4 minute read
Heiko Rittelmeier, Zentrale Stelle für Informationstechnik im Sicherheitsbereich (ZITiS
Digitale Forensik ist für die Behörden und Organisationen mit Sicherheitsaufgaben (BOS) heutzutage unerlässlich.
Foto: © Who is Danny, stock.adobe.com
Digitale Forensik in der modernen Polizei
Vor 20 Jahren sprach noch niemand von der „digitalen Forensik“. Heute hat sie sich von einer Nischenwissenschaft zum integralen Bestandteil moderner Polizei(arbeit) entwickelt und ist aus der Praxis kaum mehr wegzudenken. Die Gegenwart kennt praktisch keinen Sachverhalt mehr, in dem digitale Beweismittel keine Rolle spielen. Es dürfte also der richtige Zeitpunkt sein, auf Basis des Status quo die aktuellen Herangehensweisen und Strategien zu hinterfragen und die Herausforderungen für die Zukunft zu identifizieren. Anfangs war die digitalforensische Sicht auf die Welt einfach: es gab die Mobilfunkforensik und die PC-Forensik. Die einen kümmerten sich um „Telefone“, die anderen um „Computer“. Mit der Zeit kamen weitere Fachbereiche hinzu, die jeweils eigene Methoden und Techniken entwickelten: die Multimediaforensik für Mediendaten, die Netzwerkforensik für Datenübertragungen; Sprach- und Textforensik kümmern sich um geschriebene oder gesprochene sprachliche Inhalte und deren Verarbeitung im forensischen Workflow: Verschriftung von gesprochenen Inhalten, semantische Erfassung der Inhalte im Kontext des jeweiligen Sachverhalts und schließlich die korrekte automatische Übersetzung fremdsprachlicher Texte. Die zunehmende Ausstattung von Fahrzeugen mit Datenverarbeitungssystemen brachte die Kfz-Forensik hervor. Um den ständig steigenden Anteil verschlüsselter Inhalte kümmern sich Fachleute für Kryptoanalyse. „Ständig steigend“ sind auch die in der Praxis festgestellten Speichergrößen, was eigene Herausforderungen im Kontext von Sicherung und Auswertung von Daten schafft. In dem Zusammenhang sollte man auch „die Cloud“ nicht vergessen, die aberwitzige Datenmengen bietet und immer mehr Funktionalitäten von den Endgeräten übernimmt.
Starke thematische Fragmentierung
Die Welt der digitalen Forensik ist mittlerweile, bedingt durch fachlich erforderliche Spezialisierungen, thematisch stark fragmentiert. Jeder Bereich hat hochspezialisierte Fachleute mit sehr speziellen
Methoden, Werkzeugen und Datenformaten hervorgebracht. Niemand beherrscht in der Forensik mehr alle Aspekte. Die Anzahl der Spezialgebiete wächst, gleichzeitig verwischen die Grenzen in der Praxis: Android und iOS steuern wichtige Funktionen in Auto und Haus, Hersteller entwickeln Mobilfunkgeräte und klassische Computertechnik auf einer gemeinsamen Hard- und Softwareplattform. Back-ups von Mobiltelefonen finden sich auf herkömmlichen Computern und müssen erkannt und interpretiert werden. Nicht nur die Technik schafft Herausforderungen, auch die Anwender. Ein Beispiel sind unscharfe Mediengrenzen in der Kommunikation: Man schreibt sich nicht mehr „nur“ Textnachrichten oder verschickt Bilder, sondern kommuniziert per Sprachnachricht und Videobotschaft. Am Ende liegen alle Daten unsortiert auf einem Gerät und können potenziell relevante Informationen enthalten – mit völlig unterschiedlichen Anforderungen an forensische Workflows. Zwei große Bereiche Betrachtet man das Gesamtbild mit gebotener Distanz, so identifiziert man zwei große Bereiche mit ihren spezifischen Herausforderungen: die Sicherung der Daten und deren Auswertung. Schon der erste Schritt wird dem Forensiker zunehmend erschwert: Vollverschlüsselte Daten ohne definierte Schnittstellen zur Außenwelt verhindern in vielen Fällen eine unkomplizierte Sicherung der Daten. Verschlüsselungstechniken, die Hard- und Software funktional verschmelzen (z. B. durch Ablage der eigentlich wichtigen Informationen in besonders gesicherten Hardwarebausteinen) machen den Forensikern das Leben schwer. Und im Gegensatz zu früher, als Verschlüsselung noch dem Militär und den Nachrichtendiensten vorbehalten war, sind verschlüsselte Daten heute omnipräsent auf allen Endgeräten. Sofern das technisch überhaupt möglich ist, hat die Forensik diese Themen ziemlich gut im Griff: Gesichert wird, was technisch geht. Die (immer wichtigere) Frage an dieser Stelle: Müssen denn tatsächlich alle Daten gesichert werden oder gibt es zuverlässige Methoden zur Triage, um die ständig steigende Datenmenge schon im Sicherungsprozess auf ihre „Essenz“ zu reduzieren, also die Daten, die zumindest potenziell Bedeutung für das Verfahren haben? Smartphones mit Speichergrößen im Terrabyte-Bereich machen nachdenklich. „Alles sichern, dann filtern“ scheint sich immer stärker als Auslaufmodell zu erweisen. Wichtig dabei: Kei-
nesfalls dürfen relevante Daten übersehen werden. Das könnte — je nach Kontext — katastrophal sein. Faktor Zeit wird immer wichtiger Im nächsten Schritt müssen die gesicherten Daten ausgewertet werden, also diejenigen Inhalte identifiziert und beweiskräftig dokumentiert werden, die für das jeweilige Verfahren von Bedeutung sind. Auch hier spielt der Faktor „Zeit“ eine immer größere Rolle: (Straf-)prozessuale und „Es wird auch in Zukunft reale Fristen und Einflüsse geben keine Software geben, die den den Takt vor. Grundsätzlich gilt: Täter auf Knopfdruck identifiziert.“ je kleiner die auszuwertenden Datenmengen sind, desto schneller können die Daten aufbereitet und im Hinblick auf ihre Relevanz bewertet werden. Große Datenmengen verstopfen begrenzte Aufbereitungsressourcen. Zweifelsfrei ein Punkt, der für eine intelligente Reduktion der Daten schon bei der Sicherung spricht. Die Auswertung der Daten ist nicht minder herausfordernd: die aufbereiteten Inhalte aus den unterschiedlichsten Quellen (Kfz, Smartphone, PC, Cloud-Speicher, …) müssen so zusammengeführt werden, dass der Sachbearbeiter – bei dem es sich nicht zwingend um einen technischen Experten handelt – die für ihn relevanten Daten erkennen und anschließend forensisch sauber extrahieren und in die Gerichtsakte einbringen kann. Auch personell muss man weiterdenken: Die Sicherung erfordert in vielen Fällen hochspezialisierte Fachleute, die aber Fallwissen brauchen. Die Auswertung der Daten verlangt nach Allroundern, die Ermittlungen verstehen, technisch sehr breit aufgestellt sind und Daten aus unterschiedlichsten Datenquellen und -formaten fallbezogen zusammenführen können. Mit Technik allein ist das nicht zu lösen, gute Ergebnisse hängen an der Kompetenz der Beschäftigten. Es wird auch in Zukunft keine Software geben, die den Täter auf Knopfdruck identifiziert. Zusammenfassend bleibt also auch in Zukunft noch viel zu tun und bestehende Konzepte müssen auf Basis aktueller Entwicklungen regelmäßig überdacht und hinterfragt werden. Heiko Rittelmeier ist Referatsleiter für digitale Forensik bei der Zentralen Stelle für Informationstechnik im Sicherheitsbereich (ZITiS). Foto: ZITiS
