Verbrecherjagd

IT-Forensiker klären Verbrechen per Festplatten-Analyse

Mails, Browser-Cache, Handys und Speicherkarten geben Aufschluss
Von mit Material von dpa
AAA

IT-Forensiker klären Verbrechen per Festplatten-AnalyseIT-Forensiker klären Verbrechen per Festplatten-Analyse Handtaschenraub und Kör­per­ver­letzung sind Karsten Zimmer fremd - wenn der IT-Forensiker ans Werk geht, sind die Verbrechen in Fest­platten von Computern versteckt. "Es rufen mich Unter­nehmen an, die Sicher­heits­lücken auf­decken wollen, genauso wie Unter­nehmen, die den Verdacht äußern, dass sie Opfer eines Hackerangriffs geworden sind oder dass Daten von ihnen nach außen gelangen", sagt Zimmer.

Ist ein Vorfall verdächtig, versucht Zimmer, die Spuren auf den entsprechenden Datenträgern nachzuverfolgen. Daten und Hergänge werden rekonstruiert. Die Ergebnisse sollen auch vor Gericht Bestand haben. Dafür arbeitet der 48-Jährige häufig verdeckt in einem Unternehmen. Er probiert die Technik aus und recherchiert, wie das Unternehmen mit Daten umgeht. "Ich muss psychologisch tätig werden, ich muss mich in die Lage des Täters und des Mitarbeiters versetzen." So bekam er bei einem Fall heraus, wer in einer Firma Kundendaten an einen Wettbewerber weitergab.

Auftraggeber sind Staatsanwaltschaften, Firmen und Pivatleute

Wie ein Ermittler am Tatort gehe er vor, sagt der Informatiker, der zugleich auch Mitglied im Bund Deutscher Kriminalbeamter ist. Doch er arbeitet auch an "toten Objekten". Das ist der Fall, wenn ihn zum Beispiel die Staatsanwaltschaft um eine Auswertung bittet. Dann untersucht Zimmer sichergestellte Festplatten, Handys, Kameras oder Navigationsgeräte.

Die Aufklärung eines Falls kann laut Zimmer Wochen oder sogar Monate dauern. "Jeder Fall ist anders. Wenn ich nach Schema F gehen würde, dann würde ich sehr, sehr schnell Fehler machen", sagt er. Das liege auch an seinem Kundenstamm, der nicht nur Unternehmen umfasse: "Es ruft mich aber auch eine ganze normale Mutter an, wenn ihr Kind Opfer von Facebook-Mobbing-Attacken geworden ist." Ein ganz anderes Feld war es, als Zimmer herausfand, dass bei einem Trojaner, der Bankdaten ausspähen sollte, Verwaltungen in mehren Ländern betroffen waren.

Der Polizei fehlt meist das technische Know-How

Untersucht Zimmer Daten zum Beispiel auf einem Laptop, baut er zunächst die Festplatte aus und schließt sie an einen Sicherungsrechner an. Er macht eine Kopie der Festplatte und sucht mit einem speziellen Programm nach Schlüsselworten. "Ich muss konkrete Hinweise haben, sonst ist das Suchgebiet zu groß", erläutert er. Dabei überprüft der IT-Forensiker unter anderem alte Mails, die Speicherinformationen der Web-Browser oder ermittelt, wer den Laptop wann benutzt hat. Meistens sei seine Arbeit von Erfolg gekrönt: "In der Regel ist es so, dass ich zum Großteil nachweisen kann, wo Daten hingegangen und woher sie gekommen sind."

Die Computerkriminalität hat nach Einschätzung des Bundes Deutscher Kriminalbeamter eindeutig zugenommen. Die Straftaten würden aber in der polizeilichen Kriminalstatistik nicht erfasst, sobald die dafür genutzten Server in anderen Ländern stünden, kritisiert der stellvertretende Vorsitzende Bernd Carstensen. Zudem sei die Polizei zu wenig mit Experten ausgestattet. "Die Leute, die müssen nicht nur Kriminalisten sein, sondern die brauchen auch für diese Bereiche natürlich das technische Know-How."

Zahl der Angriffe über Schadsoftware steigt

Daneben steigt die Zahl der Angriffe. Der Virenspezialist Kaspersky Lab zählte 2012 über 1,5 Milliarden abgewehrte Attacken über den Webbrowser - ein Plus von fast 60 Prozent. Die Deutsche Telekom analysiert Angriffe aus dem Internet mit einem Frühwarnsystem. Dieses simuliert über digitale Köder Schwachstellen und soll Attacken anziehen. "An einigen Tagen haben wir bis zu 400 000 Angriffe gesehen", sagt Telekom-Vorstandsmitglied Thomas Kremer. "Unsere Experten schätzen, dass etwa 100 000 neue oder modifizierte Schadprogramme pro Tag auftauchen."

Digitale Forensik kann man inzwischen als Masterstudiengang studieren, beispielsweise an der Hochschule Albstadt-Sigmaringen. Die Experten werden später genügend zu tun haben, denn das Bewusstsein für Datensicherheit ist laut Zimmer nicht besonders groß. Die Unternehmen seien zum größten Teil selbst daran Schuld. Denn entweder würden die Sicherheitsmechanismen nicht greifen oder sie seien zu sparsam angesetzt. Einer Illusion sollte man sich dennoch nicht hingeben. Zimmer meint dazu: "Es gibt keine 100-prozentige Sicherheit."

Das Bundesamts für Sicherheit in der Informationstechnik (BSI) hat einen Leitfaden IT-Forensik veröffentlicht. Dieser richtet sich insbesondere an Betreiber von IT-Anlagen, Administratoren und Sicherheitsverantwortliche. Er beschreibt IT-Forensik als eine methodisch vorgenommene Datenanalyse auf Datenträgern und in Computernetzen zur Aufklärung von IT-Vorfällen. Das BSI schreibt dazu: "IT-Forensik hat sich von einer Spezialwissenschaft für Ermittlungsbehörden zu einem wichtigen Werkzeug für alle Betreiber von IT-Systemen entwickelt. Wer IT-Systeme mit den heute üblichen Anforderungen an Vertraulichkeit, Verfügbarkeit und Integrität betreibt, steht immer häufiger vor der Aufgabe, Betriebsstörungen durch Fehlfunktionen seiner IT oder Auswirkungen von Angriffen.

Mehr zum Thema Internet-Kriminalität