1 Einführung Digitale Speichermedien gewinnen in unserem täglichen Leben mehr und mehr an Bedeutung. Seit Jahren werden sie mit immer größeren Speicherkapazitäten ausgeliefert. Damit wächst auch die Bedeutung digitaler Geräte als potentielles Tatobjekt, Tatwerk- zeug oder Hilfsmittel zur Begehung einer Straftat. Den ermit- telnden Stellen stehen jedoch lediglich beschränkte Ressourcen für die Sicherung, Analyse und Auswertung von digitalen Da- ten zur Verfügung. Schon heute übersteigen die in forensischen Untersuchungen zu bearbeitenden Datenmengen die Kapazitä- ten der ermittelnden Stellen regelmäßig. Aus diesem Grund ist ein effizienter Umgang mit digitalen Daten in forensischen Un- tersuchungen wichtig: Eine unnötige Bearbeitung großer Daten- mengen verlangsamt Untersuchungen. Daher sollten irrelevante Inhalte so früh wie möglich erkannt und von der weiteren Bear- beitung ausgeschlossen werden. Ein solches Vorgehen entlastet nachgelagerte Arbeitsschritte. 1.1 Verwandte Arbeiten In der digitalen Forensik haben sich eine Reihe von Vorgehens- modellen zur Sicherung und Auswertung digitaler Spuren etab- liert (zur Übersicht siehe etwa Pollitt [8] oder Dewald und Frei- ling [5]). Nur wenige dieser Modelle sehen jedoch eine Priorisie- rung vor. So enthält der Investigative Process von Casey [4] be- reits jeweils einen Schritt für die Priorisierung („Assessment of worth“) und die Reduktion von Datenbeständen („Reduction“), ohne jedoch näher auf die Kriterien und Ansatzpunkte hierfür einzugehen. Bäcker et al. [2] schlagen die so genannte Selektion vor der Si- cherung vor und argumentieren, dass hierdurch zugleich die Ein- haltung des Verhältnismäßigkeitsgrundsatzes unterstützt werden kann. Die Selektion hat jedoch den Nachteil, dass Daten mögli- cherweise vollständig von der Untersuchung ausgeschlossen wer- den, wenn sie nicht selektiert werden, und stößt bei Praktikern darum auf Vorbehalte. Stüttgen [6] weist allerdings nach, dass be- reits heute auf vielen Ebenen im Rahmen digitaler Untersuchun- Matthias Bäcker, Andreas Dewald, Felix C. Freiling, Sven Schmitt Kriterien für die Priorisierung bei der Sicherung und Analyse digitaler Spuren Durch die zunehmende Verbreitung digitaler Geräte in allen Lebensbereichen werden diese immer häufiger als Beweismittel für die Aufklärung von Straftaten aller Art relevant. Zugleich steigt mit der Speicherkapazität dieser Geräte auch das Datenaufkommen – und übersteigt bereits heute häufig die Kapazitäten ermittelnder Stellen. Daher ist es notwendig, die Sicherung und Analyse dieser Daten zu priorisieren. Der Beitrag zeigt, wie eine Priorisierung in gängige Vorgehensmodelle der digitalen Forensik eingebettet werden kann, und schlägt Kriterien für diese Priorisierung vor. Prof. Dr. Matthias Bäcker, LL.M. Universität Mannheim, Junior- professur für Öfentliches Recht. E-Mail: mbaecker@mail.uni-mannheim.de Dipl.-Inf. Andreas Dewald wissenschaftlicher Mitarbeiter am Lehrstuhl 1 für Informatik der Friedrich-Alexander-Universität Erlangen-Nürnberg. E-Mail: Andreas.Dewald@informatik. uni-erlangen.de Prof. Dr.-Ing. Felix C. Freiling Friedrich-Alexander-Universität Erlangen-Nürnberg, Lehrstuhl 1 für Informatik. Forschungsthemen u.a. ofensive IT-Sicherheit und digitale Forensik E-Mail: felix.freiling@cs.fau.de Dipl.-Wirtsch.-Inf. Sven Schmitt externer Doktorand am Lehrstuhl 1 für Informatik, Friedrich-Alexander- Universität Erlangen-Nürnberg. E-Mail: sschmitt@informatik. uni-mannheim.de DuD Datenschutz und Datensicherheit 8 | 2012 597 GOOD PRACTICE