Die Digitale Forensik kommt immer dann zum Einsatz, wenn Beweise für straf- oder zivilrechtliche Taten auf einem Computersystem vermutet werden, wobei ich den Begriff Computersystem sehr weit ausdehnen möchte: Notebooks, Server, Smartphones, Tablets, Smart TV, Industriesteuerungen, Spieleboxen wie eine Playstation gehören dazu und neuerdings auch Autos.
Die verwendeten Betriebssysteme sind zumeist Microsoft Windows oder eine Variante des Open-Source-Betriebssystems Linux. Daher sind sich die Betriebssysteme von Geldautomaten und Anzeigetafeln im Bahnhof viel ähnlicher als man denkt: In beiden Fällen steckt ein Windows-Betriebssystem dahinter und die Suche nach Manipulationen („Wurde der Geldautomat gehackt?“) ist bei beiden Geräten recht ähnlich. Die Auswertung von Festplatten und den darauf installierten Betriebssystemen und Anwendungen sind seit Jahrzehnten gängiger Standard der IT-Forensik.
Wann IT-Forensik zum Einsatz kommt
Die mit den Mitteln der IT-Forensik auswertbaren Geräte kennen Sie nun, doch in welchen konkreten Fällen kann die Digitale Forensik bei zivil- und strafrechtlichen Ermittlungen unterstützen?
Vor allem sind dies:
– Wirtschafts- und Industriespionage, der Diebstahl geistigen Eigentums und Daten
– Betrugsfälle im Internet und per E-Mail
– Herstellung und Verbreitung von Medien mit pädosexuellen Darstellungen
– Terrorismus
– Cyberangriffe auf Unternehmen, Behörden und kritische Infrastrukturen
Gerade bei dem letzten Punkt ist die IT-Forensik immer mehr gefordert und beansprucht. Bei Cyberangriffen geht es nicht nur um die Frage, ob ein Einbruch von Hackern stattgefunden hat.
IT-Forensiker klären auch die Frage, auf welchem Wege ein Hacker in das Unternehmen gekommen ist, welche Serversysteme korrumpiert sind und in welches Land die gestohlenen Daten abfließen.
Diese Erkenntnisse tragen anschließend zur Prävention derartiger Verbrechen bei.
So wie die oben genannten Computersysteme unseren Alltag durchdrungen haben, sind sie auch Gegenstand der Beweissicherung und -auswertung in nahezu allen Deliktgruppen geworden.
Selbst wenn ein Notebook nicht für das Schreiben eines Erpresserbriefes genutzt wurde, so verrät vielleicht die aufgezeichnete Historie der besuchten Webseiten, dass ein Erpresser bereits nach Orten für eine mögliche Geldübergabe gegoogelt hat. Die Auswertung der bekannten Internetbrowser wie Firefox, Safari oder Chrome gehört zur Routine eines IT-Forensikers. Besuchte Webseiten und heruntergeladene Dateien sind recht einfach zu identifizieren, samt Datum und Uhrzeit des Zugriffs. Seit einigen Jahren bieten die gängigen Webbrowser eine „Inkognito-Funktion“ an, bei der der Webbrowser selbst keine Spuren der Seitenzugriffe aufzeichnet.
Aber selbst in diesem Szenario ist es möglich nachzuvollziehen, welche Webseiten besucht wurden.
Digitale Weiterentwicklung behindert IT-Forensik
Amerikanische Serien wie „CSI“ und andere TV-Produktionen aus Hollywood zeigen durchweg erfolgreiche IT-forensische Auswertungen, in denen die Ermittler immer „alles finden und jede Verschlüsselung brechen“. In der Realität sieht es ganz anders aus: Technisch einwandfrei implementierte Verschlüsselung lässt sich – wenn kein einfaches Passwort gewählt wurde – gar nicht brechen.
Apples Verschlüsselung für das iPhone konnte im Fall des San Bernardino-Attentats nicht einmal mit den vereinten Ressourcen aller amerikanischen Geheimdienste geknackt werden!
Starke Verschlüsselung von Festplatten, Smartphones und Internetverbindungen sind eine Konsequenz der Enthüllungen von Edward Snowden. Unmittelbar betroffen von der immer häufiger und stärker werdenden Verschlüsselung ist die Digitale Forensik, die immer öfter mit Datenträgern und digitaler Kommunikation konfrontiert wird, die sie nicht auswerten kann.
Die zweite große Herausforderung in der Digitalen Forensik ist die Verbreitung von modernen SSD-Festplatten, die eine vollständige und unumkehrbare Löschung von Dateien ermöglichen. Bei den älteren Festplattentypen war und ist eine Wiederherstellung von Dateien möglich, selbst wenn diese vor Jahren gelöscht wurden.
Aus den oben genannten Gründen ist es sehr wichtig, dass eine Analyse der von einem Verdächtigen genutzten Computersysteme überraschend erfolgt und dem mutmaßlichem Täter keine Gelegenheit gegeben wird, Dateien zu verschlüsseln oder zu löschen.
Die Digitale Forensik ist mittlerweile sehr weit fortgeschritten und ist in der Lage, strafbare Handlungen auf verschiedensten Geräten lückenlos aufzuklären und gerichtsfest zu dokumentieren – wenn keine Verschlüsselung zum Einsatz kommt.