Verbrecher brauchen mittlerweile einen guten Rechner. Die Welt des Cybercrime zeigt, wie komfortabel man per Mausklick heutzutage kriminelle Taten vor dem Bildschirm planen, verüben und vertuschen kann. Dabei hat sich das "Betätigungsfeld" immer weiter ausgedehnt - vom schnellen Diebstahl wichtiger Patente mittels USB-Stick über die systematische Industriespionage bis hin zur Planung terroristischer Anschläge. Computerforensik kann sogar zum Politikum werden. Zuletzt wertete Interpol im Auftrag der kolumbianischen Regierung die Rechner des Farc-Kommandanten Raul Reyes aus. Die Regierung in Bogotá hatte behauptet, auf Rechnern, externen Festplatten und USB-Sticks Belege für eine Unterstützung der Guerilla durch den venezolanischen Staatspräsidenten Hugo Chavez gefunden zu haben. Caracas entgegnete, dass diese Dokumente nachträglich vom kolumbianischen Militär gefälscht worden seien.
"Das ist natürlich nur der Gipfel der Einsatzmöglichkeiten der Computerforensik", kommentiert Reinhold Kern, Director Computer Forensics bei Kroll Ontrack. "Es zeigt die Relevanz der digitalen Ermittlung. Ganz gleich, um welche Delikte es geht, Computerforensiker können durch die verschiedensten Werkzeuge entscheidende Ermittlungsarbeit leisten."
Kein Wunder, dass Unternehmen in Deutschland immer mehr Aufträge zur internen Vorabermittlung erteilen, meint Kern: "Unternehmen hegen zum Beispiel plötzlich den Verdacht, dass Interna oder geistiges Eigentum die vier Wände des Unternehmens verlassen. Die Betroffenen können durch die Ermittlung eines technischen Dienstleisters Verdachtsmomente im Vorfeld erhärten oder beseitigen - im Einklang mit den Regularien des Datenschutzes. Forensiker können die Ergebnisse gerichtsverwertbar aufbereiten und den Fachjuristen zur rechtlichen Interpretation übergeben."
Aufgaben in der Praxis
Die IT-Forschung erweitert die zukünftigen Möglichkeiten der Forensik. Zum dominierenden digitalen Verbrecherhandwerk gehören Spionage, Veruntreuung, Sabotage oder Manipulation und Fälschung. Jede Aktivität am PC hinterlässt dabei Spuren. Daraus ergeben sich zwei Hauptaufgaben. Log-Einträge können eine Historie der Rechneraktivitäten zeichnen und so belegen, was wann am Rechner geschah. Die Leitfragen der Untersuchung lauten dabei:
-
Wer hatte offiziell Zugriff auf Daten?
-
Kam es zu unautorisierten Zugriffen?
-
Welche Daten wurden von wem wann zuletzt genutzt?
-
Wurden Daten kopiert oder per E-Mail versendet?
Zweite Aufgabe ist die Suche nach verwischten Spuren. Gelöscht geglaubte Daten lassen sich wiederherstellen, solange sie nicht überschrieben oder physikalisch zerstört wurden.
Professionelle Ermittler verfügen über eine Reihe von im Rahmen einer Grundlagenforschung selbst entwickelten und patentierten Instrumenten. Ein wichtiger Garant, dass die Forensiker gegenüber dem Cybercrime nicht zurückfallen, ist die Anpassung an den neuesten Stand der IT, insbesondere in der Speicherorganisation. Wichtig ist zum einen, immer gründlicher gelöschte Daten retten zu können. Zum anderen müssen neue und schlecht dokumentierte Datensysteme so schnell wie möglich rekonstruiert werden.
Botschaften aus dem All
Weil Kriminelle auch am Rechner versuchen, ihre Spuren zu verwischen, beruht Computerforensik auf professioneller Datenrettung. Hier erreichen die Experten sowohl anhand spektakulärer Einzelfälle wie auch durch solide Grundlagenforschung wichtige Erkenntnisse. Die Hürden für eine endgültige Vernichtung von Daten werden höher. Papier ist schnell verbrannt und verkohlt. Fingerabdrücke können weggewischt werden. Daten sind aber immer noch in Form positiver oder negativer Polung oder Ladung der kleinsten Einheiten einer Platte, der Sektoren, als digitale Nullen oder Einsen dargestellt. Eine magnetische Polung einer Festplatte ist sehr stabil. Ein Magnetfeld von etwa 11 700 Gauss - das Magnetfeld eines Sonnenflecks beträgt gerade mal 2500 bis 3000 Gauss - oder Temperaturen über 700 Grad Celsius sind nötig, um eine magnetische Polung vollständig und sicher zu beseitigen.
Die Experten von Kroll Ontrack konnten sogar Daten auf einer Festplatte der im Januar 2003 verunglückten Columbia-Raumfähre retten. Bei Eintritt in die Atmosphäre waren das Gehäuse und die einzelnen Platten am Ende, und der Controller sowie alle elektronischen Teile zerschmolzen. Aber die Datensektoren hatten überlebt.
Modernes Enigma
Im logischen Bereich erinnert die Tätigkeit der Forensiker an die der Entschlüsselungskünstler früherer Tage. Gefragt ist hier nicht der Physiker oder Feinmechaniker, sondern der analytisch begabte Dechiffrierer von Dateiorganisationen. Aus reinem Hexadezimalcode das zugrunde liegende Strickmuster zu erkennen setzt dieselbe stringente und automatisierte Logik voraus wie bei der Entschlüsselung der deutschen Enigma-Funksprüche durch Alan Turing und seine Kollegen im Zweiten Weltkrieg.
Forensiker müssen bei aktuellen Technologien, wie zurzeit zum Beispiel Flash, die Rätsel lösen, die ihnen die Dateistruktur eines neuen Speichermediums bietet. Die Kenntnis solcher Inhaltsverzeichnisse ist auch für die Forensik zentral. Wer weiß, wie ein Medium im Normalfall aufgebaut ist, kann zur Not auch ohne Verzeichnisstrukur nach gelöschten Daten oder Verzeichnissen von Log-Dateien suchen. Die Strukturen elektromagnetischer Festplatten und Bänder sind dabei relativ aufgeräumt. Dateisysteme wie FAT oder NTFS sind gut dokumentiert. Schillernd sind aber schon Linux-Systeme, die häufig in externen Festplatten zum Einsatz kommen. Wenn ein Open-Source-Entwickler beispielsweise das EXT3 individuell leicht verändert, ist ein Datendetektiv schnell auf der falschen Spur. Terra Incognita und Forschungsschwerpunkt sind zurzeit die neuen Flash-Medien. Die handlichen und daher für eine Industriespionage prädestinierten USB-Sticks und Thumb Drives verfügen über unterschiedliche Datensysteme, die undokumentiert sind und es auch bleiben werden.
Außerdem ist die Organisation der Speicherbereiche bei Flash besonders "sprunghaft", weil die Ladung und Entladung die einzelnen Sektoren physikalisch stärker in Anspruch nimmt als die Polung bei magnetischen Medien. Deswegen sprechen die Controller von Flash-Medien möglichst viele verschiedene Sektoren an. Computerforensiker und Datenretter müssen hier gemeinsam im Reverse Engineering versuchen, die Controller nachzubauen. So entwickeln sie mit der Zeit standardisierte Tools für die verschiedenen neuen Dateisysteme. Automatische Tools, hinter deren Entwicklung jahrelanges Know-how und Erfahrung stecken, machen dann auch forensische Ermittlungen erschwinglich.
Verwischte Spuren unter dem Mikroskop
Wenn Daten zum Beispiel mehrfach überschrieben sind und die magnetische Ladung geändert ist, sind Ermittler nach heutigem Stand der Technik am Ende. Doch die Forschung erweitert auch hier die Möglichkeiten. Mit den Mitteln der Nanooptik lassen sich Spuren des alten Ladezustands rekonstruieren. Rasterkraft-Mikroskope, auch Atomic-Force-Mikroskope genannt, wie sie unter anderem Seagate für die Qualitätssicherung verwendet, verzeichnen kleinste Fragmente von Magnetisierungen. So kann man erkennen, wo aus einer Eins eine Null gemacht wurde oder umgekehrt. Doch die Rekonstruktion der Polungsfragmente ist nur der Anfang. Wie Archäologen ihre Scherben interpretieren müssen, so müssen sich auch die Forensiker fragen, ob eine rekonstruierte Null zu einer Information gehört oder nur eine Adresse eines Verzeichnisses oder eine Verweisinformation darstellt. Da gilt es nun oft unendlich viele Möglichkeiten automatisch durchzurechnen, bis man die sinngebende und damit korrekte Interpretation findet. Die Entwicklung geeigneter Software-Tools ist dann die Folgeaufgabe.
Unschuldig unter Verdacht geraten
"Das ist seriöse Grundlagenforschung auf logischer und physikalischer Ebene, in der zahlreiche Experten ihren Beitrag leisten", analysiert Forensikspezialist Reinhold Kern: "Und diese Experten erfüllen eine gesellschaftliche Aufgabe, die immer wichtiger wird. Denn so kann man nicht nur Delikte belegen, sondern auch Verdächtigte entlasten. Ein schwedischer Professor wurde zum Beispiel vor Jahren der Kinderpornografie bezichtigt. Forensiker konnten nachweisen, dass ein von außen installierter Trojaner für die Abspeicherung und den Versand einschlägiger Materialien verantwortlich war. Die Ingenieure in den Laboren und Reinräumen machen solche Lösungen bezahlbar: Grundlagenforschung mit Praxisbezug im Sinne des Erfinders." (ue)
Insolvenzbetrug: Der Fall Phoenix
Anlagebetrug ist eine häufige Form der Wirtschaftskriminalität. Beweise lassen sich durch die Rekonstruktion gelöschter Dateien sichern. So auch im Fall des insolventen Phoenix Kapitaldiensts aus Frankfurt am Main. Hier hat man zunächst die gelöschten Computerdateien wiederhergestellt, um sie dann durch die Insolvenzverwaltung der Kanzlei Schultze und Braun auswerten zu lassen.
So wurde belegt, dass der Finanzdienstleister beim Derivatehandel niemals Gewinne, sondern nur Verluste erwirtschaftet hatte. Gegenüber Kunden und Interessenten hatte er dagegen behauptet, hohe Gewinne eingefahren zu haben. Zunächst wurden gegenüber Anlegern einfach falsche Angaben gemacht. Später wurden gefälschte Auszüge über den Handel und das Vermögen im Derivatehandel erstellt. Nötig wurde dies durch die erst ab dem Jahresabschluss 1997 fällige Wirtschaftsprüfung. Durch gezielte Fehlinformationen konnten 30 000 Kunden gewonnen werden, die rund 600 Millionen Euro in die vermeintlich profitable Finanzdienstleistung investierten.
In Frage stand, wer die Dokumente gefälscht hatte. Eine inhaltliche Analyse von 2000 gefälschten Dokumenten erbrachte keine vollständige Klarheit. Erst durch die Rekonstruktion und Analyse gelöschter Dateien auf dem PC des Chefhändlers ergab sich, dass dieser die Dokumente gefälscht hatte. Computerforensiker und Juristen hatten gemeinsam zur Aufklärung beigetragen.