banner-computer-forensik-services

Computer Forensik & Kriminaltechnische EDV Ermittlungen

Einsatzbereich der Computer Forensik

Der Computer ist aus dem heutigen Leben nicht mehr wegzudenken. Beinahe in jedem Privathaushalt und jedem Büro sind Computer zu finden. Ohne den Einsatz von moderner IT kann heutzutage kein Unternehmen am Markt bestehen, ganze Wirtschaftszweige sind ohne Computer undenkbar. Dies führt aber auch dazu, dass der Computer verstärkt in den Fokus von Verbrechen rückt. Die Aufklärung dieser Verbrechen ist das Arbeitsgebiet der Computer Forensik.

Als Computer Forensik wird die Ermittlung und Untersuchung von Straftaten aus dem Bereich der Computerkriminalität bezeichnet. Hauptsächlich werden dabei digitale Spuren analysiert und ausgewertet. Gleichbedeutend zu der Bezeichnung Computer Forensik werden oft die Begriffe EDV-Forensik, IT-Forensik oder EDV-Kriminalistik verwendet.

Die EDV-Kriminalistik liegt nicht immer im Zuständigkeitsbereich der Kriminalpolizei; vor allem in der Wirtschaft wird oft ein privater Forensik Service mit Ermittlungen und der gerichtsverwertbaren Beweissicherung beauftragt. Im Bereich der Wirtschaftskriminalität werden mittlerweile bei ca. 50 Prozent aller Fälle digitale Daten untersucht. Auch die Steuerfahndung konzentriert  sich längst nicht mehr nur auf Aktenordner…

In der Computer Forensik werden aber nicht nur – obwohl dies der Name vermuten ließe – herkömmliche Computer untersucht. Der Begriff IT-Forensik ist hier richtiger, da neben PCs auch ebenso PDAs, Smartphones, Mobiltelefone, Kreditkarten, elektronische Kassensysteme, ja selbst Telefonanlagen oder elektronische Schließanlagen untersucht werden können. Da heutzutage fast überall digitale Spuren hinterlassen werden, ist das potentielle Arbeitsgebiet der IT-Forensik fast unüberschaubar.

Wann kommt die Computer Forensik zum Einsatz?

In den Nachrichten wird z.B. über die spektakuläre Zerschlagung von Kinderpornographie-Ringen oder das Aufspüren von Terrorzellen berichtet. Diese Erfolge sind häufig durch umfangreiche Untersuchung – auch online – von Computerinhalten zu Stande kommen, stellen aber nur eine Bruchteil der tatsächlichen Erfolge im Bereich der Computer-Forensik dar.

Vor allem im schon erwähnten Bereich der Wirtschaftskriminalität spielt die Beweissicherung anhand elektronischer Daten eine mittlerweile entscheidende Rolle. Hier sind es vor allem vermuteter Datendiebstahl, Datenmissbrauch, Erpressung mit gestohlenen Daten, aber auch die „klassischen“ Hackerangriffe, die den Forensik Service auf den Plan rufen. Ein kompetentes und dabei diskretes Vorgehen ist dabei eine Grundvoraussetzung. So ist es kein Zufall, dass viele der heute privat tätigen Forensiker früher für staatliche Stellen, zum Beispiel dem BKA, tätig waren. Bei den meisten dieser Fälle wird – im Gegensatz zu mit Hilfe von Computern verübten Kapitalverbrechen – in der Regel eine außergerichtliche Einigung angestrebt.

Wie sieht die Tätigkeit des Forensik Services bzw. der Kriminalpolizei aus?

Zuerst müssen natürlich die rechtlichen Voraussetzungen geklärt werden: was darf gesichert werden, welche Rechte müssen gewahrt bleiben usw. Hierzu gibt es umfassende eindeutige Bestimmungen und rechtliche Voraussetzungen, die befolgt und gewahrt werden müssen. Wenn dies eindeutig geklärt worden ist, kann die Tätigkeit des IT-Forensikers oder des Kriminalisten beginnen.

Vielfach wird seitens der IT Forensik das unvorsichtige Verhalten der Opfer kritisiert. An einem „realen“ Tatort werden zur Beweissicherung Fingerabdrücke vorsichtig gesichert, nichts darf verändert werden etc. In der EDV Forensik muss analog vorgegangen werden, um wichtige Beweise zu sichern. Ein Ein- oder Ausschalten eines Computers oder gar das Ziehen des Netzsteckers, kann eine Unmenge wichtiger Daten vernichten, vor allem, wenn sich diese temporär im Arbeitsspeicher befinden. Wenn der Verdacht auf eine Straftat besteht, sollte nach Möglichkeit nichts mehr am System verändert werden. Besonders Schreibvorgänge auf einen Datenträger wie z.B. das Speichern von Dokumenten, sollten unterlassen werden, da hierdurch wichtige auch gelöschte Dateien überschrieben werden könnten, die dann nicht mehr wiederherstellbar sind.

Spezielle Arbeitscomputer und genügend Kapazitäten sind Pflicht

Nun folgt die Sicherung der in Frage kommenden Daten. Der Forensik Service verfügt über spezielle Arbeitscomputer mit Analyseprogrammen. Auf diese wird der gesamte Festplatteninhalt des Computers (bzw. die elektronischen Daten anderer zu untersuchender Geräte) überspielt. Stets wird nur die Kopie untersucht, nicht der Original-Datenträger selbst. Auch müssen alle Schritte sorgfältig dokumentiert werden, denn nur so lässt sich später eine stichhaltige Beweiskette konstruieren.

Ein Problem kann hierbei durch die mittlerweile üblichen gewaltigen Datenmengen werden. In manchen Fällen müssen auch mehrere Festplatten, Laptops, Handys und Kameras untersucht werden. Der Forensiker muss ermitteln, wo die Beweisdaten zu finden sind. Im Fall von Hackerangriffen mit Würmern oder Trojanern muss festgestellt werden, auf welche Art und über welche Schwachstelle der Angriff erfolgt ist.

Eine gute Ausrüstung ist für EDV-Ermittler das A und O

Der ermittelnde Forensik Service muss mindestens genauso gut gerüstet sein wie die Hacker, Erpresser und Wirtschaftsspion. Die Entwicklung auf diesem Gebiet ist rasant, manchmal werden Viren oder Würmer z.T. speziell für den Angriff auf eine bestimmte Firma entwickelt, Datenschutzgeld wird über das Internet erpresst.

Eine weitere Bedrohung für die Zukunft sind die sog. Botnets, in denen ein Netzwerk aus mit Bots infizierten PCs zum Beispiel Spams versendet, Trojaner einschleust oder Webserver und Netze angreift. Nach Schätzungen ist jeder vierte Internet-PC mit einem Bot infiziert und gehört so einem Botnetz an. Einzelne Botnetze können aus hunderttausenden PCs bestehen und immense Schäden anrichten.

Die Folgen derartiger Angriffe können nur durch rechtzeitige Vorsorge minimiert werden.

Computereinbrüche und Datenmanipulation

In der IT-Forensik muss ermittelt werden, welcher Schaden insgesamt etwa durch einen Computereinbruch oder eine Datenmanipulation entstanden ist.

Aus einer guten Analyse kann dann ersichtlich werden, wer zu welchem Zeitpunkt auf welche Dateien zugegriffen hat. Absender von E-Mails können ermittelt werden, die rechtswidrige Vordatierung von Verträgen kann bewiesen werden. Das „klassische“ Alibi durch eine zweite Person kann aber auf der anderen Seite durch einen Computer erfolgen. Wer z.B. ohne Zeugen allein zu Hause war und verdächtig ist, kann hier dank der EDV Forensik ein Alibi erhalten:

Zum Beispiel können über Surfspuren oder Logfiles auch zu Unrecht verdächtige Mitarbeiter nicht nur be-, sondern auch entlastet werden.

Am Ende forensischen Ermittlung steht die Beweissicherung

Am Ende der Untersuchung wird die Zusammenfassung, Analyse der Ergebnisse dem Auftraggeber präsentiert oder dient als Beweis in einem Gerichtsverfahren:

  • Wer ist der Täter?
  • Wann fanden die Tatvorgänge statt?
  • Welchen Umfang hatte die Tat?
  • Welche Motive lagen vor?
  • Wie waren die Tatumstände?
  • Wie wurde sie durchgeführt?

Nur wenn die verwendeten Datenträgerkopien mit den richtigen Mitteln und Methoden ausgewertet wurden, kann es zu einer erfolgreichen Lösung kommen.

Computer Forensiker und Datenretter sind gefragt

Ein weiteres Betätigungsfeld für den Forensik Service ist die Datenrettung. De facto kann jede gelöschte Datei wieder hergestellt werden, wenn ihr Platz auf der Festplatte nicht neu überschrieben wurde. Ein Forensik Service schafft eine Wiederherstellung in über 80 Prozent aller Fälle.

Bei Ermittlungsarbeiten nimmt die Bedeutung der EDV Forensik immer weiter zu. Leider wachsen mit den Vorteilen, die die moderne datenverarbeitende Elektronik bietet, auch die Möglichkeiten, mit ihrer Hilfe Straftaten zu begehen. Gefährlich ist hierbei die Tendenz der sinkenden Hemmschwelle: für eine Straftat sind manchmal nur ein paar Klicks notwendig.

Fortlaufende Schulungen sowie Forschungen sind im Bereich sowohl der staatlichen Organe als auch der privaten Spezialisten der Forensik Services unumgänglich. Seitens des Gesetzgebers sind rechtsfreie Räume zu beseitigen; andere Rechtsräume wiederum zu wahren. Zukünftig werden bei absehbarer Veränderung der Rechtslage die versteckten Kontrollen über Netzwerke und die Ermittlungsarbeit im Internet selbst eine wichtige Rolle in der Computer Forensik spielen.