Möglichkeiten und Grenzen der digitalen Forensik - Kriminalistisches Institut, Wintersemester 2015 - grundrechte.ch
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
Möglichkeiten und Grenzen der digitalen Forensik Kriminalistisches Institut, Wintersemester 2015 Jörg Arnold dipl. phys. ETHZ Forensisches Institut Zürich Fachbereichsleiter Unfälle/Technik Eine Organisation der Kantonspolizei und Stadtpolizei Zürich Andreas Leu, Automobil-Ing. FH Experte Unfallanalytik Forensisches Institut Zürich Eine Organisation der Kantonspolizei und Stadtpolizei Zürich Ra Mai 10
Möglichkeiten und Grenzen der digitalen Forensik Kriminalistisches Institut, Wintersemester 2015 Zeit/Ort: Dienstag, 20. Januar 2015, Freitag, 23. Januar 2015, Theatersaal, Universität Irchel Referent: Steffen Görlich, MSc Computer Forensics, DC TEU-ICT
Kanton Zürich Direktion der Justiz und des Innern Strafverfolgung Erwachsene Möglichkeiten und Grenzen der digitalen Forensik Kriminalistisches Institut, Wintersemester 2015 Zeit/Ort: Dienstag, 20. Januar 2015, Freitag, 23. Januar 2015, Theatersaal, Universität Irchel Referent: STA lic.iur. St. Walder, STA II, Abt. D © SW2015
NFC - Near Field Communication ► App Banking Card Reader Möglichkeiten und Grenzen der Digitalen Forensik Steffen Görlich
Digitale Spuren Aufzeichnungen • Digitale Spuren in Fahrzeugen • Aufzeichnungsgeräte (DFS, RAG, UDS, TEL1000, Jupiter, …… VTS Art. 100 und Art. 102) • Videoaufzeichnungen (SatSpeed, Semista, Tunnels, Gebäude, DashCams, z. B. 2014 Corvette C7, ……) • EDR (EventDataRecorders) und CDR-Kit • Seitenblick in die StPO Forensisches Institut Zürich Eine Organisation der Kantonspolizei und Stadtpolizei Zürich Ra Mai 10
Kollisionsdaten EDR UDS/RAG/TEL1000 Crashrecorder Personenwagen Fz-Identifikation VIN elektronisch Steuergeräte Lastwagen Schliesssysteme Fahrzeuge Schlüssel-Daten Transponder… Motorräder Navigationsgeräte externe interne Schliessysteme Brandmeldesysteme Gebäudetechnik Digitale Spuren Maschinensteuerungen Krananlagen CNC-Maschinen Steuerungen Anlagensteuerungen Server Laptops Computer PC's/Internet HDD's Mobile Smartphones Kommunikation Apps GPS-Daten Forensisches Institut Zürich Eine Organisation der Kantonspolizei und Stadtpolizei Zürich Ra Mai 10
Datenspeicherung in Fahrzeugen • Digitale Spuren in Steuergeräten – Daten des Steuergerätes (VIN-Nummer, Seriennummer, Produktion etc. ) – Fehlercodes mit Umgebungsdaten – Schlüssel und Schliessdaten – Servicedaten • Navigationsdaten • etc., etc. Forensisches Institut Zürich Eine Organisation der Kantonspolizei und Stadtpolizei Zürich Ra Mai 10
Steuergeräte / Spuren sichern OBD II Schnittstelle Forensisches Institut Zürich Eine Organisation der Kantonspolizei und Stadtpolizei Zürich Ra Mai 10
EDR-Daten in Pw's (NHTSA 49 CFR part 563) • Ab 01.01.2013 USA/Kanada: Alle neuen und neu importierten Fahrzeuge (inkl. aus Asien und Europa), die über EDR verfügen, müssen diesem Gesetz entsprechen • EDR: Event Data Recorder Baustein im ACM (Airbag Control Module) vorhanden Kostet ca. 2 $ Enthält vorkollisionäre Daten aus dem Airbag Modul nach einem "Crash" oder einem „Beinahe-Crash“ Forensisches Institut Zürich Eine Organisation der Kantonspolizei und Stadtpolizei Zürich Ra Mai 10
CDR-Kit (BOSCH Crash Data Retrival Kit) Auslesen über OBDII Schnittstelle (intakte Fahrzeugelektrik) Bei stark beschädigten Fahrzeugen kann das Steuergerät direkt ausgelesen werden Forensisches Institut Zürich Eine Organisation der Kantonspolizei und Stadtpolizei Zürich Ra Mai 10
Dashcams in Fahrzeugen Forensisches Institut Zürich Eine Organisation der Kantonspolizei und Stadtpolizei Zürich Ra Mai 10
Spurensicherung ab dem Fahrzeug • Nur gemeinsam mit dem Hersteller: • Zeitfaktor: Man sollte sofort …….!!! • Digitale Spuren in Steuergeräten – Daten des Steuergerätes (VIN-Nummer, Seriennummer, Produktion etc. ) – Fehlercodes mit Umgebungsdaten? – Schlüssel und Schliessdaten? – Servicedaten • Navigationsdaten ??? Forensisches Institut Zürich Eine Organisation der Kantonspolizei und Stadtpolizei Zürich Ra Mai 10
Interpretation der Spuren • Basiert auf den mit dem Hersteller zusammen gesicherten digitalen Spuren! • Digitale Spuren in Steuergeräten – Daten des Steuergerätes: Verändert? – Fehlercodes mit Umgebungsdaten: Kriterien? – Schlüssel und Schliessdaten: Kriterien? – Servicedaten: Verändert? • Navigationsdaten ??? Zeitliche Zuordnung? Nur geplant oder gefahren? Forensisches Institut Zürich Eine Organisation der Kantonspolizei und Stadtpolizei Zürich Ra Mai 10
Aktuelle Situation / Fälle? • Wie sehen die Bedürfnisse von Polizei und Staatsanwaltschaft oder Gericht aus! • Wer löst solche Fälle aktuell mit wem? • Navigationsdaten ??? • Personelle Ressourcenplanung? • Prozessuale Fragen: Sicherung Durchsuchung Auswertung … Forensisches Institut Zürich Eine Organisation der Kantonspolizei und Stadtpolizei Zürich Ra Mai 10
Fallbeispiel: "Corvette Schwyz" Forensisches Institut Zürich Eine Organisation der Kantonspolizei und Stadtpolizei Zürich Ra Mai 10
"Corvette Schwyz" Forensisches Institut Zürich Eine Organisation der Kantonspolizei und Stadtpolizei Zürich Ra Mai 10
"Corvette Schwyz" Forensisches Institut Zürich Eine Organisation der Kantonspolizei und Stadtpolizei Zürich Ra Mai 10
Forensisches Institut Zürich Eine Organisation der Kantonspolizei und Stadtpolizei Zürich Ra Mai 10
"Corvette Schwyz" Forensisches Institut Zürich Eine Organisation der Kantonspolizei und Stadtpolizei Zürich Ra Mai 10
"Corvette Schwyz" Verfügbare CDR Daten: Forensisches Institut Zürich Eine Organisation der Kantonspolizei und Stadtpolizei Zürich Ra Mai 10
"Corvette Schwyz" Forensisches Institut Zürich Eine Organisation der Kantonspolizei und Stadtpolizei Zürich Ra Mai 10
JTAG - Navigationsgerät ► Mobile Navigationsgeräte ► Eingegebene Ziele ► Gefahrene Routen | Triplogs ► Datum und Uhrzeit ► Keine Schnittstelle ► Kein Massenspeicher Möglichkeiten und Grenzen der Digitalen Forensik Steffen Görlich
JTAG - Navigationsgerät Möglichkeiten und Grenzen der Digitalen Forensik Steffen Görlich
JTAG - Navigationsgerät Möglichkeiten und Grenzen der Digitalen Forensik Steffen Görlich
JTAG - Navigationsgerät Möglichkeiten und Grenzen der Digitalen Forensik Steffen Görlich
JTAG - Navigationsgerät ► Daten nicht interpretierbar ► proprietäres Datenformat ► teilweise verschlüsselt ► Unterstützung Hersteller ► kostenlos ► Rechtshilfeersuchen Möglichkeiten und Grenzen der Digitalen Forensik Steffen Görlich
Digitale Spuren - Arten Möglichkeiten und Grenzen der Digitalen Forensik Steffen Görlich
Digitale Spurenträger - Arten Möglichkeiten und Grenzen der Digitalen Forensik Steffen Görlich
Digitale Datenträger - Arten Möglichkeiten und Grenzen der Digitalen Forensik Steffen Görlich
Versteckte Datenträger Möglichkeiten und Grenzen der Digitalen Forensik Steffen Görlich
Identifikation - Daten Betreiber RZ Kunde Housing Kunde Colocation RZ Daten Möglichkeiten und Grenzen der Digitalen Forensik Steffen Görlich
Kanton Zürich Direktion der Justiz und des Innern Strafverfolgung Erwachsene DIGITALE SPUREN Malware Inhalt • Speicherort beim Hersteller Wer? • Verbreitung über Internet • Einsatz mittels Botnet Wann? • Command- und Control-Server Wo? Was? Kommunikationsdaten (Mail/Messages/Voice) • Inhaltsdaten und Randdaten Wie? • Aufzeichnungen / Protokolle / Skripte Warum? • Data in storage, Data in Traffic • Datenspeicher / Cloud-Speicher Geldfluss • Währungsart (Konventionell oder Internetwährung) • Kontodaten / Wallet-Data • Kontoinhaber / Wallet-Owner • Paper -Trail © SW
Kanton Zürich Direktion der Justiz und des Innern Strafverfolgung Erwachsene DATA IN STORAGE / IN TRAFFIC? Inhalt Wer? Computer / Durchsuchung Smartphone im Sinne von Art. 246 StPO Router (Internet- Wann? Herausgabe (Absender) im Sinne von Art. 265 StPO Anschluss) Wo? Zugangsprovider Überwachung im Sinne von Art. 269 ff. StPO Was? (Absender) Wie? Mailserver Warum? (Absender / Empfänger) Zugangsprovider Überwachung im Sinne von Art. 269 ff. StPO (Empfänger) Router (Internet- Computer / Durchsuchung Anschluss) im Sinne von Art. 246 StPO Smartphone Herausgabe im Sinne von Art. 265 StPO (Empfänger) © SW
Kanton Zürich Direktion der Justiz und des Innern Strafverfolgung Erwachsene DATA IN STORAGE / IN TRAFFIC? Inhalt Wer? Zugang vom Computer / Zugang über Mail-Server Wann? Smartphone mittels beim Mail-Provider Username/Password • Überwachung Wo? • Briefkastenschlüssel? • WLAN-Ports 21d! Was? Wie? Mailserver Warum? (Absender / Empfänger) Rückwirkender Mailverkehr: • Randdaten (RTI 6M) • Inhaltsdaten? © SW
Kanton Zürich Direktion der Justiz und des Innern Strafverfolgung Erwachsene DIGITALE SPUREN WORDLWIDE Art. 3 StGB: Territorialitätsprinzip Inhalt 1 Diesem Gesetz ist unterworfen, wer in der Schweiz ein Verbrechen oder Vergehen Wer? begeht. Wann? Art. 299 StGB: Verletzung fremder Gebietshoheit Wo? 1. Wer die Gebietshoheit eines fremden Staates verletzt, insbesondere durch Was? unerlaubte Vornahme von Amtshandlungen auf dem fremden Staatsgebiete Wie? Warum? © SW 36
Kanton Zürich Direktion der Justiz und des Innern Strafverfolgung Erwachsene „MLAT“ / NATIONAL Art. 3 StGB: ISP: Territorialitätsprinzip Internet-Service- Benutzer; Inhalt 1 Diesem Gesetz ist unterworfen, wer in der Schweiz ein Verbrechen oder Vergehen Wer? Provider CH GES: •begeht. Sitz CH • Anschluss CH Wann? Art. 299 StGB: • Provider Verletzung fremder Gebietshoheit gemäss • Edition Wo? 1.FMG/BÜPF • Auswertung Wer die Gebietshoheit eines fremden Staates verletzt, insbesondere durchHD Was? •unerlaubte Vornahme RTI, Echtzeit etc.von Amtshandlungen auf dem fremden • Profilübernahme Staatsgebiete • RTI ü 6 Monate: • VF/VE Wie? BGE 1B_481/2012 vs • RTI/Echtzeit Warum? BGE 1B_128/2013 © SW 37
Kanton Zürich Direktion der Justiz und des Innern Strafverfolgung Erwachsene MLAT / INT. / EU Art. 3 StGB: Territorialitätsprinzip Cybercrime Convention ; Grundregel ISP: Internet-Service- Artikel 29 Umgehende Sicherung Benutzer; Inhalt gespeicherter 1 Diesem Gesetz ist unterworfen, wer in der Schweiz ein VerbrechenCH; Computerdaten oder Vergehen Wer? Provider EU 1 Eine Vertragspartei kann GES eine andere Vertragspartei begeht. • Preservation Requests um Anordnung oder anderweitige • Art.Bewirkung 31 Abs.der1 Wann? Art.gemäss 299 StGB: Art.Verletzung 18 und 29,fremder Gebietshoheit umgehenden Sicherung von Daten ersuchen, die Satz 2 StPO mittels eines Computersystems gespeichert sind, das sich Wo? 1. 32 WerCCC die Gebietshoheit direkt beimeines fremden Staates verletzt, im Hoheitsgebiet Liegt nur der insbesondere der anderen Vertragspartei durchOrt, an befindet, und dem der Erfolg derentwegen die ersuchende Vertragspartei der beabsichtigt, Was? unerlaubte Provider,Vornahme von Amtshandlungen auf dem fremden Staatsgebiete Straftat eingetreten ein Rechtshilfeersuchen um Durchsuchung oder • Rechtshilfe (31 CCC) ähnlichen Zugriff, Beschlagnahme oder ähnliche Titel 2 – Rechtshilfe in Bezug aufist, in der Schweiz, Ermittlungsbefugnisse Wie? nach Staats-V/ IRSG Sicherstellung oder Weiter-gabeso dersind Daten zu stellen. Art. 31 CCC Rechtshilfe beim Zugriff aufdie gespeicherte Warum? (Bsp. D: Vertrag zwischen CH Computerdaten Behörden dieses und der D über die Ergänzung 1 Eine Vertragspartei kann eineOrtes andere Vertragspartei zuständig des Europäischen um Durchsuchung oder ähnlichen Zugriff, um Beschlagnahme oder ähnliche Sicherstellung und um Übereinkommens über die Weitergabe von Daten ersuchen, die mittels eines Rechtshilfe in Strafsachen vom Computersystems gespeichert sind, das sich im 20. April 1959 und die Hoheitsgebiet der er-suchten Vertragspartei befindet, Erleichterung seiner einschließlich Daten, die nach Artikel 29 gesichert worden Anwendung: Direkter Verkehr) sind. © SW 38
Kanton Zürich Direktion der Justiz und des Innern Strafverfolgung Erwachsene MLAT / INT. / USA Art. 3 StGB: Territorialitätsprinzip Inhalt ISP, Enduser USA: 1 Diesem Gesetz ist unterworfen, wer in der Schweiz ein Verbrechen oder Vergehen Wer? • Staatsvertrag mit den begeht. Vereinigten Staaten von Wann? Art. 299 StGB: Verletzung fremder Gebietshoheit Amerika über gegenseitige Wo? 1. Wer die Gebietshoheit eines fremden Staates verletzt, insbesondere Rechtshilfe durch(BG- in Strafsachen Was? unerlaubte Vornahme von Amtshandlungen RVUS, auf dem fremden SR 351.93 Staatsgebiete • Bundesgesetz Wie? zum Staatsvertrag mit den Warum? Vereinigten Staaten von ISP USA: Amerika über gegenseitige • Preservation Requests Rechtshilfe in Strafsachen (SR nach Art. 18 und 32 CCC 351.93) Anfragen über Mail, • Beweiserhebungen: Dauer 3- LERS-Portale 18M • Über Zentralstelle USA des BJ © SW 39
Kanton Zürich Direktion der Justiz und des Innern Strafverfolgung Erwachsene PR / INT. / NON GOV. FRIENDLY Art. 3 StGB: ISP: Territorialitätsprinzip Internet-Service- Inhalt 1 Diesem Gesetz ist unterworfen, wer in der Schweiz ein Verbrechen oder Vergehen Wer? Provider Non-EU, begeht. Non-US, non-CCC: Wann? Art. 299 StGB: Verletzung fremder Gebietshoheit • Rechtshilfeführer Wo? 1. Wer die Gebietshoheit eines fremden Staates verletzt, insbesondere durch admin.ch Was? unerlaubte Vornahme von Amtshandlungen auf dem fremden Staatsgebiete Wie? Warum? © SW 40
Kanton Zürich Direktion der Justiz und des Innern Strafverfolgung Erwachsene PR / OFF-SHORE / CLOUD Art. 3 StGB: Territorialitätsprinzip Dynamic Off-Shore Cloud-Speicher Inhalt 1 Diesem Gesetz ist unterworfen, wer in der Schweiz ein Verbrechen oder Vergehen Wer? Serverfarmen • Kein „Serverstandort“ begeht. • Keine Staatsverträge • Keine physisch isolierbaren Wann? Art. 299 StGB: Verletzung fremder Gebietshoheit • Keine Rechner Wo? 1. Datenspeicherfristen Wer die Gebietshoheit eines fremden• Staates Keineverletzt, Server insbesondere durch am allfälligen unerlaubte Vornahme von Amtshandlungen auf dem fremden Staatsgebiete Was? • Keine Firmensitz Wie? Gegenseitigkeit nach • Keine Lokalisation der Warum? IRSG Daten(-Fragmente) möglich © SW 41
Apple iOS-Geräte - Fernlöschung ► Spurenschutz! ► Flug- | Offlinemodus aktivieren ► Stromversorgung sicherstellen Möglichkeiten und Grenzen der Digitalen Forensik Steffen Görlich
Apple iOS-Geräte ► Brute-Force Attacke ► Einfacher Gerätesperrcode ► Version iOS 7 | (iOS 8) ► Löschung nach 10 Falscheingaben Möglichkeiten und Grenzen der Digitalen Forensik Steffen Görlich
Apple iOS-Geräte - Gerätesperrcode ► Kooperation ► = iOS 8 ► Einfacher Code ►
Lösungsansatz für digitale Spuren? Polizei Justiz Informatiker Forensik Forensisches Institut Zürich Eine Organisation der Kantonspolizei und Stadtpolizei Zürich Ra Mai 10
Polizeiliches Ermittlungsverfahren Art. 306 StPO: Aufgaben der Polizei • 1 Die Polizei stellt im Ermittlungsverfahren auf der Grundlage von Anzeigen, Anweisungen der Staats- anwaltschaft oder eigenen Feststellungen den für eine Straftat relevanten Sachverhalt fest. • 2 Sie hat namentlich: a. Spuren und Beweise sicherzustellen und auszuwerten; b. geschädigte und tatverdächtige Personen zu ermitteln und zu befragen; c. tatverdächtige Personen nötigenfalls anzuhalten und festzunehmen oder nach ihnen zu fahnden. Forensisches Institut Zürich Eine Organisation der Kantonspolizei und Stadtpolizei Zürich Ra Mai 10
Art. 139 ff in der StPO: Beweismittel Art. 139: Grundsätze 1 Die Strafbehörden setzen zur Wahrheitsfindung alle nach dem Stand von Wissenschaft und Erfahrung geeigneten Beweismittel ein, die rechtlich zulässig sind. • Was heisst alle geeigneten Beweismittel? • Diverse weiteren Artikel regeln, was rechtlich nicht zulässig ist oder wann Beweismittel nicht verwertet werden können! Forensisches Institut Zürich Eine Organisation der Kantonspolizei und Stadtpolizei Zürich Ra Mai 10
Weisse Flecken in der StPO • Art. 306 Abs. 2 lit. a … Die Polizei hat namentlich … • Art. 139 … zur Wahrheitsfindung alle … • Umfang? • Qualität? • Methoden? • Beizug von Spezialisten? Polizei Staatsanwalt Forensisches Institut Zürich Eine Organisation der Kantonspolizei und Stadtpolizei Zürich Ra Mai 10
Beschlagnahme Art. 263 StPO: Grundsatz 1Gegenstände und Vermögenswerte einer beschuldigten Person oder einer Drittperson können beschlagnahmt werden, wenn die Gegenstände und Vermögenswerte voraussichtlich: a. als Beweismittel gebraucht werden; … 3 Ist Gefahr im Verzug, so können die Polizei oder Private … … vorläufig sicherstellen. Forensisches Institut Zürich Eine Organisation der Kantonspolizei und Stadtpolizei Zürich Ra Mai 10
Kanton Zürich Direktion der Justiz und des Innern Strafverfolgung Erwachsene PR / OFF-SHORE / CLOUD Art. 3 StGB: Territorialitätsprinzip Off-Shore Serverfarmen/Cloud-Speicher Inhalt 1Diesem Gesetz ist unterworfen, wer in der Schweiz ein Verbrechen oder Vergehen Wer? begeht. Problem: Wann? Art. 299 StGB: Verletzung fremder Gebietshoheit Anknüpfungspunkt am „Serverstandort“ Wo? 1. Wer die Gebietshoheit eines fremden Staates verletzt, insbesondere durch Was? unerlaubte Vornahme von Amtshandlungen auf dem fremden Staatsgebiete Wie? Warum? © SW 50
Kanton Zürich Direktion der Justiz und des Innern Strafverfolgung Erwachsene PR / OFF-SHORE / CLOUD Art. 3 StGB: Territorialitätsprinzip Off-Shore Serverfarmen/Cloud-Speicher Inhalt 1Diesem Gesetz ist unterworfen, wer in der Schweiz ein Verbrechen oder Vergehen Wer? begeht. Lösung: Wann? Art. 299 StGB: Verletzung fremder Gebietshoheit Anknüpfungspunkt am Ort der Verfügbarkeit der Wo? 1. Wer die nämlich Daten, Gebietshoheit eines fremden Staates verletzt, insbesondere durch unerlaubte Vornahme von Amtshandlungen auf dem fremden Staatsgebiete Was? • auf durchsuchtem Rechner mittels Zugangsdaten Wie? • am Sitz der Unternehmung in der Schweiz Warum? • am Sitz der Niederlassung in der Schweiz © SW 51
Kanton Zürich Direktion der Justiz und des Innern Strafverfolgung Erwachsene INTERNATIONALER ENTSCHEID • Urteil des District Court Southern New York vom 25. April 2014 Inhalt Wer? Wann? Wo? Was? Wie? Warum? © SW 52
Kanton Zürich Direktion der Justiz und des Innern Strafverfolgung Erwachsene NATIONALE PRAXIS? Inhalt Wer? Problem: Erhebung am Speicherort Wann? Lösung: Erhebung am CH-Sitz oder -Niederlassung Wo? Artikel 18 – Anordnung der Herausgabe 1 Jede Vertragspartei trifft die erforderlichen Was? gesetzgeberischen und anderen Maßnahmen, um ihre zuständigen Behörden zu ermächtigen anzuordnen, Wie? a dass eine Person in ihrem Hoheitsgebiet bestimmte Computerdaten, die sich in ih-rem Besitz oder unter ihrer Warum? Kontrolle befinden und die in einem Computersys-tem oder auf einem Computerdatenträger gespeichert sind, vorzulegen hat und b dass ein Diensteanbieter, der seine Dienste im Hoheitsgebiet der Vertragspartei anbietet, Bestandsdaten in Zusammenhang mit diesen Diensten, die sich in seinem Besitz oder unter seiner Kontrolle befinden, vorzulegen hat. © SW 53
Kanton Zürich Direktion der Justiz und des Innern Strafverfolgung Erwachsene ANSATZ SCHWEINGRUBER* • Artikel 18 CCC (Cybercrime Convention) Inhalt Anordnung der Herausgabe Wer? • 1 Jede Vertragspartei trifft die erforderlichen gesetzgeberischen und Wann? anderen Maßnahmen, um ihre zuständigen Behörden zu ermächtigen Wo? anzuordnen, Was? • a dass eine Person in ihrem Hoheitsgebiet bestimmte Computerdaten, Wie? die sich in ihrem Besitz oder unter ihrer Kontrolle befinden und die in einem Computersys-tem oder auf einem Computerdatenträger Warum? gespeichert sind, vorzulegen hat und • b dass ein Diensteanbieter, der seine Dienste im Hoheitsgebiet der Vertragspartei anbietet, Bestandsdaten in Zusammenhang mit diesen Diensten, die sich in sei-nem Besitz oder unter seiner Kontrolle befinden, vorzulegen hat. *STA lic.iur. Sandra Schweingruber, Jusletter vom 10. November 2014 © SW 54
Kanton Zürich Direktion der Justiz und des Innern Strafverfolgung Erwachsene ANSATZ SCHWEINGRUBER* Inhalt Wer? Wann? Wo? Was? Wie? Warum? © SW 55
Kanton Zürich Direktion der Justiz und des Innern Strafverfolgung Erwachsene DIREKTE „EDITION“? Artikel 32 CCC (Cybercrime Convention) Inhalt Grenzüberschreitender Zugriff auf gespeicherte Computerdaten mit Wer? Zustimmung oder wenn diese öffentlich zugänglich sind Wann? • Eine Vertragspartei darf ohne die Genehmigung einer anderen Wo? Vertragspartei Was? a auf öffentlich zugängliche gespeicherte Computerdaten (offene Wie? Quellen) zugreifen, gleichviel, wo sich die Daten geographisch befinden, oder Warum? b auf gespeicherte Computerdaten, die sich im Hoheitsgebiet einer anderen Vertragspartei befinden, mittels eines Computersystems in ihrem Hoheitsgebiet zugreifen oder diese Daten empfangen, wenn sie die rechtmäßige und freiwillige Zustimmung der Person einholt, die rechtmäßig befugt ist, die Daten mittels dieses Computersystems an sie weiterzugeben. © SW 56
Kanton Zürich Direktion der Justiz und des Innern Strafverfolgung Erwachsene FALLSTUDIE Inhalt 1. Rassendiskriminierungen via Facebook Accounts Wer? 2. Preservation Request bei Facebook Wann? 3. Facebook verlangt „richterlichen Entscheid“ für die freiwillige Herausgabe im Sinne von Art. 32 CCC Wo? 4. Nicht-Genehmigung bzw. -Eintreten durch ZMG, da kein Art. 32 CCC Was? Anwendungsfall (Datenherrin, Freiwilligkeit) Wie? 5. Beschwerde ans BGER Warum? • Anwendungsfall von Art. 32 CCC, weil Daten gemäss AGB bei Upload Facebook in den Besitz von Facebook übergehen. • Art. 273 StPO anwendbar, da RTI-Daten (IP-History und Zeitstempel Eruierung Anschlussinhaber ermöglicht) • Keine rückwirkende Rekonstruktion von Inhaltsdaten mittels URL © SW 57
Zwei-Faktor Authentifizierung (2FA) ► Zusätzliche Sicherheit Identitätsnachweis Wissen Besitz ► Geldautomat PIN Bankkarte ► Arbeitsplatz Passwort Smartcard ► e-Banking Vertragsnummer Kartenleser
Zwei-Faktor Authentifizierung (2FA) ► The Fappening | #Celebgate
Zwei-Faktor Authentifizierung (2FA) ► Google Konto | Google Mail ► Passwort ► SMS ► Anruf ► Google Authenticator ► Sicherheitsschlüssel
Zwei-Faktor Authentifizierung (2FA)
Zwei-Faktor Authentifizierung (2FA)
Kanton Zürich Direktion der Justiz und des Innern Strafverfolgung Erwachsene PHISHING „CLASSIC“ Inhalt Wer? Wann? Wo? Was? Wie? Warum? username password © SW
Kanton Zürich Direktion der Justiz und des Innern Strafverfolgung Erwachsene PHISHING „TODAY“ Inhalt Wer? Wann? Wo? Was? Wie? Warum? © SW
Kanton Zürich Direktion der Justiz und des Innern Strafverfolgung Erwachsene PHISHING „TODAY“ Inhalt „Hintermann“ Wer? • Sender der E-Mails, Wann? • Koordinator ; Empfänger des Geldes Wo? • Zuständigkeit BA bei Hintermännern im Ausland Was? „Malware-Distributor“ Wie? • Versendet Malware Warum? • Kann Tor-Exit-Node oder Botnet sein • Zuständigkeit am Tatort/Wohnort „Money Mule“ • Stellt eigenes Konto zur Verf. • Leitet Gelder auf Anweisung weiter • Ist von „Firma“ angestellt • Zuständigkeit am Tatort/Wohnort © SW
Verschlüsselung WHO WATCHES THE WATCHMEN?
Verschlüsselung ► BitLocker ► File Vault 2 ► dm-crypt/LUKS ► Apple iOS 8 ► Android 5
Verschlüsselung - Kommunikation ► Skype ► WhatsApp ► Threema
Verschlüsselung ► Schwachstellen ► Kooperation ► Dictionary Attack ► Ermittlung ► Brute-Force Attack ► ► GovWare ► Verschlüsselung (Government Software)
Kanton Zürich Direktion der Justiz und des Innern Strafverfolgung Erwachsene ÜBERWACHUNG? Inhalt Wer? Wann? Wo? Mil. Nachrichtendienst Strafverfolgung Was? Lagebild Beweiserhebung Wie? Bedrohungen Katalogtaten gesetzliche Grundlage Verhältnismässigkeit (Tatschwere) Warum? Dringender Tatverdacht Proportionalität Susidiarität Genehmigung Zwangsmassnahmengericht Mitteilungspflicht Zufallsfunde Verwertbarkeit © SW 70
Kanton Zürich Direktion der Justiz und des Innern Strafverfolgung Erwachsene ÜBERWACHUNG „CLASSIC“ Inhalt Internetzugangsanbieterin Wer? ISP Wann? Wo? Packet-Loss LIS/ISS, ISC ÜPF Was? Unverschlüsselt Wie? Warum? Ausleitung einer Kopie des Ein- und Ausgehenden Datenverkehrs Untersuchungsbehörde © SW 71
Kanton Zürich Direktion der Justiz und des Innern Strafverfolgung Erwachsene ÜBERWACHUNG SERVER Art. 3 StGB: Territorialitätsprinzip Inhalt Echtzeitüberwachung 1 Diesem Gesetz ist unterworfen, wer in der Schweiz im Sinne ein Verbrechen oder von Vergehen Wer? begeht. Art. 269ff StPO Genehmigungsfähig (ZMG OG ZH) Wann? Art. 299 StGB: Verletzung fremder Gebietshoheit Nicht über ISC-EJPD, Dienst ÜPF Wo? 1. Wer die Gebietshoheit eines fremden Staates verletzt, Direkt beiminsbesondere Provider durch Was? unerlaubte Vornahme von Amtshandlungen auf dem fremden Ausleitung aufStaatsgebiete Server Wie? Man in the middle kostenschonend Warum? Nur bei intakter PPP keine Verschlüsselung Untersuchungs- behörde © SW 72
Kanton Zürich Direktion der Justiz und des Innern Strafverfolgung Erwachsene ÜBERWACHUNG GOVWARE Inhalt IP Ausleitung Wer? Wann? Wo? Was? Wie? Warum? GovWare Untersuchungsbehörde © SW 73
Kanton Zürich Direktion der Justiz und des Innern Strafverfolgung Erwachsene ÜBERWACHUNG NOGOVWARE Inhalt Wer? Wann? Wo? Was? Wie? Warum? Untersuchungsbehörde © SW 74
Kanton Zürich Direktion der Justiz und des Innern Strafverfolgung Erwachsene FRAGEN? Fragen? Fragen? Vielen Dank für Ihre Aufmerksamkeit und Ihr Interesse! Sicherheitstacho Forensisches Institut Zürich Eine Organisation der Kantonspolizei und Stadtpolizei Zürich © SW
Sie können auch lesen