Ein Mann brach in eine Wohnung in der Nähe von Sydney (Australien) ein, drang in das Schlafzimmer vor und befestigte ein schwarzes Päckchen an dem Hals eines Teenager-Mädchens. Um ihren Hals war ebenso eine Schleife befestigt, auf der zu lesen war, dass dies eine Bombe sei. Anweisungen seien über eine Gmail-Adresse zu erfragen. Ebenso hängte er ihr einen USB-Stick um, auf dem die Informationen als PDF zu finden waren.

Zehn Stunden dauerte es, bis das Bombendezernat der Polizei Entwarnung geben konnte. Es stellte sich heraus, das dies eine Attrappe war.

Glücklicherweise hatte der Eindringling wenig Ahnung von IT-Forensik. Experten der Polizei untersuchten den USB-Stick und stellten einige gelöschte Dokumente wieder her. Unter anderem war darauf ein Word-Dokument zu finden, in dem ein Teil des Namens des Autors gespeichert war (Word macht dies standardmäßig).

Aufgrund des Zugriffs auf das Gmail-Konto, konnte die IP des Computers ausgeforscht werden, auf dem der Kidnapper seine Mails abrief. Dies war zwar in einer öffentlichen Bibliothek, jedoch konnte die Auswertung der Überwachungskameras Bilder liefern.

Der Mann wurde schließlich verhaftet. Motiv dürfte Rache gewesen sein. Er hatte bei einer Firma gearbeitet, die in Verbindung mit der überfallenen Familie steht.

Werden Daten von einer Festplatte gelöscht, sind sie solange noch auf dem Speicherträger verfügbar, bis sie überschrieben werden. USB-Sticks und SSD-Festplatten haben ein anderes Schreibverhalten. Hier wird versucht, die einzelnen Speicherzellen möglichst gleichmäßig auszulasten, um damit die Lebenszeit zu erhöhen. Ein Überschreiben einer einzelnen Datei auf solchen Speichern führt zu einem nicht definierten Ergebnis bezüglich der alten Datei. Oft kann in einem solchen Verfahren die ursprüngliche Datei wieder hergestellt werden.

Siehe auch: Sicheres Löschen bei Flash-Disks nicht immer möglich

Artikel von computerworld.com, 17.08.2011: The collar bomber’s explosive tech gaffe