Ob gelöschte Dateien wiederherzustellen sind oder der Zugriff auf geschützte Festplatten gefragt ist: Moderne Forensik-Tools, sogenannte File Carver, sind Ermittlern - zum Beispiel bei der Suche nach kinderpornographischen Inhalten - in vielerlei Hinsicht nützlich. Das IT-Profimagazin iX hat in seiner aktuellen Ausgabe Carving-Werkzeuge auf den Prüfstand gestellt.
In der Standardkonfiguration arbeiteten alle Werkzeuge im iX-Test zuverlässig und unterstützten den forensischen Prozess erheblich. Jedoch gelten auch hier wie für alle anderen forensischen Tools die folgenden Grundsätze:
"Die Ergebnisse der Tools müssen in der Regel manuell nachgearbeitet sowie korrekt interpretiert werden.
Außerdem unterscheiden sich die Ergebnisse im Detail so stark voneinander, dass man sich nie auf ein einzelnes Tool verlassen sollte", erläutert iX-Redakteurin Ute Roos.
Wer mit den Werkzeugen arbeitet, sollte nicht mit Festplattenplatz geizen, rät die iX-Expertin. Alle Tools benötigen bis auf eine Ausnahme extrem viel Speicherplatz, da sie üblicherweise viele Dubletten sowie falschpositive Funde liefern, die man anschließend manuell herausfiltern muss. Ist die zu untersuchende Festplatte sehr stark fragmentiert oder schlicht viel zu groß, stoßen jedoch alle verfügbaren Carving-Werkzeuge an ihre virtuellen Grenzen.
"Sieht man einmal von der Benutzerführung ab, müssen sich die Open-Source-Lösungen gegenüber den kommerziellen nicht verstecken. Schließlich steckt hinter einer komfortablen grafischen Oberfläche oftmals dieselbe Technik. Allerdings konnten wir im iX-Test keinen Platzhirsch ermitteln. Gute Ermittler setzen in der Praxis - aufgrund der unterschiedlichen Funde je Werkzeug - mehrere Tools ein, um qualifizierte Ergebnisse zu bekommen", so Ute Roos.