Computer IT Forensik & Kriminaltechnische Ermittlungen


IT Forensik - Ohne EDV und IT geht heutzutage gar nichts mehr. In jedem Büro sind EDV-Systeme und Computer zu finden. Ohne den Einsatz moderner IT-Systeme kann heutzutage kein Unternehmen am Markt bestehen. Ganze Wirtschaftszweige wären ohne EDV undenkbar. Dies führt aber auch dazu, dass EDV-/ und IT-Systeme verstärkt für Kriminelle interessant werden. Die Aufklärung dieser „Cyber-Kriminalität“ ist das Arbeitsgebiet der Computer Forensik.

Den Daten auf der Spur. Als Computer Forensik bezeichnet man die Ermittlung und Untersuchung von Straftaten im Bereich der Computerkriminalität. Dabei werden hauptsächlich digitale Spuren analysiert und ausgewertet. Synonyme für Computer Forensik sind EDV-Forensik, IT-Forensik oder EDV-Kriminalistik.

Nicht immer ist die Kriminalpolizei zuständig für EDV-Straftaten. Vor allem in der Wirtschaft wird oft ein privater Forensik Service beauftragt. Im Bereich der Wirtschaftskriminalität werden mittlerweile bei 50 % aller Fälle digitale Daten untersucht. Auch die Steuerfahndung hat längst nicht mehr nur Aktenordner im Visier.

In der Computer Forensik werden aber nicht nur Computer unter die Lupe genommen. Auch Server, PDAs, Smartphones, Mobiltelefone, Kreditkarten, elektronische Kassensysteme, Telefonanlagen und elektronische Schließanlagen müssen genau so untersucht werden wie normale PCs. Da fast überall digitale Spuren hinterlassen werden, ist das Arbeitsgebiet der IT-Forensik ein nahezu grenzenloses Feld.

Wann kommt der IT Computer Forensiker zum Einsatz?

Erfolge bei der Zerschlagung von Kinderpornographie-Ringen oder beim Aufspüren von Terrorzellen gehen häufig auf das Konto einer erfolgreichen Ermittlung der Computer-Forensik.

In der Wirtschaftskriminalität spielt die Beweissicherung mittels elektronischer Daten eine immer größere Rolle. Vor allem bei Datendiebstahl, -missbrauch, Erpressung mit gestohlenen Daten und klassischen Hackerangriffen ist die Computer Forensik gefragt. Dabei geht es um Kompetenz und Diskretion. Es ist kein Zufall, dass viele der heute privat tätigen Forensiker früher für staatliche Stellen, etwa für das BKA gearbeitet haben. Dabei wird – im Gegensatz zu der mit Hilfe von Computern verübten Kapitalverbrechen – in der Regel eine außergerichtliche Einigung angestrebt.

Wie sieht die kriminaltechnische EDV Forensik aus?

Zuerst müssen die rechtlichen Voraussetzungen geklärt werden: Was darf gesichert werden, welche Rechte müssen gewahrt bleiben, usw. Hierzu gibt es eindeutige rechtliche Voraussetzungen. Wenn das geklärt ist, beginnt die Arbeit des IT-Forensikers.

Vielfach kritisiert die IT Forensik das unvorsichtige Verhalten der Geschädigten. An einem "realen" Tatort werden zur Beweissicherung Fingerabdrücke gesichert, nichts darf verändert werden. In der EDV Forensik muss analog vorgegangen werden, um wichtige Beweise zu sichern. Ein Ein- oder Ausschalten eines Computers oder das Ziehen des Netzsteckers kann wichtige Daten vernichten. Wenn der Verdacht einer Straftat besteht, sollte nichts mehr am System verändert werden. Besonders Schreibvorgänge auf Datenträger (Speichern von Dokumenten) sollten unterlassen werden: gelöschte Dateien können überschrieben und nicht mehr wiederhergestellt werden.

Spezielle Arbeitscomputer und genügend Kapazitäten sind Pflicht

Es folgt die Sicherung der Daten mit speziellen Computern und Analyseprogrammen. Der gesamte Festplatteninhalt des Computers (bzw. die elektronischen Daten anderer zu untersuchender Geräte) werden überspielt. (1:1 forensische Kopie). Dann wird die Kopie untersucht, nicht der Original-Datenträger selbst. Für eine stichhaltige Beweiskette müssen alle Schritte sorgfältig dokumentiert werden.

In manchen Fällen müssen auch mehrere Festplatten, Laptops, Handys und Kameras untersucht werden. Dadurch sind oft gewaltige Datenmengen zu analysieren. Der Forensiker muss ermitteln, wo die Beweisdaten sind. Bei Hackerangriffen mit Würmern oder Trojanern wird festgestellt, wie und über welche Schwachstelle der Angriff erfolgt ist.

Eine gute Ausrüstung ist für EDV-Ermittler das A und O

Der ermittelnde Forensik Service braucht mindestens ein ähnlich gutes Equipment wie der Hacker, Erpresser oder Wirtschaftsspion selbst. Die technische Entwicklung ist atemberaubend. Manchmal werden Viren oder Würmer speziell für den Angriff auf eine bestimmte Firma entwickelt, Datenschutzgeld wird über das Internet erpresst.

Eine weitere Bedrohung sind „Botnets“, die besonders hinterhältig arbeiten: ein Netzwerk aus mit Bots infizierten PCs versendet Spams schleust Trojaner ein oder greift Webserver und Netze an. Nach Schätzungen ist jeder vierte Internet-PC mit einem Bot infiziert und gehört so einem Botnetz an. Einzelne Botnetze können aus hunderttausenden PCs bestehen und immense Schäden anrichten.

Die Folgen dieser Angriffe können nur durch rechtzeitige Vorsorge minimiert werden.

Computereinbrüche und Datenmanipulation

In der IT-Forensik muss ermittelt werden, welcher Schaden etwa durch einen Computereinbruch oder eine Datenmanipulation entstanden ist.

Aus einer guten Analyse geht hervor, wer zu welchem Zeitpunkt auf welche Dateien zugegriffen hat. E-Mail-Absender können ermittelt werden, die rechtswidrige Vordatierung von Verträgen kann bewiesen werden. Das „klassische“ Alibi durch eine zweite Person kann aber auf der anderen Seite durch einen Computer erfolgen. Wer z.B. ohne Zeugen allein zu Hause war und verdächtig ist, kann dank der EDV Forensik ein Alibi erhalten.

Zum Beispiel können über Surfspuren oder Logfiles verdächtigte Mitarbeiter nicht nur be-, sondern auch entlastet werden.

Am Ende der forensischen Ermittlung steht die Beweissicherung

Am Ende der Untersuchung erhält der Auftraggeber eine Ergebnisanalyse, die als Beweis in einem Gerichtsverfahren dienen kann. Sie enthält folgende Informationen:

  • Wer ist (wohlmöglich) der Täter?
  • Wann fanden die Tatvorgänge statt?
  • Welchen Umfang hatte die Tat?
  • Welche Motive lagen vor?
  • Wie waren die Tatumstände?
  • Wie wurde sie durchgeführt?

Nur wenn die verwendeten Datenträgerkopien mit den richtigen Mitteln und Methoden ausgewertet wurden, kann es zu einer erfolgreichen Lösung kommen.

Computer Forensiker und Datenretter sind gefragt

Ein weiteres Betätigungsfeld für den Forensik Service ist die Datenrettung. Grundsätzlich kann jede gelöschte Datei wieder hergestellt werden, wenn ihr Platz auf der Festplatte nicht neu überschrieben wurde. Die Erfolgsquote von Forensikern liegt mittlerweile bei 80 %.

Bei Ermittlungsarbeiten nimmt die Bedeutung der EDV-Forensik immer weiter zu. Leider wachsen mit den Vorteilen der datenverarbeitenden Elektronik auch die Möglichkeiten, mit ihrer Hilfe Straftaten zu begehen. Die Hemmschwelle sinkt: für eine Straftat genügen wenige Klicks.

Forensische Schulungen und Forschungen sind im Bereich der staatlichen Organe und der privaten Spezialisten dringend nötig. Der Gesetzgeber muss rechtsfreie Räume beseitigen, andere Rechtsräume wiederum erhalten. Ein Blick in die Zukunft: Bei absehbarer Veränderung der Rechtslage werden die versteckten Kontrollen über Netzwerke und die Ermittlungsarbeit im Internet selbst eine immer größere Rolle in der Computer Forensik spielen.

Weitere verwandte Themen, welche Sie auch interessieren könnten:
Datenvernichtung Datenträger Sanierung Datenrettung