaten (Mail/Messages/Voice)
• Inhaltsdaten und Randdaten
Wie?
• Aufzeichnungen / Protokolle / Skripte
Warum? • Data in storage, Data in Traffic
• Datenspeicher / Cloud-Speicher
Geldfluss
• Währungsart (Konventionell oder Internetwährung)
• Kontodaten / Wallet-Data
• Kontoinhaber / Wallet-Owner
• Paper -Trail © SWKanton Zürich
Direktion der Justiz und des Innern
Strafverfolgung Erwachsene
DATA IN STORAGE / IN TRAFFIC?
Inhalt
Wer? Computer /
Durchsuchung
Smartphone
im Sinne von Art. 246 StPO
Router (Internet-
Wann? Herausgabe
(Absender) im Sinne von Art. 265 StPO Anschluss)
Wo?
Zugangsprovider
Überwachung im Sinne von Art. 269 ff. StPO
Was? (Absender)
Wie?
Mailserver
Warum? (Absender / Empfänger)
Zugangsprovider
Überwachung im Sinne von Art. 269 ff. StPO
(Empfänger)
Router (Internet- Computer /
Durchsuchung
Anschluss)
im Sinne von Art. 246 StPO
Smartphone
Herausgabe im Sinne von Art. 265 StPO (Empfänger)
© SWKanton Zürich
Direktion der Justiz und des Innern
Strafverfolgung Erwachsene
DATA IN STORAGE / IN TRAFFIC?
Inhalt
Wer? Zugang vom Computer / Zugang über Mail-Server
Wann?
Smartphone mittels beim Mail-Provider
Username/Password • Überwachung
Wo?
• Briefkastenschlüssel? • WLAN-Ports 21d!
Was?
Wie?
Mailserver
Warum? (Absender / Empfänger)
Rückwirkender Mailverkehr:
• Randdaten (RTI 6M)
• Inhaltsdaten?
© SWKanton Zürich
Direktion der Justiz und des Innern
Strafverfolgung Erwachsene
DIGITALE SPUREN WORDLWIDE
Art. 3 StGB: Territorialitätsprinzip
Inhalt
1 Diesem Gesetz ist unterworfen, wer in der Schweiz ein Verbrechen oder Vergehen
Wer?
begeht.
Wann? Art. 299 StGB: Verletzung fremder Gebietshoheit
Wo? 1. Wer die Gebietshoheit eines fremden Staates verletzt, insbesondere durch
Was? unerlaubte Vornahme von Amtshandlungen auf dem fremden Staatsgebiete
Wie?
Warum?
© SW 36Kanton Zürich
Direktion der Justiz und des Innern
Strafverfolgung Erwachsene
„MLAT“ / NATIONAL
Art. 3 StGB:
ISP: Territorialitätsprinzip
Internet-Service- Benutzer;
Inhalt
1 Diesem Gesetz ist unterworfen, wer in der Schweiz ein Verbrechen oder Vergehen
Wer? Provider CH GES:
•begeht.
Sitz CH • Anschluss CH
Wann? Art. 299 StGB:
• Provider Verletzung fremder Gebietshoheit
gemäss • Edition
Wo? 1.FMG/BÜPF • Auswertung
Wer die Gebietshoheit eines fremden Staates verletzt, insbesondere durchHD
Was?
•unerlaubte Vornahme
RTI, Echtzeit etc.von Amtshandlungen auf dem fremden • Profilübernahme
Staatsgebiete
• RTI ü 6 Monate: • VF/VE
Wie? BGE 1B_481/2012 vs • RTI/Echtzeit
Warum? BGE 1B_128/2013
© SW 37Kanton Zürich
Direktion der Justiz und des Innern
Strafverfolgung Erwachsene
MLAT / INT. / EU
Art. 3 StGB: Territorialitätsprinzip
Cybercrime Convention ; Grundregel
ISP: Internet-Service- Artikel 29 Umgehende Sicherung Benutzer;
Inhalt gespeicherter
1 Diesem Gesetz ist unterworfen, wer in der Schweiz ein VerbrechenCH;
Computerdaten oder Vergehen
Wer? Provider EU 1 Eine Vertragspartei kann GES
eine andere Vertragspartei
begeht.
• Preservation Requests um Anordnung oder anderweitige • Art.Bewirkung
31 Abs.der1
Wann? Art.gemäss
299 StGB:
Art.Verletzung
18 und 29,fremder Gebietshoheit
umgehenden Sicherung von Daten ersuchen, die
Satz 2 StPO
mittels eines Computersystems gespeichert sind, das sich
Wo? 1. 32
WerCCC
die Gebietshoheit
direkt beimeines fremden Staates verletzt,
im Hoheitsgebiet Liegt nur der
insbesondere
der anderen Vertragspartei durchOrt, an
befindet, und
dem der Erfolg
derentwegen die ersuchende Vertragspartei der
beabsichtigt,
Was? unerlaubte
Provider,Vornahme von Amtshandlungen auf dem fremden Staatsgebiete
Straftat eingetreten
ein Rechtshilfeersuchen um Durchsuchung oder
• Rechtshilfe (31 CCC) ähnlichen Zugriff, Beschlagnahme oder ähnliche
Titel 2 – Rechtshilfe in Bezug aufist, in der Schweiz,
Ermittlungsbefugnisse
Wie? nach Staats-V/ IRSG Sicherstellung oder Weiter-gabeso dersind
Daten zu stellen.
Art. 31 CCC Rechtshilfe beim Zugriff aufdie
gespeicherte
Warum? (Bsp. D: Vertrag zwischen CH Computerdaten Behörden dieses
und der D über die Ergänzung 1 Eine Vertragspartei kann eineOrtes
andere Vertragspartei
zuständig
des Europäischen um Durchsuchung oder ähnlichen Zugriff, um
Beschlagnahme oder ähnliche Sicherstellung und um
Übereinkommens über die
Weitergabe von Daten ersuchen, die mittels eines
Rechtshilfe in Strafsachen vom Computersystems gespeichert sind, das sich im
20. April 1959 und die Hoheitsgebiet der er-suchten Vertragspartei befindet,
Erleichterung seiner einschließlich Daten, die nach Artikel 29 gesichert worden
Anwendung: Direkter Verkehr) sind.
© SW 38Kanton Zürich
Direktion der Justiz und des Innern
Strafverfolgung Erwachsene
MLAT / INT. / USA
Art. 3 StGB: Territorialitätsprinzip
Inhalt ISP, Enduser USA:
1 Diesem Gesetz ist unterworfen, wer in der Schweiz ein Verbrechen oder Vergehen
Wer? • Staatsvertrag mit den
begeht. Vereinigten Staaten von
Wann? Art. 299 StGB: Verletzung fremder Gebietshoheit
Amerika über gegenseitige
Wo? 1. Wer die Gebietshoheit eines fremden Staates verletzt, insbesondere
Rechtshilfe durch(BG-
in Strafsachen
Was? unerlaubte Vornahme von Amtshandlungen RVUS,
auf dem fremden
SR 351.93 Staatsgebiete
• Bundesgesetz
Wie?
zum Staatsvertrag mit den
Warum? Vereinigten Staaten von
ISP USA: Amerika über gegenseitige
• Preservation Requests Rechtshilfe in Strafsachen (SR
nach Art. 18 und 32 CCC 351.93)
Anfragen über Mail, • Beweiserhebungen: Dauer 3-
LERS-Portale 18M
• Über Zentralstelle USA des BJ
© SW 39Kanton Zürich
Direktion der Justiz und des Innern
Strafverfolgung Erwachsene
PR / INT. / NON GOV. FRIENDLY
Art. 3 StGB:
ISP: Territorialitätsprinzip
Internet-Service-
Inhalt
1 Diesem Gesetz ist unterworfen, wer in der Schweiz ein Verbrechen oder Vergehen
Wer? Provider Non-EU,
begeht.
Non-US, non-CCC:
Wann? Art. 299 StGB: Verletzung fremder Gebietshoheit
• Rechtshilfeführer
Wo? 1. Wer die Gebietshoheit eines fremden Staates verletzt, insbesondere durch
admin.ch
Was? unerlaubte Vornahme von Amtshandlungen auf dem fremden Staatsgebiete
Wie?
Warum?
© SW 40Kanton Zürich
Direktion der Justiz und des Innern
Strafverfolgung Erwachsene
PR / OFF-SHORE / CLOUD
Art. 3 StGB: Territorialitätsprinzip
Dynamic Off-Shore Cloud-Speicher
Inhalt
1 Diesem Gesetz ist unterworfen, wer in der Schweiz ein Verbrechen oder Vergehen
Wer? Serverfarmen • Kein „Serverstandort“
begeht.
• Keine Staatsverträge • Keine physisch isolierbaren
Wann? Art. 299 StGB: Verletzung fremder Gebietshoheit
• Keine Rechner
Wo? 1. Datenspeicherfristen
Wer die Gebietshoheit eines fremden• Staates
Keineverletzt,
Server insbesondere durch
am allfälligen
unerlaubte Vornahme von Amtshandlungen auf dem fremden Staatsgebiete
Was?
• Keine Firmensitz
Wie? Gegenseitigkeit nach • Keine Lokalisation der
Warum? IRSG Daten(-Fragmente) möglich
© SW 41 Apple iOS-Geräte - Fernlöschung
► Spurenschutz!
► Flug- | Offlinemodus aktivieren
► Stromversorgung sicherstellen
Möglichkeiten und Grenzen der Digitalen Forensik Steffen Görlich Apple iOS-Geräte
► Brute-Force Attacke
► Einfacher Gerätesperrcode
► Version iOS 7 | (iOS 8)
► Löschung nach 10 Falscheingaben
Möglichkeiten und Grenzen der Digitalen Forensik Steffen Görlich Apple iOS-Geräte - Gerätesperrcode ► Kooperation ► = iOS 8 ► Einfacher Code ►
Lösungsansatz für digitale Spuren?
Polizei Justiz
Informatiker
Forensik
Forensisches Institut Zürich
Eine Organisation der Kantonspolizei und Stadtpolizei Zürich
Ra Mai 10Polizeiliches Ermittlungsverfahren
Art. 306 StPO: Aufgaben der Polizei
• 1
Die Polizei stellt im Ermittlungsverfahren auf der
Grundlage von Anzeigen, Anweisungen der Staats-
anwaltschaft oder eigenen Feststellungen den für
eine Straftat relevanten Sachverhalt fest.
• 2 Sie hat namentlich:
a. Spuren und Beweise sicherzustellen und
auszuwerten;
b. geschädigte und tatverdächtige Personen zu
ermitteln und zu befragen;
c. tatverdächtige Personen nötigenfalls anzuhalten
und festzunehmen oder nach ihnen zu fahnden.
Forensisches Institut Zürich
Eine Organisation der Kantonspolizei und Stadtpolizei Zürich
Ra Mai 10Art. 139 ff in der StPO: Beweismittel
Art. 139: Grundsätze
1 Die Strafbehörden setzen zur Wahrheitsfindung
alle nach dem Stand von Wissenschaft und
Erfahrung geeigneten Beweismittel ein, die
rechtlich zulässig sind.
• Was heisst alle geeigneten Beweismittel?
• Diverse weiteren Artikel regeln, was rechtlich nicht
zulässig ist oder wann Beweismittel nicht verwertet
werden können!
Forensisches Institut Zürich
Eine Organisation der Kantonspolizei und Stadtpolizei Zürich
Ra Mai 10Weisse Flecken in der StPO
• Art. 306 Abs. 2 lit. a
… Die Polizei hat namentlich …
• Art. 139
… zur Wahrheitsfindung alle …
• Umfang?
• Qualität?
• Methoden?
• Beizug von Spezialisten? Polizei Staatsanwalt
Forensisches Institut Zürich
Eine Organisation der Kantonspolizei und Stadtpolizei Zürich
Ra Mai 10Beschlagnahme
Art. 263 StPO: Grundsatz
1Gegenstände und Vermögenswerte einer
beschuldigten Person oder einer Drittperson
können beschlagnahmt werden, wenn die
Gegenstände und Vermögenswerte
voraussichtlich:
a. als Beweismittel gebraucht werden; …
3 Ist Gefahr im Verzug, so können die Polizei oder
Private … … vorläufig sicherstellen.
Forensisches Institut Zürich
Eine Organisation der Kantonspolizei und Stadtpolizei Zürich
Ra Mai 10Kanton Zürich
Direktion der Justiz und des Innern
Strafverfolgung Erwachsene
PR / OFF-SHORE / CLOUD
Art. 3 StGB: Territorialitätsprinzip
Off-Shore Serverfarmen/Cloud-Speicher
Inhalt
1Diesem Gesetz ist unterworfen, wer in der Schweiz ein Verbrechen oder Vergehen
Wer?
begeht.
Problem:
Wann? Art. 299 StGB: Verletzung fremder Gebietshoheit
Anknüpfungspunkt am „Serverstandort“
Wo? 1. Wer die Gebietshoheit eines fremden Staates verletzt, insbesondere durch
Was? unerlaubte Vornahme von Amtshandlungen auf dem fremden Staatsgebiete
Wie?
Warum?
© SW 50Kanton Zürich
Direktion der Justiz und des Innern
Strafverfolgung Erwachsene
PR / OFF-SHORE / CLOUD
Art. 3 StGB: Territorialitätsprinzip
Off-Shore Serverfarmen/Cloud-Speicher
Inhalt
1Diesem Gesetz ist unterworfen, wer in der Schweiz ein Verbrechen oder Vergehen
Wer?
begeht.
Lösung:
Wann? Art. 299 StGB: Verletzung fremder Gebietshoheit
Anknüpfungspunkt am Ort der Verfügbarkeit der
Wo? 1. Wer die nämlich
Daten, Gebietshoheit eines fremden Staates verletzt, insbesondere durch
unerlaubte Vornahme von Amtshandlungen auf dem fremden Staatsgebiete
Was?
• auf durchsuchtem Rechner mittels Zugangsdaten
Wie? • am Sitz der Unternehmung in der Schweiz
Warum? • am Sitz der Niederlassung in der Schweiz
© SW 51Kanton Zürich
Direktion der Justiz und des Innern
Strafverfolgung Erwachsene
INTERNATIONALER ENTSCHEID
• Urteil des District Court Southern New York vom 25. April 2014
Inhalt
Wer?
Wann?
Wo?
Was?
Wie?
Warum?
© SW 52Kanton Zürich
Direktion der Justiz und des Innern
Strafverfolgung Erwachsene
NATIONALE PRAXIS?
Inhalt
Wer? Problem: Erhebung am Speicherort
Wann? Lösung: Erhebung am CH-Sitz oder -Niederlassung
Wo? Artikel 18 – Anordnung der Herausgabe
1 Jede Vertragspartei trifft die erforderlichen
Was? gesetzgeberischen und anderen Maßnahmen, um ihre
zuständigen Behörden zu ermächtigen anzuordnen,
Wie? a dass eine Person in ihrem Hoheitsgebiet bestimmte
Computerdaten, die sich in ih-rem Besitz oder unter ihrer
Warum? Kontrolle befinden und die in einem Computersys-tem
oder auf einem Computerdatenträger gespeichert sind,
vorzulegen hat und
b dass ein Diensteanbieter, der seine Dienste im
Hoheitsgebiet der Vertragspartei anbietet,
Bestandsdaten in Zusammenhang mit diesen
Diensten, die sich in seinem Besitz oder unter seiner
Kontrolle befinden, vorzulegen hat.
© SW 53Kanton Zürich
Direktion der Justiz und des Innern
Strafverfolgung Erwachsene
ANSATZ SCHWEINGRUBER*
• Artikel 18 CCC (Cybercrime Convention)
Inhalt
Anordnung der Herausgabe
Wer?
• 1 Jede Vertragspartei trifft die erforderlichen gesetzgeberischen und
Wann? anderen Maßnahmen, um ihre zuständigen Behörden zu ermächtigen
Wo? anzuordnen,
Was? • a dass eine Person in ihrem Hoheitsgebiet bestimmte Computerdaten,
Wie?
die sich in ihrem Besitz oder unter ihrer Kontrolle befinden und die in
einem Computersys-tem oder auf einem Computerdatenträger
Warum? gespeichert sind, vorzulegen hat und
• b dass ein Diensteanbieter, der seine Dienste im Hoheitsgebiet der
Vertragspartei anbietet, Bestandsdaten in Zusammenhang mit diesen
Diensten, die sich in sei-nem Besitz oder unter seiner Kontrolle befinden,
vorzulegen hat.
*STA lic.iur. Sandra Schweingruber, Jusletter vom 10. November 2014
© SW 54Kanton Zürich
Direktion der Justiz und des Innern
Strafverfolgung Erwachsene
ANSATZ SCHWEINGRUBER*
Inhalt
Wer?
Wann?
Wo?
Was?
Wie?
Warum?
© SW 55Kanton Zürich
Direktion der Justiz und des Innern
Strafverfolgung Erwachsene
DIREKTE „EDITION“?
Artikel 32 CCC (Cybercrime Convention)
Inhalt
Grenzüberschreitender Zugriff auf gespeicherte Computerdaten mit
Wer? Zustimmung oder wenn diese öffentlich zugänglich sind
Wann? • Eine Vertragspartei darf ohne die Genehmigung einer anderen
Wo? Vertragspartei
Was? a auf öffentlich zugängliche gespeicherte Computerdaten (offene
Wie?
Quellen) zugreifen, gleichviel, wo sich die Daten geographisch
befinden, oder
Warum?
b auf gespeicherte Computerdaten, die sich im Hoheitsgebiet einer
anderen Vertragspartei befinden, mittels eines Computersystems in
ihrem Hoheitsgebiet zugreifen oder diese Daten empfangen, wenn sie
die rechtmäßige und freiwillige Zustimmung der Person einholt, die
rechtmäßig befugt ist, die Daten mittels dieses Computersystems
an sie weiterzugeben.
© SW 56Kanton Zürich
Direktion der Justiz und des Innern
Strafverfolgung Erwachsene
FALLSTUDIE
Inhalt 1. Rassendiskriminierungen via Facebook Accounts
Wer? 2. Preservation Request bei Facebook
Wann? 3. Facebook verlangt „richterlichen Entscheid“ für die freiwillige
Herausgabe im Sinne von Art. 32 CCC
Wo?
4. Nicht-Genehmigung bzw. -Eintreten durch ZMG, da kein Art. 32 CCC
Was?
Anwendungsfall (Datenherrin, Freiwilligkeit)
Wie? 5. Beschwerde ans BGER
Warum? • Anwendungsfall von Art. 32 CCC, weil Daten gemäss AGB bei
Upload Facebook in den Besitz von Facebook übergehen.
• Art. 273 StPO anwendbar, da RTI-Daten (IP-History und
Zeitstempel Eruierung Anschlussinhaber ermöglicht)
• Keine rückwirkende Rekonstruktion von Inhaltsdaten mittels URL
© SW 57 Zwei-Faktor Authentifizierung (2FA)
► Zusätzliche Sicherheit Identitätsnachweis
Wissen Besitz
► Geldautomat PIN Bankkarte
► Arbeitsplatz Passwort Smartcard
► e-Banking Vertragsnummer Kartenleser Zwei-Faktor Authentifizierung (2FA) ► The Fappening | #Celebgate
Zwei-Faktor Authentifizierung (2FA) ► Google Konto | Google Mail ► Passwort ► SMS ► Anruf ► Google Authenticator ► Sicherheitsschlüssel
Zwei-Faktor Authentifizierung (2FA)
Zwei-Faktor Authentifizierung (2FA)
Kanton Zürich
Direktion der Justiz und des Innern
Strafverfolgung Erwachsene
PHISHING „CLASSIC“
Inhalt
Wer?
Wann?
Wo?
Was?
Wie?
Warum? username
password
© SWKanton Zürich
Direktion der Justiz und des Innern
Strafverfolgung Erwachsene
PHISHING „TODAY“
Inhalt
Wer?
Wann?
Wo?
Was?
Wie?
Warum?
© SWKanton Zürich
Direktion der Justiz und des Innern
Strafverfolgung Erwachsene
PHISHING „TODAY“
Inhalt
„Hintermann“
Wer?
• Sender der E-Mails,
Wann? • Koordinator ; Empfänger des Geldes
Wo?
• Zuständigkeit BA bei Hintermännern im Ausland
Was?
„Malware-Distributor“
Wie? • Versendet Malware
Warum?
• Kann Tor-Exit-Node oder Botnet sein
• Zuständigkeit am Tatort/Wohnort
„Money Mule“
• Stellt eigenes Konto zur Verf.
• Leitet Gelder auf Anweisung weiter
• Ist von „Firma“ angestellt
• Zuständigkeit am Tatort/Wohnort
© SW Verschlüsselung
WHO WATCHES THE WATCHMEN? Verschlüsselung ► BitLocker ► File Vault 2 ► dm-crypt/LUKS ► Apple iOS 8 ► Android 5
Verschlüsselung - Kommunikation ► Skype ► WhatsApp ► Threema
Verschlüsselung
► Schwachstellen
► Kooperation
► Dictionary Attack
► Ermittlung
► Brute-Force Attack
► ► GovWare
► Verschlüsselung (Government Software)Kanton Zürich
Direktion der Justiz und des Innern
Strafverfolgung Erwachsene
ÜBERWACHUNG?
Inhalt
Wer?
Wann?
Wo?
Mil. Nachrichtendienst Strafverfolgung
Was? Lagebild Beweiserhebung
Wie? Bedrohungen Katalogtaten
gesetzliche Grundlage Verhältnismässigkeit (Tatschwere)
Warum? Dringender Tatverdacht
Proportionalität
Susidiarität
Genehmigung Zwangsmassnahmengericht
Mitteilungspflicht
Zufallsfunde
Verwertbarkeit
© SW 70Kanton Zürich
Direktion der Justiz und des Innern
Strafverfolgung Erwachsene
ÜBERWACHUNG „CLASSIC“
Inhalt
Internetzugangsanbieterin
Wer?
ISP
Wann?
Wo? Packet-Loss
LIS/ISS, ISC ÜPF
Was?
Unverschlüsselt
Wie?
Warum?
Ausleitung einer Kopie
des Ein- und Ausgehenden
Datenverkehrs
Untersuchungsbehörde
© SW 71Kanton Zürich
Direktion der Justiz und des Innern
Strafverfolgung Erwachsene
ÜBERWACHUNG SERVER
Art. 3 StGB: Territorialitätsprinzip
Inhalt
Echtzeitüberwachung
1 Diesem Gesetz ist unterworfen, wer in der Schweiz im Sinne
ein Verbrechen oder von
Vergehen
Wer?
begeht. Art. 269ff StPO
Genehmigungsfähig (ZMG OG ZH)
Wann? Art. 299 StGB: Verletzung fremder Gebietshoheit
Nicht über ISC-EJPD, Dienst ÜPF
Wo? 1. Wer die Gebietshoheit eines fremden Staates verletzt,
Direkt beiminsbesondere
Provider durch
Was? unerlaubte Vornahme von Amtshandlungen auf dem fremden
Ausleitung aufStaatsgebiete
Server
Wie?
Man in the middle
kostenschonend
Warum?
Nur bei intakter PPP
keine Verschlüsselung
Untersuchungs-
behörde
© SW 72Kanton Zürich
Direktion der Justiz und des Innern
Strafverfolgung Erwachsene
ÜBERWACHUNG GOVWARE
Inhalt
IP Ausleitung
Wer?
Wann?
Wo?
Was?
Wie?
Warum? GovWare
Untersuchungsbehörde
© SW 73Kanton Zürich
Direktion der Justiz und des Innern
Strafverfolgung Erwachsene
ÜBERWACHUNG NOGOVWARE
Inhalt
Wer?
Wann?
Wo?
Was?
Wie?
Warum?
Untersuchungsbehörde
© SW 74Kanton Zürich
Direktion der Justiz und des Innern
Strafverfolgung Erwachsene
FRAGEN? Fragen? Fragen?
Vielen Dank für Ihre Aufmerksamkeit und Ihr Interesse!
Sicherheitstacho
Forensisches Institut Zürich
Eine Organisation der Kantonspolizei und Stadtpolizei Zürich
© SWSie können auch lesen
