Today digital forensic investigation is a standard procedure in crime investigations of law enforcement agencies. While classic forensic sciences like dactyloscopy have become common and are based on standardized procedure and methods with profound theoretical knowledge on one hand and an evaluated practical approach on the other hand, digital forensic is in the early stage of development. In the field of digital forensic academic research and practitioners seem to coexist instead of providing each other with their specific knowledge. A lot of theoretical considerations could not be implemented in practice while in some practical areas the work is done in a non-forensically sound matter because of the missing scientific fundament. The thesis is focused on the preservation phase of a digital forensic investigation; mainly the selection of dedicated data objects for the preservation or the specific deletion of these objects. This work examines the origin of forensical sciences from the field of criminalistics and discusses scientific and juridical fundamentals. The commonly used terms authenticity and integrity are explicitly defined and transferred from classical forensic sciences to digital forensic. Juridical requirements like the code of criminal procedure (StPO) and the ”Elfes-Urteil“ are adopted to the definition of appropriate (permitted and relevant) data sets for the investigation. The main focus of this thesis is the theoretical definition of parameters for a forensically sound selective imaging and the examination of applicability in practice. For this purpose existing forensic standard tools where tested and evaluated against predefined criteria. Additional the complex of selective deletion is examined. Juridical claims are confronted with technical possibilities. On the basis of an implemented prototyp and an exisiting forensic tool the practical capability is demonstrated.

Die IT-Forensik gehört zu den Standard-Ermittlungsbereichen und Standardansätzen der Strafverfolgungsbehörden weltweit. Während sich klassische Wissenschaften, wie die Daktyloskopie, längst anhand von standardisierten Vorgehensweisen und Modellen zu forensischen Wissenschaften mit fundierten theoretischen Überlegungen auf der einen Seite und dem praktischen Einsatz auf der anderen Seite entwickelt haben, zeigen sich in der IT-Forensik offensichtliche Defizite. Grundlegende wissenschaftliche Forschung konkurriert mit pragmatischen technischen Ansätzen. In vielen Teilbereichen werden theoretische Überlegungen ”auf dem Reißbrett“ entworfen, die in die Praxis nicht umgesetzt werden können, während in anderen Bereichen praktisch ohne eine fundierte forensische Grundlage gearbeitet wird. Die vorliegende Arbeit fokussiert den Teilbereich der Sicherungsphase IT-forensischer Untersuchungen in Hinblick auf gezielte Selektionen im Bereich der Sicherung und des Löschens dedizierter Datenobjekte. Im theoretischen Bereich werden die Ursprünge der forensischen Wissenschaften aus der Kriminalistik sowie deren wissenschaftliche und juristische Grundlagen betrachtet. Aufbauend hierauf werden die allgemein verwendeten Begriffe der Authentizität und der Integrität für analoge und digitale Beweismittel übergreifend klar definiert, bevor diese auf das Spezialgebiet der digitalen Forensik übertragen werden. Juristische Rahmenbedingungen, wie die StPO oder das Elfes-Urteil, gehen hierbei in die theoretischen Überlegungen zur Definition in einem Ermittlungsprozess geeigneter (erlaubter und relevanter) Datenmengen ein. Hauptaugenmerk dieser Arbeit ist die theoretische Definition von Rahmenbedingungen einer forensisch korrekten selektiven Sicherung und der Untersuchung der Anwendbarkeit einer solchen alternativen Sicherungsmethode in der Praxis. Hierfür wurden die aktuell zur Verfügung stehenden forensischen Standard-Tools anhand eines Testaufbaus untersucht und gegen aufgestellte Kriterien evaluiert. Ergänzend zur selektiven Sicherung wird der Themenkomplex des selektiven Löschens beleuchtet. Juristischen Forderungen werden technische Möglichkeiten gegenübergestellt. Anhand eines implementierten Prototypen und einer existierenden forensischen Software wird aufgezeigt, dass selektives Löschen in Theorie und Praxis möglich ist.