Mein geschätzter Kollege Sebastian Krause hat in der aktuellen Ausgabe 01/2008 der Zeitschrift iX den TreCorder© der Firma mh Service GmbH auf Herz und Nieren getestet. Was ist das Besondere an der Kiste?
Der Name TreCorder rührt daher, dass es sich um einen portablen PC (Quad-Core-Prozessor Q6600 mit 2,4 GHz und 4 GByte
RAM) handelt, der mit drei forensischen Writeblocker Bays (Digital Intelligence UltraBay von Tableau) ausgestattet ist. Es können also drei forensische Images gleichzeitig erstellt werden. Wer schon einmal mehr als einen PC gleichzeitig sichern musste, wird diesen Vorteil extrem zu schätzen wissen. Auf dem System selbst sind Windows XP und Linux installiert.
Da sich in der iX in der Durchsatztabelle ein kleiner Fehler eingeschlichen hat, habe ich hier die korrigierte Tabelle mit den Messdaten.
Kollege Krause kommt zu folgendem Fazit:
Insbesondere für Sicherheits- und Strafverfolgungsbehörden, die sich regelmäßig und unter Zeitdruck mit umfangreichen Datenmengen im Rahmen von computerforensischen Untersuchungen konfrontiert sehen, beschleunigt der TreCorder die gerichtsverwertbare Beweismittelsicherung deutlich. Gerade wenn mehrere Festplatten sichergestellt werden müssen, kann er seine Stärken durch die parallele Imageerstellung voll ausspielen. Für Ermittler, die etwas mehr Zeit mitbringen, gibt es allerdings auch deutlich günstigere Alternativen wie das Anschließen von externen Write-Blockern über Firewire 800 oder USB 2.0 an performante Notebooks.
Wer unserer Messreihe nicht traut, kann natürlich auch die Daten nehmen, die der Hersteller mit dem LKA Niedersachsen erstellt hat. 😉
Man sollte vielleicht auch auf das Gewicht und den Preis eingehen (gerade dann, wenn es um Steuergelder geht).
Ich habe den Bericht in der ix noch nicht gelesen, aber wird dort auch auf die kleine, aber feine Tatsache eingegangen, dass sich der Schreibschutz abschalten lässt (es mag sein, dass mh mittlerweile nachgebessert hat)?
Für wesentlich weniger Geld hole ich mir lieber ein Notebook mit eSATA und FireWire800 (über ExpressCard), sowie den externen Schreibschutz der Fa. Tableau. Der Vorteil hierbei ist, dass ich für das gleiche Geld mindestens zwei, wenn nicht sogar drei solcher Ausstattungen ordern kann (flexibler Einsatzort).
Ein weiterer Vorteil des externen Schreibschutzes ist, dass ich im Extremfall (mein Sicherungs-PC gibt den Geist auf) auch jedes andere Notebook/jeden anderen PC mit USB- oder FireWire-Anschluss zum sichern nutzen kann.
Ebenso habe ich die Möglichkeit mit dem externen Schreibschutz auf das Ausbauen der Festplatte zu verzichten.
Richtig, Gewicht und Preis sind sicherlich kritische Themen.
Klar ist man mit einem Notebook flexibel, aber der TreCorder richtet sich an Beweismittelsicherer, die nicht nur mal eben eine Platte imagen müssen, sondern zwei oder drei. Den Preis kann man bei häufiger Datensicherung schon verargumentieren, denn welcher Auftraggeber zahlt schon gern dafür, wenn man die dreifache Zeit den Fortschrittsbalken beobachtet, anstatt alles gleichzeitig sichern zu können. 😉
Wie gesagt, Geschwindigkeit bei Mehrfachsicherung ist m.E. das Argument beim TreCorder.
Ich bin im Bereich IT-Kriminaltechnik der Finanzkontrolle Schwarzarbeit tätig. Zur Zeit benutzen wir noch die Kombination Portable PC III (auch von mh-Service GmbH) und den Schreibschutz von Vogon (heute Kroll Ontrack).
Gerade weil wir sehr viele Festplatten innerhalb kürzester Zeit auf einmal sichern müssen, bevorzuge ich die Notebook-Lösung. Es kommt nicht gerade selten vor, dass sich die Fa. im 4. (oder noch höherem) Stock befindet und es keinen Aufzug gibt.
Ich bin mit den Notebooks halt flexibler. Ich kann für das gleiche Geld zwei (oder drei) Leute gleichzeitig in unterschiedlichen Büros (oder gar Durchsuchungsobjekten) einsetzen.
Die Geschwindigkeit kann eh nur bei rein rechnerisch 800 MBit/s liegen, da der Schreibschutz im Trecorder intern über FireWire800 angeschlossen wird.
Diese Geschwindigkeiten erreiche ich auch mit einem Notebook über eine ExpressCard (FireWire800), dem externen Tableau-Schreibschutz und einer extern angeschlossenen eSATA-Festplatte.
Das Teil in den 4. Stock schleppen zu müssen, ist sicherlich ärgerlich. Keine Frage. Da wir oft überregional im Einsatz sind, stellt sich bei uns immer auch die Frage nach der Flugzeugtauglichkeit.
BTW: Ihrer Klientel ist es ja auch nicht immer so wichtig, mit wieviel Personal Sie anrücken 😉
Zu Weihnachten habe ich einen TreCorder geschenkt bekommen. Meine erste Erfahrung damit war ein heftiger Stich im Kreuz. Ja, das Ding *ist* schwer, aber das wurde hier auch schon bemerkt.
Für den Einsatz auf der Chef-Etage werde ich wohl auch weiterhin nicht auf mein 9″ JVC-Notebook, eine 160 GB USB-Festplatte und den externen Tableau-Writeblocker verzichten wollen. Der TreCorder würde nur unnötig Aufsehen erregen und wäre deshalb allenfalls zur psychologischen Kriegsführung geeignet.
Ich plane derzeit nur einen (semi-)stationären Einsatz, zum Beispiel zur Sicherung der Festplatten einer kompletten Abteilung im Rahmen einer eDiscovery. Allerdings stellt sich auch da schon die erste Enttäuschung bei mir ein: die Backplane zur Aufnahme der drei Zielmedien ermöglicht kein Hotplugging. Außerdem müssen die Zielplatten in die Rahmen *geschraubt* werden. Hier hätte ich mir schraubenlose Rahmen ähnlich des Wiebetech FreeTrays gewünscht.
Unangenehm fiel mir außerdem auf, dass das Stromkabel eines Gehäuselüfters in den Bereich des Lüfterrades ragte. Angesichts der auffälligen Geräusche sollte das bei der Endkontrolle auffallen. Die parallele Schnittstelle des TreCorders wird durch das Anschlußkabel für Monitor/Tastatur blockiert. Auch wenn par. Drucker langsam aussterben, hätte das doch nicht unbedingt sein müssen. Ließe sich der TreCorder einmal von der Hardware-Redaktion der c’t testen?
Gibt es schon Erfahrungen mit dem Lufttransport?
War ja ein großzügiger Weihnachtsmann. Wenn ich nicht wüsste, dass mein Kollege Krause hier mitliest, würde ich schreiben, dass ich ihn immer mitleidig angeschaut habe, als er das Teil die Treppen hochgebuckelt hat 🙂
Wir hier in Niedersachsen setzen schon lange keine Laptops mehr ein. Insoweit können wir mit vergleichsweise günstigen Geräten die auch mobil sind, ähnliche Datenwerte wie die Trecorder erreichen. Unsere Lösung sind Barebones von Shuttle mit nach aussen geführten IDE und S-ATA Anschluss. Daneben haben sie eine SCSI-Karte für die ab und zu noch auftretenden SCSI-Festplatten. Durch den Platz im Gehäuse für 3 Festplatten (1 Systemplatte und 2 Platten im Raid)bieten diese ausreichend Raum für die Sicherungen. Da es sich bei den verbauten Komponenten um Standard-PC-Teile handelt sind auch Um- und Aufrüstungen jederzeit möglich.
@rl:
Auch ein interessanter Ansatz und recht flexibel. Wie haben Sie die Writeblocker-Problematik gelöst? Intern oder Extern?
@rl:
Ähm, Barebones? Müssen Sie da nicht noch extra Monitore mit umhertragen?
@re:
Bei Notebooks hat man auch etliche Geräte die es extern anzuschließen gilt. Ein unglaubliches Kabelgewirr und eine große Steckdosenleiste brauch man auch noch 😉
@Thorsten Henke
Ich habe mal den direkten Werbelink aus Ihrer Namens-URL entfernt 😉
Zum Thema Hot Plug:
Es geht unter Windows; unter Linux wenn die Wechselrahmen-HDD dismountet werden.
Bei Windows geht es nur sofern es Treiber und Chipsatz des SATA Controller der Wechselrahmen HDD mitmachen.
Zum Thema Luftfracht:
Mit dem Alu-Koffer für den TreCorder geht es sehr gut, auch bei mehrfachen Reisen gab es keine Probleme. Der Preis des Gepäckstückes TreCorder sollte schon bei Buchung geklärt werden, ansonsten stellt man fest, Billigflug + Gepäck = Kein Billigflug 😉