Zum Potential forensischer Analysen

Die Nachweisbarkeit einer Tat ist Grundlage für deren strafrechtliche Ahndung. Im Be-reich der Cyberkriminalität hat man es in der Regel mit Nachweisen zu tun, die in Form digitalerBeweismittel vorliegen. Dies können Rechner, Festplatten oder Mobiltelefone sein, aber auch Mitschnitte von Netzwerkverkehr oder Abzüge von Webseiten. Die Siche-rung und Analyse digitaler Beweismittel ist der Inhalt der digitalen Forensik. Bevor wir

uns der Frage widmen, ob die aktuellen strafprozessualen Eingriffsbefugnisse ausreichen, müssen wir uns Klarheit über das Potential der digitalen Forensik verschaffen.

Generell steckt die forensische Informatik, also die Anwendung wissenschaftlicher Me-thoden der Informatik auf die IT-Beweismittelsicherung und -analyse, noch in den Kinder-schuhen. Die bisherige Entwicklung des Faches war sehr stark geprägt von Erwägungen aus der Praxis. Auch fehlt bisher eine substantielle Auseinandersetzung der forensischen Informatik mit anderen, lange etablierten forensischen Wissenschaften und deren Theori-en (Inman & Rudin, 2000). Das Gebiet hat aber durch dTheori-en Eingang von stärker offTheori-ensiv ausgerichteten Techniken der IT-Sicherheit in den akzeptierten Themenkanon großer wissenschaftlicher Informatikkonferenzen in den letzten Jahren stark an Dynamik gewon-nen, so dass man bereits grobe Entwicklungslinien erkennen kann, die wir im Folgenden Skizzieren wollen.

7.4.1. Technisch unvermeidbare Spuren

Die Grundvoraussetzung jeder Ermittlungsarbeit besteht in der Annahme, dass es das perfekte Verbrechen, also eine Tat ohne Spuren, in der Realität nicht gibt. In der Konse-quenz bedeutet dies: Täter machen Fehler. In der Diskussion um Cyberkriminalität wird dieser Aspekt oft vernachlässigt, wenn etwa darauf abgehoben wird, wie leicht es ist, die eigenen Spuren im Cyberspace zu verwischen. Der einzige Unterschied zur realen Welt liegt darin, dass die Spuren im Cyberspacedigitalvorliegen.

Generell unterscheidet man zwei Arten digitaler Spuren:

• Technisch vermeidbare Spuren sind Spuren, die um ihrer selbst Willen erzeugt wurden. Beispiele hierfür sind Log-Dateien, Backups oder Zeitstempel in Dateisys-temen. Aber auch jede Datei oder abgespeicherte E-Mail ist eine solche Spur.

• Technisch unvermeidbare Spurenhingegen sind Spuren, die unweigerlich anfallen und daher nicht durch einfache Änderungen an der Konfiguration eines Systems vermieden werden können. Beispiele hierfür sind gelöschte Dateien im Dateisystem, alte Stackframes im Hauptspeicher oder Inhalte des DNS-Caches.

Technisch vermeidbare Spuren sind leicht manipulierbar. So kann man beispielsweise eine E-Mail, die man auf der eigenen Festplatte abgespeichert hat, sehr leicht nachträglich verändern oder löschen. Technisch vermeidbare Spuren fallen in der Regel in großen Mengen an. In der digitalen Forensik hat sich hier ein eigener Zweig entwickelt, der sich mit der Analyse und Korrelation großer Datenmengen befasst und häufig als »e-discovery« bezeichnet wird. Derartige Problemstellungen sind aber auch aus anderen Bereichen bekannt. Zur Bewältigung der großen Aktenmengen in Wirtschaftsstrafsachen

werden beispielsweise häufig die Akten durch Dienstleister zunächst digitalisiert und anschließend elektronisch durchsuchbar gemacht.

Technisch unvermeidbare Spuren können zwar prinzipiell manipuliert werden. Eine Manipulation erfordert jedoch hohen Aufwand (hohe Expertise und spezielle Werkzeuge) oder birgt die Gefahr, dass das IT-System unbenutzbar wird.

Es gibt eine gewisse Analogie zwischen technisch unvermeidbaren digitalen Spuren und den mikroskopischen physischen Spuren (Haare, Fasern etc.), die von Kriminaltechnikern an Tatorten gesichert werden. Mikroskopische Spuren, insbesondere solche, die die eigene DNA enthalten, sind sehr schwer zu vermeiden. Entsprechend wird ihnen bei der Beweisaufnahme ein höherer Beweiswert zugemessen. Ähnliches gilt für technisch unvermeidbare Spuren.

7.4.2. Analyse von Speichermedien

Der Standardfall einer forensischen Analyse ist eine beschlagnahmte Festplatte oder ein vergleichbares Speichermedium. Bei der Untersuchung müssen die klassischen fo-rensischen Prinzipien eingehalten werden: So muss jeder Schritt der Untersuchung im Nachhinein nachvollziehbar sein. Veränderungen am Beweismittel sind entweder ganz zu vermeiden oder nur in gut begründeten und genau zu dokumentierenden Ausnahmefällen erlaubt.

Abhängig von der verwendeten konkreten Technologie kann man aus einem Speicher-medium sehr viele Informationen gewinnen. Ein wesentliches Untersuchungsfeld ist die Wiederherstellung gelöschter Dateien. Die Technik des »file carving« ermöglicht es sogar, Fragmente von größeren Dateien wie Bildern zu rekonstruieren. Moderne Dateisysteme erlauben zudem die Rekonstruktion von zurückliegenden Dateiversionen, anhand derer man die Modifikationen an einer Datei über die Zeit nachvollziehen kann. Eine Analyse von gebrauchten Festplatten im Rahmen einer universitären Lehrveranstaltung ergab, dass fast jeder Datenträger seinem ursprünglichen Besitzer zugeordnet werden konnte, auch wenn die Datenträger vollständig leer erschienen (Freiling, Holz & Mink, 2008).

Ein sich ebenfalls sehr schnell entwickelndes Gebiet ist die Analyse von Speichermedien aus Mobiltelefonen. Hier können in der Regel auch die mobilfunkspezifischen Daten wiederhergestellt werden, also Ruflisten, Kontaktlisten und Kurzmitteilungen.

Die prinzipielle Verfügbarkeit vieler Informationen auf einem Datenträger ist praktisch nur eingeschränkt durch die Vielzahl an Formaten und Versionen, die es heute im Be-reich der Anwendungssoftware und der Betriebssysteme gibt. Man benötigt oft für jede spezifische Kombination ein spezielles Werkzeug. Die in der Praxis verfügbaren Werk-zeuge decken nur einen kleinen Bereich an Kombinationen ab, der jedoch einen großen Prozentsatz der in der Praxis auftretenden Fälle ausmacht. Es gibt also noch eine Menge

an Dateisystemen und Anwendungsdateiformaten, die nicht effektiv analysiert werden können. Es hängt von der weiteren Entwicklungsdynamik des Feldes ab, ob und wie schnell auch diese Formate analysierbar sein werden.

Trotz der genannten Fortschritte der digitalen Forensik bleibt es weiterhin möglich, Daten unwiderruflich von Speichermedien zu löschen. Eine Möglichkeit besteht im Überschrei-ben der Daten mit anderen Daten. Aufgrund der hohen Integration moderner Festplatten ist es heute kaum mehr möglich, derart überschriebene Daten wiederherzustellen, auch wenn man dazu die Festplatte öffnet und im Labor untersucht. Im Gegensatz zu früher reicht heute in der Regel das einmalige Überschreiben aus (Wright, Kleiman & Sundhar R.S., 2008; Berghel & Hoelzer, 2006). Da dies kaum mit Bordmitteln des Betriebssys-tems durchführbar ist, benötigt man hierfür spezielle Werkzeuge, die jeweils für sich ihre Stärken und Schwächen haben.

Einen gewissen Sonderfall bilden Speichermedien auf Basis von Flash-Speichertechnolo-gie. Hierzu gehören viele USB-Sticks, Speicherkarten und die so genanntenSolid State Disks, also nicht-rotierende Festplatten, die meist in kleinen Notebooks verbaut sind. Dort ist technologiebedingt die Lebenszeit einzelner Speicherzellen abhängig von der Anzahl der Schreibzugriffe. Deswegen versuchen diese Speichermedien durch interne Algorith-men, die auf sie geschriebenen Daten möglichst gleichmäßig über alle Speicherzellen zu

»verschmieren« (wear levelling). Es entstehen also innerhalb des Speichermediums deut-lich mehr forensisch verwertbare Spuren als bei rotierenden Festplatten. Dieser Schatz wurde durch die forensische Informatik aber bisher noch nicht gehoben.

Die andere Möglichkeit, Daten unwiderruflich zu löschen, besteht in der physischen Vernichtung des Datenträgers. Hierzu gibt es, ähnlich Aktenvernichtern, bereits sehr eindrucksvolle Geräte am Markt, die keine Wünsche offen lassen. Im Zweifel sollte man ausgediente Datenträger immer physisch vernichten.

7.4.3. Umgang mit Verschlüsselung

Ein zunehmendes Problem für Strafverfolgungsbehörden ist der Einsatz von Verschlüsse-lungstechnologien. Zu unterscheiden sind dabei verschlüsselte Datenträger (z.B. Festplat-tenverschlüsselung oder verschlüsselte Dateicontainer) und verschlüsselte Kommunikati-onsinhalte.

Für die Analyse von verschlüsselten Datenträgern besteht immer die Möglichkeit, den Schlüssel zu erraten. Datenträgerverschlüsselung basiert in der Regel auf einen Schlüssel, der von einem Passwort abgeleitet ist. Hat man dieses Passwort, so hat man auch Zugang zum Datenträger. Abhängig von der konkreten Ermittlungssituation kann man also lange Listen von in Frage kommenden Passwörtern, die etwa aus dem Umfeld des Beschuldigten stammen, automatisiert ausprobieren.

Trifft man ein System mit aktiver Festplattenverschlüsselung im laufenden Zustand an, so kann man in der Regel leicht, nämlich auf dieselbe Art wie der Besitzer des Datenträgers, auf die Inhalte zugreifen. Entsprechende Techniken erfordern allerdings zur Beweismittelsicherung die Benutzung des zu untersuchenden Systems selbst. Wegen der Gefahr der Veränderung des Beweismittels muss man hierbei sehr vorsichtig vorgehen.

Trifft man das System im Standby-Modus oder im Ruhezustand an, gibt es eine vielver-sprechende Alternative zum Ausprobieren möglicher Passwörter. Im laufenden Betrieb wird der für die Verschlüsselung verwendete geheime Schlüssel notwendigerweise im Hauptspeicher des Rechners gehalten. Im Standby-Modus oder im Ruhezustand besteht die Möglichkeit, eine Kopie des Hauptspeichers anzufertigen und darin strukturiert nach möglichen Schlüsselkandidaten zu suchen. Dies funktioniert erstaunlicherweise in Form der so genannten Cold Boot-Angriffe auch bei kürzlich ausgeschalteten Computern (Halderman et al., 2009).

Prinzipiell möglich ist natürlich das Ausspähen des Passwortes durch einen im Vorgriff einer Beschlagnahme auf das System eingebrachte Spionagesoftware (Remote Forensic Software). Dies ist aus forensischer Sicht problematisch, da das Beweismittel notwendi-gerweise manipuliert wird. Durch die verdeckte Natur des Eingriffs und die Komplexität moderner IT-Systeme ist es zudem sehr schwer, die Aktivitäten der eingebrachten Soft-ware exakt und nachvollziehbar zu dokumentieren. Schließlich muss auch die SoftSoft-ware selbst verdeckt operieren. Sie ist also nur vermeintlich einfacher durchzuführen als die oben genannte Speicheranalyse. Zur endgültigen Abschätzung wird es zunächst notwen-dig sein, die Speicheranalysetechniken zur Marktreife weiterzuentwickeln, um sie in der Praxis der Strafverfolgung zu erproben. Schließlich werden zugleich Techniken erforscht, die eine Speicheranalyse ins Leere laufen lassen (Müller, Dewald & Freiling, 2010).

Der Umgang mit verschlüsselter Kommunikation ist deutlich schwieriger als der Umgang mit verschlüsselten Datenträgern. In Kommunikationssystemen werden zur Verschlüsse-lung meist temporäre Schlüssel mit großer Länge verwendet. Das Ausprobieren vieler oder gar aller Kombinationen ist hierbei aussichtslos. Abhängig von der verwendeten Technologie besteht die Möglichkeit, den Service-Provider einzuschalten, falls dieser eine Möglichkeit für die Entschlüsselung besitzt. Möglich ist hingegen immer einMan in the Middle-Angriff auf die Verbindung selbst. Dieser funktioniert auch durch das Abfangen der Daten vor oder nach der Verschlüsselung. Hierzu muss eine Spionagesoftware auf eines der beteiligten Endgeräte eingebracht werden, die verdeckt operiert. Ein solches Vorgehen wird als »Quellen-Telekommunikationsüberwachung« bezeichnet.

Bei der Quellen-Telekommunikationsüberwachung besteht demnach dieselbe forensi-sche Problematik, die weiter oben bereits beschrieben wurde. Man gefährdet prinzipiell den Beweiswert der auf dem jeweiligen IT-System vorhandenen Daten. Angesichts der höheren praktischen Notwendigkeit erscheint uns eine hinreichend technisch und auch

rechtlich abgesicherte Quellen-Telekommunikationsüberwachung weitaus sinnvoller zu sein als ein genereller Einsatz von Spionagesoftware zu Strafverfolgungszwecken.

7.4.4. Rückverfolgbarkeit von Kommunikation

Die Rückverfolgbarkeit von Kommunikation ist im Cyberspace wegen der technischen Gegebenheiten ein großes Problem. Beispielsweise ist die De-Anonymisierung einer IP-Adresse durch den Service-Provider ein grundsätzliches Bedürfnis der Strafverfol-gungsbehörden. Besonders relevant ist dies beidynamisch vergebenenIP-Adressen. Ohne jegliche Möglichkeit, dynamische IP-Adressen aufzulösen, werden Ermittlungen im Bereich der Cyberkriminalität jedenfalls deutlich erschwert.

Aus Sicht der digitalen Forensik möchte man idealerweise denEndpunkt einer Kom-munikation identifizieren, also den Ort, an dem die KomKom-munikation in den Cyberspace hinein- bzw. hinausgelangte. Dies ist nicht notwendigerweise immer durch die Ermittlung einer IP-Adresse erreicht. Schließlich kann diese IP-Adresse nur der Zwischenpunkt einer längeren Kette von separaten Kommunikationsverbindungen sein, wie sie etwa bei Anonymisierungsdiensten verwendet werden. Eine Rückverfolgung durch Abarbeiten der Kette ist praktisch unmöglich, insbesondere, wenn die Kommunikationsverbindungen häufig nationale Grenzen überwinden.

Ein Ansatzpunkt für die Rückverfolgung ist die Verwendung der Kommunikationsverbin-dung selbst. Wenn die Möglichkeit besteht, in den Kommunikationsvorgang selbst eigene Inhalte einzubringen, dann kann man unter Umständen später die direkte Kommunikation zwischen zwei Systemen nachweisen. Dies funktioniert analog zu Banknoten, die man mit unsichtbarer Farbe präpariert, um beispielsweise später einen Erpresser zu überführen.

Hat ein Angreifer Zugang zu einem System erlangt, dann kann man versuchen, ihm spezifische Dateien zum Download anzubieten. Findet man diese Dateien später bei der Untersuchung eines beschlagnahmten Rechners auf dessen Festplatte, dann kann man nachweisen, dass dieser Rechner in den Kommunikationsvorgang involviert war. Diese Technik funktioniert meist nur dann, wenn man bereits einen kleine Personenmenge im Verdacht hat.

Das gleiche funktioniert auch in der Gegenrichtung. Grundlage hierfür ist das Einbringen eines Spionageprogramms auf den Rechner des Angreifers. Dieses Programm kann nun einerseits in regelmäßigen Abständen »Lebenszeichen« über das Netz an die Strafver-folgungsbehörden senden, was die Identifizierung des Aufenthaltsortes des Rechners erleichtert. Andererseits kann ein solches Programm auch verwendet werden, um den Rechner des Angreifers nach identifizierenden Merkmalen zu durchsuchen (Namen, E-Mail-Adressen, Telefonnummern). Da es sich hierbei wieder um eine verdeckte Maßnah-me handelt, bestehen dieselben weiter oben bereits beschriebenen forensischen ProbleMaßnah-me fort.