IT-Forensik Auf digitaler Spurensuche

Von Peter Ilg 

Digitale Spuren, die Kriminelle auf Computern und im Internet hinterlassen, werden von IT-Forensikern ausgewertet. Sie arbeiten bei Behörden, in der IT-Sicherheit von Firmen oder als Sachverständige.

Bei kriminellen Fällen in der digitalen Welt suchen IT-Forensiker mit wissenschaftlichen Methoden nach Beweisen. Foto: Fotolia
Bei kriminellen Fällen in der digitalen Welt suchen IT-Forensiker mit wissenschaftlichen Methoden nach Beweisen.Foto: Fotolia

Kriminalität findet zunehmend auf digitalem Weg statt. Das bedeutet im Umkehrschluss: auch die Spuren- und Täter-Suche folgt diesem Trend. Wie man dabei vorgeht, lernen die Studenten an der Hochschule Albstadt-Sigmaringen im berufsbegleitenden Masterstudiengang Digitale Forensik. 'Weil in der digitalen Forensik ein weltweiter Expertenmangel herrscht, sind die Berufsperspektiven der Absolventen äußerst erfolgversprechend', sagt Studiendekan Professor Martin Rieger. Die Teilnehmer sind Informatiker, Ingenieure oder Absolventen der Polizei-Hochschule, allesamt aber mit Affinität zur IT. Die von der Polizei machen die Ausbildung, um aufzusteigen. Die anderen, um sich beruflich zu verändern. Sie arbeiten als Sachverständige oder in der IT-Sicherheit von Unternehmen.

Dort führen sie Penetration-Tests durch, greifen also das eigene Unternehmen an, um herauszufinden, ob die Systeme sicher sind. Oder sie verfolgen Spuren, falls jemand eingedrungen ist. 'Solche Innenrevisionen machen die Unternehmen selbst, weil sie nicht wollen, dass die Vorfälle publik werden', sagt Rieger. Denn das schadet dem Image. Studienschwerpunkte sind Datenträger- und Netzwerk-Forensik sowie digitale Ermittlungen. Im Fall der Datenträger geht es darum, aufgrund von darauf befindlichen Spuren Aktionen von Nutzern herauszufinden.

Jedes Sicherheitssystem ist potenziell zu knacken

In der Netzwerkforensik werden Verbindungsdaten etwa aus der Nutzung des Internets analysiert. 'Und in digitalen Ermittlungen geht es darum, die Methodik und Systematik zu entwickeln, so dass verschiedenste digitale Spuren zu einer Gesamt- Erkenntnislage führen', sagt Rieger. Computer sind Werkzeuge für kriminelle Handlungen und zugleich Ziel von Angriffen. Sicherheitssysteme versuchen zwar, das Eindringen zu verhindern - doch es ist wie bei einem Banktresor: jeder ist zu knacken. Laut polizeilicher Kriminalitätsstatistik wurden 2014 rund 74 000 Fälle von Computerkriminalität registriert. Die Wirtschaftsprüfungsgesellschaft KPMG hat in ihrer Studie 'e-Crime 2015' herausgefunden, dass von den befragten 500 deutschen Unternehmen unterschiedlicher Größen und Branchen 40 Prozent in den vergangenen beiden Jahren Opfer von Computerkriminalität waren. Das häufigste Angriffsziel sind bargeldlose Zahlungssysteme. IT-Forensiker machen IT-Systeme sicherer, und wenn sie doch jemand knackt, helfen sie, die Fälle aufzuklären.

Den Studiengang in Albstadt-Sigmaringen gibt es seit 2010, er dauert vier Jahre, und Rieger rechnet mit etwa 20 Absolventen jährlich. Thomas Käfer (49) gehört zu den ersten Absolventen. Seine Prüfungen hat er geschrieben, zurzeit sitzt er an seiner Masterthesis. Käfer hat Informationstechnik studiert und sich mit einem IT-Systemhaus in Würselen selbstständig gemacht. Zunächst hat er klassischen IT-Service für mittelständische Unternehmen angeboten. Später kam die Sachverständigentätigkeit dazu. Käfer ist öffentlich bestellter und vereidigter Sachverständiger für Systeme und Anwendungen der Informationsverarbeitung. Daraus resultierte schließlich seine Tätigkeit in der digitalen Forensik. 'Ich suche mit wissenschaftlichen Methoden nach digitalen Spuren, die eine These belegen oder widerlegen.'

Käfer arbeitet im Auftrag von Gerichten, der Staatsanwaltschaft, Rechtsanwälten oder privaten Auftraggebern. 'Wenn es zehn vermeintliche Beweise für eine These gibt, aber nur eine charakteristische Kontraspur dagegen, so ist ein Vorwurf nicht haltbar.' Beispiel: Käfer erstellte ein Gutachten in einem Arbeitsrechtsfall, in dem einem Arbeitnehmer Industriespionage vorgeworfen wurde. Der Mann hatte gekündigt und - so der Vorwurf seines ehemaligen Arbeit­gebers - auf dem Unternehmenslaptop Daten verschlüsselt und sie dann später gelöscht. Das habe ein anderer Sachverständiger herausgefunden. Käfer widerlegte die These, denn er stellte fest, dass der andere Sachverständige die von ihm eingesetzten Werkzeuge zur Analyse des Rechners nicht verstanden, zudem fehlinterpretiert hat.

'Der ehemalige Mitarbeiter hat zwar Daten gelöscht, es gab aber keinen Beweis dafür, dass sie verschlüsselt waren.' Die Folge: der Vorwurf war nicht haltbar. Das Auto ist ein moderner Anwendungsfall digitaler Forensik und ein Spezialgebiet von Käfer. 'Autos sind rollende Computer und die darin enthaltenen oder gekoppelten IT-Systeme nicht die Domäne von Kfz-Sachverständigen', sagt er. Durch vernetztes und automatisiertes Fahren mit immer mehr Fahrerassistenzsystemen und Kopplung externer Geräte werde es zunehmend Fälle in der Rechtsprechung geben, für deren Aufklärung Auto-Forensiker gebraucht werden. Reale Fälle gibt es zurzeit nur wenige, aber erste forensisch verwertbare Erkenntnisse aus Forschungsarbeiten.

Für seinen Job braucht Käfer überdurchschnittliche IT-Kenntnisse. Ingenieur- und naturwissenschaftliches Wissen helfen ihm, Systeme zu verstehen. Außerdem ein Grundverständnis für juristische Fragestellungen und ausgeprägte sprachliche Kompetenz in Wort und Schrift. 'Ich muss äußerst komplexe Sachverhalte verständlich und dennoch fachlich präzise vortragen und zu Papier bringen.' Digitale Forensiker müssen sehr sorgfältig arbeiten, hartnäckig und kreativ darin sein, Lösungen zu finden, die der Wahrheit dienen.