Zeitstempel

Zeitstempel in der IT-Forensik

Timeline-Analysen bieten Ansatzpunkte, um Vorgänge auf kompromittierten Systemen nachzuvollziehen. Dabei werden sowohl Zeitstempel aus dem Betriebssystem selbst wie auch solche, die durch Artefakte des Betriebssystems oder der Applikationen erstellt worden sind, in die Bewertung mit einbezogen.
Genau deshalb werden Zeitstempel an verschiedenen Orten aufgefunden: Einerseits finden sich im Dateisystem selbst recht ausführliche Zeitstempelinformationen, andererseits enthalten die einzelnen in diesem Dateisystem gespeicherten Dateien sog. Metadaten, die Rückschlüsse auf zeitliche Zusammenhänge zulassen können.

Die modification time, am treffendsten zu übersetzen mit „Zeitpunkt der letzten Änderung“, ist der Zeitpunkt, zu dem eine Datei zum letzten Mal geschrieben wurde; er wird dann aktualisiert, wenn der Inhalt der Datei letztmalig verändert worden ist. Wird die Datei kopiert oder verschoben, ändert das diesen Stempel nicht.

Die acces time ist als Zeitpunkt des letzten Zugangs (accedere „hinschreiten“) der Zeitpunkt, zu dem die Datei zum letzten Mal gelesen oder ausgeführt worden ist. Dieser Zeitstempel wird aktualisiert, wenn Dateiinhalte oder auch Metadaten angezeigt werden.

Speziell Windows verwendet den Zeitstempel der creation time, der den Zeitpunkt der Dateierstellung (creare „erschaffen„) abbildet und bei der Neuerstellung oder der Kopie – nicht aber beim bloßen Verschieben – einer Datei gesetzt wird.

Die Bedeutung von Zeitstempen in Kinderpornografie-Verfahren

Gerade die Haus- und Hofgutachter der einzelnen Staatsanwaltschaften neigen dazu, den Beweiswert der von ihnen aufgefundener Zeitstempel überzuinterpretieren, fast ausnahmslos zu Lasten des Beschuldigten bzw. des Angeklagten. Dem muss sich der spezialisierte Verteidiger schon im Ermittlungsverfahren widersetzen! Dazu ist es meist unumgänglich, IT-fernen Staatsanwälten Bedeutung, Entstehung und Aussagekraft solcher Metadaten in Form von Zeitstempeln darzulegen und die einseitigen Interpretationen von IT-Gutachtern so zu ergänzen, dass eine objektive Bewertung entsteht.