Den Cybertätern auf der Spur

IT-Forensik: Die Möglichkeiten der digitalen Detektivarbeit

Geschätzte Lesezeit: ca. 6 Minuten

Foto von Sandra Spönemann

von Sandra Spönemann (@die_spoent_wohl)-

Von Arbeitszeitbetrug bis hin zur Verbreitung illegalen pornografischen Materials - IT-Forensiker gehen auf digitale Spurensuche und ermitteln, welcher User etwas heruntergeladen, verbreitet, verschickt oder manipuliert hat. Wir haben eine System-Detektivin zu ihrer spannenden Arbeit befragt.

Checkkarten-Betrug, die Verbreitung von Viren via Social Engineering (zum Beispiel ein als Liebesbrief getarnter Virus), Terrorismus und Industrie-Spionage - das Feld der Digitalen Forensik ist breit gefächert und erfordert ein hohes Maß an Know-how. Marion Liegl, CEO des IT-Sicherheitsunternehmens SEICPRO, ist seit 2012 als IT-Forensikerin selbstständig und forscht zusätzlich an der Friedrich-Alexander-Universität Erlangen-Nürnberg an Datenschutzaspekten der forensischen Informatik.

Dürfen Arbeitgeber die E-Mails ihrer Mitarbeiter forensisch überprüfen?

Nachrichten, die über die Firmen-E-Mail-Adresse versendet wurden, sind privat und fallen unter das Persönlichkeitsrecht. Ausnahmen gebe es dort, wo der Arbeitgeber explizit darauf hingewiesen habe - zum Beispiel in einer Betriebsvereinbarung, in der festgelegt ist, dass keine private Korrespondenz erlaubt ist. Hat der Arbeitgeber sich zu dem Thema nicht geäußert, dürfe auch nicht pauschal mitgelesen werden.

Tipp der Expertin:

"Ich rate Unternehmen in diesen Fällen den Betriebsrat und den Datenschutzbeauftragten mit ins Boot zu holen und gegebenenfalls einen externen Berater ermitteln zu lassen. Auf diese Art können die Beweise objektiv, ohne Befangenheit, gesammelt bzw. ausgewertet werden und haben vor Gericht bestand."

Wird eine Straftat vermutet, zum Beispiel dann, wenn der Vorwurf der sexuellen Belästigung am Arbeitsplatz im Raum stehe, haben die strafrechtlichen Behörden Ermittlungshoheit – nicht der Arbeitgeber. Nur wenn sich das schädliche Verhalten gegen das Unternehmen selbst richte, beispielsweise weil ein Mitarbeiter ständig Videospiele spielt oder Sicherheitslücken im IT-System provoziert, dürfe der Arbeitgeber selbst tätig werden.

Dabei kann schädigendes Verhalten gegenüber dem Arbeitgeber bereits – so lächerlich das in Einzelfällen auch erscheinen mag – bereits bei dem Anfertigen einer Druckkopie für private Zwecke beginnen. Auch ein bisschen Papier- und Tintenverbrauch kann ein Vermögensdelikt darstellen.

Ein weiteres Tätigkeitsfeld im Verhältnis zwischen Arbeitgebern und Mitarbeitern ist der Nachweis von Arbeitszeitbetrug. So lässt sich durch Überprüfen des Browserverlaufs, durch Auswertungen der Browsernutzung und Cache-Daten sowie Spuren innerhalb des Betriebssystems nachweisen, dass innerhalb der vereinbarten Arbeitszeit nicht gearbeitet worden ist. Allerdings darf der Anlass für eine forensische Untersuchung nicht auf vagen Vermutungen basieren, sondern es müssen dokumentierte Anhaltspunkte vorliegen.

Lassen sich persönliche Informationen gewinnen, wenn das Smartphone auf Werkseinstellungen zurückgesetzt wird?

"In solchen Fällen wird man als IT-Forensikern in der Regel enttäuscht", stellt Liegl fest. Bei den neueren Smartphone-Modellen führe die Zurücksetzung auf die Werkseinstellung zur Löschung fast aller Daten. Selbst wenn Bruchstücke gefunden würden, ließen sich daraus keine Informationen mehr gewinnen. Dies hänge auch damit zusammen, dass auf Smartphones Verschlüsselungen eingesetzt werden. Nach dem Reset ginge der Schlüssel allerdings unwiederbringlich verloren.

Polizisten dürfen Smartphones übrigens nicht einfach so einkassieren, wenn sie eine Person kontrollieren. Schließlich enthalten Mobilgeräte persönliche Informationen wie Fotos, E-Mails und Chat-Nachrichten. Rückt eine Person auf Wunsch der Polizei ihr Mobilgerät nicht heraus, dürfen die Beamten nur mit richterlichem Beschluss oder wenn Gefahr in Verzug ist die Herausgabe erzwingen. Ist eine Tat bereits geschehen, nehmen wir einmal einen Verkehrsunfall ohne Personenschaden an, dann dürfen die Beteiligten die Herausgabe ihres Smartphones verweigern.

Neben Smartphones erhält Liegl alle erdenklichen Beweismittel, die von der Polizei konfisziert wurden, zum Beispiel teilweise beschädigte Festplatten und Rechner, von denen nach Möglichkeit gerichtsverwertbare Daten gewonnen werden sollen. Darunter auch schon mal uralte SCSI-Platten oder Systeme mit verlöteten Speichereinheiten ohne USB-Anschluss. Der Prozess der Informationsgewinnung kann mitunter sehr aufwendig sein.

Statistik der Cybercrime Straftaten in Deutschland 2015

In 2015 wurden insgesamt 45.793 Straftaten im Bereich Cybercrime in Deutschland registriert.

Quelle: (Screenshot)  BKA 

Statistik der Cybercrime Straftaten in Deutschland 2015

In 2015 wurden insgesamt 45.793 Straftaten im Bereich Cybercrime in Deutschland registriert.  

Quelle: (Screenshot)  BKA 

Wie ist es um die Cybercrime-Abwehr in Deutschland bestellt?

Der Grund dafür, dass Behörden externe Unternehmen wie das von Marion Liegl mit solchen Aufgaben betreuen, liegt vor allem im Equipment und im Know-how der IT-Forensiker begründet. Obwohl in Deutschland zurzeit Cybercrime-Kompetenzzentren und entsprechende Studiengänge aus dem Boden schießen, hake es gerade auf den unteren behördlichen Ebenen am Budget für die technische Ausstattung und es gebe deutschlandweit große Unterschiede.

"Eine kleine Workstation, die zur Verarbeitung solcher Datenmengen in der Lage ist, kostet mindestens 2.000 Euro, dazu kommen Server, die locker 30.000 Euro und mehr kosten können und teils sehr kostspielige Software-Lizenzen für Tools, die die Arbeit beschleunigen", so Liegl. Die Qualität und Schnelligkeit der digitalen Detektivarbeit ist also in jedem Fall auch eine Frage der finanziellen Mittel. Trotzdem steht Deutschland in Sachen IT-Forensik nicht weit hinter anderen Ländern zurück. Liegl sieht in Europa aber vor allem England und die Schweiz vorne.

Damit kann vorausschauend und effizient auf die immer neuen Cyberangriffe und Kriminalität im Internet reagiert werden. Gleichzeitig wird das neue Landesamt Kommunen und Bürger aktiv beraten und unterstützen.

Markus Söder (CSU), Bayerns Heimatminister

Aber auch im bayerischen Nürnberg wird kräftig in die IT-Sicherheit und IT-Forensik investiert: Innerhalb der nächsten drei Jahre werden bis zu 200 IT-Sicherheitsexperten das neugegründete 'Landesamt für Sicherheit in der Informationstechnik (LSI)' beziehen, um auf Cyberangriffe und Internetkriminalität möglichst schnell reagieren zu können. Eine eigene Anti-Hacker-Einsatztruppe, genannt 'BayernCERT', existiert übrigens schon seit über zehn Jahren und wird im LSI mit von der Partie sein.

Wie werden Cyberkriminelle dingfest gemacht?

Erst kürzlich berichteten wir darüber, was eigentlich aus Chatroulette, einer anonymen, weltweit zugänglichen Video-Chat-Plattform, geworden ist. Die unappetitlichen Bilder, die wir zu sehen bekamen, zeigten teilweise Straftaten. Wie verfolgt die Polizei gezielt solche Online-Täter? Mal eben eine Verbindung verfolgen? Das funktioniert leider nicht so einfach, wie es uns Film und Fernsehen häufig suggerieren möchten.

Wer im Bereich der IT-Sicherheit arbeitet, verfügt automatisch über ein wenig "natürliche Paranoia".

Stattdessen suchen die Behörden nach Mustern und gleichen auftauchende Informationen mit ihren Datenbankinformationen ab. Dafür werden sogenannte 'Hashwerte' erhoben, die ähnlich wie Fingerabdrücke funktionieren und nahezu einzigartig sind. Im Fall von Bild- und Videomaterial werden beispielsweise Merkmale wie Farben, Pixel und Bildgröße (durch eine sogenannte 'Hashfunktion') in Zahlenwerte transformiert. Treten Werte bei der Analyse von Bildern gemeinsam auf, lassen sich daraus Rückschlüsse auf ihren Ursprung ziehen.

Im Rahmen ihrer engen Zusammenarbeit mit Prof. Felix Freiling von der Friedrich-Alexander-Universität Erlangen-Nürnberg arbeitet Marion Liegl darüber hinaus daran, User anhand ihres Verhaltens bei der Computernutzung eindeutig identifizierbar zu machen. Aktuell ist sie den Merkmalen auf der Spur, anhand derer eine solche Identifizierung möglich sein könnte. Dabei studiert sie massenweise Metadaten und betrachtet beispielsweise auch, wie jemand typischerweise Ordnerstrukturen anlegt. Anwendungsfälle sieht die Expertin unter anderem bei Familien-PCs. Wer aus der Familie hat 'Datei xy' heruntergeladen oder an einem Programm gearbeitet? Fragen, die IT-Forensiker in Zukunft dank der Arbeit von Marion Liegl mit größerer Gewissheit beantworten können.

Digitale Forensiker privat: Beeinflusst der Job die eigene Mediennutzung?

"Altgeräte verschrotte ich auf keinen Fall und verkaufe alte Smartphones auch nicht weiter", so Liegl. Man wisse nie, welche Daten die neuen Besitzer vielleicht doch noch von dem Gerät holen könnten. Wer im Bereich der IT-Sicherheit arbeite, verfüge automatisch über ein wenig "natürliche Paranoia": Ihr beruflicher Alltag, in dem sie es häufig mit Straftaten zu tun bekommt, habe sie stark sensibilisiert. Ihre Erfahrungen sollen anderen dabei helfen, nicht in die Opferrolle zu geraten und so leistet die Sicherheitsexpertin ehrenamtlich Aufklärungsarbeit an Schulen, damit die noch jungen User kompetent und sicherheitsbewusst mit Smartphone und Co. umgehen.

Hier erfährst du mehr über: Datenschutz und Sicherheit

Sag uns deine Meinung!