Eher durch Zufall bin ich über eine Trainingsession von Guidance (EnCast) gestoßen, die sich mit dem Auffinden von Facebook-Chat Spuren mit EnCase beschäftigt. Nach meiner Beobachtung trifft man zunehmend auf solche oder ähnliche Fragestellungen. Der im Video gezeigte Ansatz macht aber auch deutlich, dass wir in diesem Bereich noch am Anfang stehen, auf komfortable Analysemöglichkeiten zugreifen zu können. Nun zum Guidance-Ansatz: Das EnScript Facebook Chat Parser enthält eine Library zum Interpretieren des JSON (JavaScript Object Notification) Formats. Damit lassen sich dann die Strukturen nach Artefakten aus einem Facebook-Chat durchsuchen. Die Anwendung des EnScripts erfolgt wie gewohnt, im Browser-Temp Verzeichnis die entsprechenden Dateien auswählen und dann den Facebook Chat Parser starten. Das Ergebnis (mit hoffentlichen wenigen Duplicates ;-)) lässt sich dann in Excel darstellen. Der Facebook Chat Parser steht im EnCase Support Portal zum Download bereit.
Ich erlaube mir den Hinweis, dass eine derartige Vorgehensweise/Auswertung datenschutzrechtlich höchst problematisch ist und für den Auswerter wahrscheinlich sogar, wenn sie nicht durch staatliche Institutionen aufgrund eines richterlichen Beschlusses erfolgt, strafrechtlich relevant sein dürfte. Facebook ist derzeit ganz offensichtlich ein Treffpunkt „privater“ Personen, auch wenn dies öffentlich geschieht und mittels vom AG zur Verfügung gestellter IT. Eine Auwertung derartiger „Gespräche/Chats“ dürfte demnach den Kernbereich privater Lebensführung massivst verletzen. Wie wir alle wissen haben die US-Amerikaner da ja ihre eigenen Ansichten, scheinbar sind aber nicht nur einige deutsche Politiker sondern auch der Autor dieses Blogs ein wenig vom Weg abgekommen und denken das bestehende Gesetze eh nur als Lachnummer zu betrachten sind.
Naja, die Mehrzahl der Leser dieses Blogs kommen aus dem Bereich der Strafverfolgung und verfügen daher im Rahmen von Ermittlungsverfahren über eine gesetzliche Grundlage, um auf sichergestellten Beweismitteln diese Analysen durchzuführen. Alle anderen seien in der Tat davor gewarnt, die bestehenden Datenschutzgesetze zu ignorieren. Ich denke, dass wenn man auf rechtsstaatlichem Wege Daten sicherstellen darf und dieses dann auch getan hat, eine Auswertung der gefunden Spuren durch Kenntnis der Fundorte notwendig ist. In dem o.g. Beitrag geht es um Facebook-Spuren, die auf der lokalen Festplatte (genau im Browser-Cache) eines Teilnehmers gefunden werden können. Sonst heißt es wieder „Diese Nullblicker, die können nicht mal das!“ 😉
Ich arbeite im Bereich der Korruptions- und Betrugsbekämpfung und muss oft auch mal Spuren unberücksichtigt lassen, wenn ich keine rechtliche Grundlage zur Sicherstellung und Analyse dieser Daten habe (manchmal dürfte das Unternehmen diese Daten gar nicht haben!). Wenn ich wirklich alles machen würde, wozu mich manchmal der eine oder andere Mandant auffordert…
PS: Ich bin im Übrigen gegen Stopp-Schilder im Internet. Aber dies ist eine andere Diskussion.