IT-Forschung

Mit Computerforensik auf der Spur zerstörter Daten

13.08.2008
Von Guillermo Luz Y Graf

Verwischte Spuren unter dem Mikroskop

Wenn Daten zum Beispiel mehrfach überschrieben sind und die magnetische Ladung geändert ist, sind Ermittler nach heutigem Stand der Technik am Ende. Doch die Forschung erweitert auch hier die Möglichkeiten. Mit den Mitteln der Nanooptik lassen sich Spuren des alten Ladezustands rekonstruieren. Rasterkraft-Mikroskope, auch Atomic-Force-Mikroskope genannt, wie sie unter anderem Seagate für die Qualitätssicherung verwendet, verzeichnen kleinste Fragmente von Magnetisierungen. So kann man erkennen, wo aus einer Eins eine Null gemacht wurde oder umgekehrt. Doch die Rekonstruktion der Polungsfragmente ist nur der Anfang. Wie Archäologen ihre Scherben interpretieren müssen, so müssen sich auch die Forensiker fragen, ob eine rekonstruierte Null zu einer Information gehört oder nur eine Adresse eines Verzeichnisses oder eine Verweisinformation darstellt. Da gilt es nun oft unendlich viele Möglichkeiten automatisch durchzurechnen, bis man die sinngebende und damit korrekte Interpretation findet. Die Entwicklung geeigneter Software-Tools ist dann die Folgeaufgabe.

Unschuldig unter Verdacht geraten

"Das ist seriöse Grundlagenforschung auf logischer und physikalischer Ebene, in der zahlreiche Experten ihren Beitrag leisten", analysiert Forensikspezialist Reinhold Kern: "Und diese Experten erfüllen eine gesellschaftliche Aufgabe, die immer wichtiger wird. Denn so kann man nicht nur Delikte belegen, sondern auch Verdächtigte entlasten. Ein schwedischer Professor wurde zum Beispiel vor Jahren der Kinderpornografie bezichtigt. Forensiker konnten nachweisen, dass ein von außen installierter Trojaner für die Abspeicherung und den Versand einschlägiger Materialien verantwortlich war. Die Ingenieure in den Laboren und Reinräumen machen solche Lösungen bezahlbar: Grundlagenforschung mit Praxisbezug im Sinne des Erfinders." (ue)

Insolvenzbetrug: Der Fall Phoenix

Anlagebetrug ist eine häufige Form der Wirtschaftskriminalität. Beweise lassen sich durch die Rekonstruktion gelöschter Dateien sichern. So auch im Fall des insolventen Phoenix Kapitaldiensts aus Frankfurt am Main. Hier hat man zunächst die gelöschten Computerdateien wiederhergestellt, um sie dann durch die Insolvenzverwaltung der Kanzlei Schultze und Braun auswerten zu lassen.

So wurde belegt, dass der Finanzdienstleister beim Derivatehandel niemals Gewinne, sondern nur Verluste erwirtschaftet hatte. Gegenüber Kunden und Interessenten hatte er dagegen behauptet, hohe Gewinne eingefahren zu haben. Zunächst wurden gegenüber Anlegern einfach falsche Angaben gemacht. Später wurden gefälschte Auszüge über den Handel und das Vermögen im Derivatehandel erstellt. Nötig wurde dies durch die erst ab dem Jahresabschluss 1997 fällige Wirtschaftsprüfung. Durch gezielte Fehlinformationen konnten 30 000 Kunden gewonnen werden, die rund 600 Millionen Euro in die vermeintlich profitable Finanzdienstleistung investierten.

In Frage stand, wer die Dokumente gefälscht hatte. Eine inhaltliche Analyse von 2000 gefälschten Dokumenten erbrachte keine vollständige Klarheit. Erst durch die Rekonstruktion und Analyse gelöschter Dateien auf dem PC des Chefhändlers ergab sich, dass dieser die Dokumente gefälscht hatte. Computerforensiker und Juristen hatten gemeinsam zur Aufklärung beigetragen.