Oft werde ich gefragt, wie es ist, bei der Strafverfolgung zu arbeiten. In den meisten Fällen wollen die Leute jedoch eigentlich wissen, wie man Cyberverbrechen aufklärt. Viele fragen sich, wie akkurat Darstellungen im Fernsehen sind, mit was die Polizei konfrontiert wird, in welche Mythen etwas Wahrheit steckt, oder wie man sorgsam gehütete Taktiken und Geheimnisse herausfindet – die Menschen scheinen fasziniert von der dunklen Welt der digitalen Forensik zu sein.
Vor ESET war ich fast ein Jahrzehnt lang in der Computer-Forensik der britischen Polizei tätig. Meine Aufgabe war es, tiefgehende forensische Analysen von Computern, Festplatten, Handys und anderen Geräten durchzuführen, die bei Verbrechen wie Mord, Kindesmissbrauch oder Betrug benutzt wurden. Da mir einige der besten forensischen Tools zur Verfügung standen, vertiefte ich mich nicht nur in diese Geräte, sondern tauchte metaphorisch auch in die Leben der Verdächtigen ein, die eingesperrt oder auf Kaution entlassen waren. Die Analysen konnten Tage, aber auch Monate dauern, je nach Anforderungen, Zustand und Verschlüsselung des Speichermediums, und Umfang des Falles.
Zunächst verschaffte ich mir Einblick in den Google-Suchverlauf eines Verdächtigen, in die Fotogalerien, Online-Chats sowie in die gelöschten Dateien. Sobald ich mich in die Geräte vertiefte, konnte ich viel mehr sehen als nur die Dateien auf den Laufwerken. Wenn man den Computer oder das Smartphone einer Person durchsucht, gleicht das einem Durchforsten deren Verstands. Manche fragen mich: „Ist das genau wie im Film?“ oder „Kannst du wirklich meine gelöschten Dateien echt wiederherstellen?“
Ich beantworte die Fragen stets mit Ja und Nein. Es geht nie so schnell wie in Filmen, aber was gezeigt wird, ist meist möglich – allerdings nicht in jeden Fall. Gelöschte Dateien können wiederhergestellt werden, solange diese nicht überschrieben wurden. Wenn man Dateien löscht, ist es eigentlich, als würde man den Inhalt eines Buches herausreißen – die Informationen sind noch da, man weiß nur nicht genau wo.
Restriktionen der Computer-Forensik
Neben den Schwierigkeiten, die durch zunehmende Dark-Web-Aktivitäten entstehen, und der Polizei Kopfschmerzen bereiten, stoßen Computer-Forensiker bei der Festplattenverschlüsselung regelmäßig an ihre Grenzen. Diese stellt eine große Hürde dar und es gibt nur wenige Wege der Entschlüsselung. Ein Weg führt über das National Technical Assistance Centre (NTAC), welches Teil des britischen Government Communications Headquarters (ein Nachrichten- und Sicherheitsdienst) ist. Diese Abteilung kann der Polizei mithilfe von Brute-Force-Methoden Zugriff auf verschlüsselte Festplatten verschaffen. Das kann je nach Passcode beliebig lange dauern. Mit Unterstützung der gebündelten Computerpower hatten sie jedoch einige unglaubliche Erfolge. Es war immer ein magischer Moment, eine entschlüsselte Festplatte zurückzuerhalten. Besonders dann, wenn ein Verdächtiger schwieg oder (noch besser) behauptete, dass wir nichts Illegales finden würden.
Gesperrte Mobiltelefone waren allerdings meistens kein Problem. Normalerweise konnten diese in-house mit Software entsperrt werden, welche Strafverfolgungsbehörden lieferten. Die britische Polizei nutzt diese Software noch heute. Einfacher war der Prozess bei Mobiltelefonen, die nicht das neueste Betriebssystem aufwiesen.
Die dunklere Seite der digitalen Forensik
Jeder Job hat gewisse Schattenseiten, aber in der Lage zu sein, absolut jede Art von Material auf einem Gerät zu sehen zu bekommen, wirkt sich auf jede Person aus. Glücklicherweise gibt es alle sechs Monate Therapieangebote für Mitarbeiter der digitalen Forensik bei der Polizei. Für Mitarbeiter, die in Kontakt mit den Geräten von Verdächtigen kommen und grausame Materialien sichten müssen, ist das unentbehrlich. Manche Menschen haben abstoßende oder erschreckende Bilder oder Videos auf ihren Geräten. Daraus resultiert ein hoher Gesprächsbedarf für Menschen, die Zeuge solcher Inhalte werden. Obwohl ich in meinem Aufgabenbereich potenziell alles zu Gesicht bekommen konnte, bestand meine Aufgabe darin, Beweismaterialien aufzuspüren. Anschließend bewertete ein Team von Spezialisten, das Paedophile OnLine Investigation Team (POLIT), das anstößige Material und teilte es in verschiedene Unterkategorien ein. Für das schlimmste Material wurde ein härteres Strafmaß angesetzt – obwohl die endgültige Festlegung von Gefängnisstrafen den Gerichten obliegt.
Einmal wurde ich zur Unterstützung einer Mordermittlung angefordert, bei dem ein Team bereits eine Vielzahl an Beweisen sicherstellte. Aber wie bei vielen Mordfällen oder ungeklärten Todesfällen war für die digitalen Beweismittel noch eine forensische Untersuchung nötig. Nachdem ich einen blutbefleckten Laptop erhielt, fertigte ich eine digitale Kopie (Abbild) der Festplatte an und schaute mir genauer die Protokolldateien zum Zeitpunkt der mutmaßlichen Straftat an. Ich hatte nicht erwartet, etwas zu finden – schon gar nicht, dass die verdächtigte Person „Wie beseitigt man eine Leiche?“ googelte, kurz nach dem das Verbrechen passierte.
Ich erschien regelmäßig vor Gericht, um digitale Beweise vorzustellen, die ich in einer Vielzahl von Fällen zu Tage förderte. Im Jahr 2014 wurde ich für einen Fall zu Gericht beordert, bei dem es um den Besitz sittenwidriger Bilder ging. Der Angeklagte hatte zu allen vorherigen Fragen während der Vernehmung geschwiegen und anschließend auf nicht schuldig plädiert. Als ich allerdings als Sachverständiger vor Gericht auftauchte, bekannte er sich schuldig, da meine Beweise erdrückend waren. Die Verteidigung wartete für gewöhnlich ab, welche Beweise die Staatsanwaltschaft präsentierte. Tatsächlich würden diese nur eine Offensive starten oder auf schuldig plädieren, wenn sicher war, dass ein Sachverständiger für digitale Forensik solide, unbestreitbare Beweise ohne begründeten Zweifel für die Geschworenen bereithielt. In diesem speziellen Fall hatte ich Zugriff auf den gesamten Google-Suchverlauf des Angeklagten, der mehrere Jahre zurückreichte, sowie anstößige Bilder, die man aus einem verschlüsselten Ordner wiederherstellen und dem Richter präsentieren konnte.
Urteilsverkündung
Viele für schuldig befundene Verbrecher erhielten keine oder nur sehr geringe Gefängnisstrafen für bestimmte Vergehen, die laut öffentlicher Meinung häufig nicht der Schwere des Verbrechens entsprachen. Die Aufgabe der Strafverfolgung ist es, die bestmöglichen Beweise vorzulegen und zu zeigen, dass ein Angeklagter schuldig ist. Der Crown Prosecution Service (dt. „Strafverfolgungsdienst der Krone“, CPS) ist die Behörde, welche die Strafe verhängt. Aber wie kann ein Verdächtiger denn „davonkommen“? Das wiederum ist die Aufgabe der Verteidigung – und darin war sie stets sehr gut.
Typischerweise warteten die Strafverteidiger, bis sie alle Beweismittel der Staatsanwaltschaft sichteten. Dann versuchten sie, die Beweise anzufechten, wo es nur ging. Solche „Offensiven“ richteten sich gegen Zeugenaussagen oder wurden von unabhängigen Computerforensikern übernommen, die für die Verteidigung arbeiteten und versuchten, die Beweise undurchsichtig erscheinen zu lassen.
Eine häufige Antwort auf Anschuldigungen war die „Trojaner-Defence“. Dabei behauptete die verdächtige Person, überhaupt keine Ahnung gehabt zu haben, was sich auf dem Gerät befand, und dass demnach Malware am Werk sein musste. Dieses Gegenargument zu widerlegen konnte manchmal sehr viel Arbeit bedeuten. In einigen Fällen wurde wegen solchen Argumenten der Gerichtsprozess sogar unterbrochen, bis ich Zeit hatte, an den forensischen Daten zu arbeiten, um die Behauptung zu widerlegen.
Während ich mich für meine Auftritte vor Gericht vorbereitete, erhielt ich eine intensive Einarbeitung in die Gerichtsprozesse von einem Anwalt, der sowohl für die Staatsanwaltschaft als auch für die Verteidigung arbeitete. Er zeigte mir starke und schwache Momente eines Gerichtsprozesses und unterrichtete mich in Taktiken, mit denen Fälle gewonnen oder Klagen abgewiesen werden konnten. Ich lernte die Tricks, die ein Rechtsanwalt benutzen, oder in welchem Fall man die Niederlage anerkennen musste. Die Tricks, um einen Freispruch zu erzielen, werden noch heute in englischen Gerichten verwendet.
In Großbritannien verlangt der Richter für gewöhnlich ein einstimmiges Votum (12-0) oder eine Mehrheitsentscheidung (11-1 oder 10-2) ohne begründeten Zweifel, um einen Angeklagten zu verurteilen. Daher muss die Verteidigung nur drei Mitglieder der Jury überzeugen, damit der Prozess ohne ein Mehrheitsvotum der Geschworenen endet, was wiederum zu einer Wiederaufnahme des Verfahrens führen kann. Das kann durch psychologische Taktiken, Manipulation und andere Skills erreicht werden, um die Mitglieder der Jury erst auf die Seite des Angeklagten zu ziehen und anschließend der Verteidigung zuzustimmen.
Warum ist die digitale Forensik so wichtig?
Warum tun digitale Forensiker also das, was sie tun? Weil ihre Arbeit dazu beträgt, Kriminelle hinter Gitter zu bringen – und ohne forensische Beweise gäbe es in vielen Kriminalfällen Probleme, Beweise aus klassischen Tatortspuren wie Fingerabrücke oder ähnliches zu extrahieren. Die forensische Spurensicherung macht eine fantastische Arbeit, aber die Auswertung von digitalen Beweisen wird in der globalen Polizeiarbeit bedeutsamer, benötigt aber auch immer mehr Finanzmittel. Vermehrt werden digitale Geräte bei der Polizei eingereicht. Man kommt mit den Untersuchungen kaum hinterher – die Bearbeitung einiger Arbeitsauftrage kann sogar mehr als 12 Monate dauern.
Bin ich froh, dass ich diesen Job nicht mehr mache? Das ist eine weitere Frage, die ich häufig gestellt bekomme. Um ehrlich zu sein, vermisse ich das Kollegium innerhalb der Polizei, das sich wie eine Familie anfühlte. Was ich nicht vermisse, sind die Freisprüche in Fällen, bei denen ich mir der Schuld des Angeklagten sicher war. Dazu zählen auch die Restriktionen für die Computer-Forensik durch Verschlüsselung oder durch die Benutzung des Dark-Webs. Meine Zufriedenheit meiner heutigen Arbeit erreiche ich dadurch, dass ich einzelnen Personen und Unternehmen dabei helfe, sich vor Cyberattacken zu schützen.
Weiterführende Artikel:
Obwohl die folgenden Artikel nicht direkt mit der Arbeit von Computerforensik-Experten zusammenhängt, haben internationale Strafverfolgungsbehörden in den letzten Jahren öfter die Unterstützung von ESETs Cybersicherheitsforschern angefordert, um bei verschiedenen großflächigen cyberkriminelle Operationen einen Durchbruch in den Ermittlungen zu erreichen. Dabei spielten die technischen Analysen der Forschenden häufig eine zentrale Rolle. Beispiele sind die Aufdeckung des Online-Werbeanzeigen-Betrugs 3ve oder des Gamarue-Botnets.