ForensicRAID™
Der ForensicRAID™ ist das Schweizer Taschenmesser unter den Forensik-Hardware-Tools und garantiert zudem die Befreiung der Ermittlungsbehörden von Schadenersatzansprüchen aufgrund sichergestellter Hardware. Mit dem ForensicRAID™ gehört die archaische Praxis der Beschlagnahmung von Hardware und der Zerstörung von Infrastrukturen der Vergangenheit an. Der Ausschluss von Haftungsrisiken stellt die Motivation zum Kauf des ForensicRAID™ dar.
Der ForensicRAID™ ist ein auf Linux basiertes System, das zum Absaugen von Daten dient, die in Form eines forensischen Images auf dem RAID – dem redundanten Verband mehrerer Datenträger – abgelegt wird. Der ForensicRAID™ ist in der Lage, flüchtigen Speicher auszulesen oder nicht-flüchtige Speicher wie z.B. Festplatten als Images im bewährten ExpertWitness Format (EWF) zu speichern. Bei diesem Format können zusätzliche Informationen wie Beweisnummer, Ausführender, Datum und Uhrzeit mit in der Imagedatei gespeichert werden.
Ein wichtiger Vorteil des ForensicRAID™ besteht im faktischen Haftungsausschluss für Behörden. Die genannten Images ermöglichen eine Beweissicherung ohne die Verursachung von Hardware- und Arbeitsausfällen. Die Unschuldsvermutung kann so im Ermittlungsverfahren faktisch aufrechterhalten werden.
»Der ‚Datenstaubsauger‘ ForensicRAID™ ist der Haftungsausschluss für Behörden und sinnvoll für alle IT-Forensiker, die sich den Abbau von Workstations und Servern ersparen bzw. diese Aufgabe an ihre Assistenzen delegieren wollen.«
Im ForensicRAID™ sind verschiedene Analysetools wie CAINE (Computer Aided IN-vestigative Environment) oder Kali Linux integriert 1)https://www.caine-live.net/ 2)https://www.kali.org/, während eine Protokollinstanz alle Vorgänge des IT-Forensikers dokumentiert und Daten werden analysiert und graphisch aufbereitet. Um für kriminaltechnische Ermittlungen forensisch exakte 1:1-Kopien von Datenträgern zu erstellen und dabei mit größtmöglicher Gewissheit eine versehentliche Manipulation der Quelldaten auszuschließen, ist im ForensicRAID™ ein Write-Blocker integriert. Durch den ForensicRAID™ erübrigt sich das Mitführen eines gewaltigen Sortiments unterschiedlicher Werkzeuge.
Einzelnachweise