“Die Beweisbedeutung digitaler Spuren nimmt zu”

EnterpriseSicherheit

Im Zeitalter des Cybercrime sind digitale Spuren oft das einzige Beweismittel. Der Leiter Forensische IuK beim Bayerischen LKA stellt sein Sachgebiet vor.

Hans-Jürgen Stenger leitet das Sachgebiet Forensische Informations- und Kommunikationstechnologie (IuK) und ist Sachverständiger für Forensische IuK im Bayerischen Landeskriminalamt (BLKA). Dazu gehört das Untersuchen und Bewerten von DV-Beweismitteln in strafgerichtlichen Verfahren. Zuvor war er stellvertretender Leiter der Dienststelle Computerkriminalität im BLKA.

silicon.de: Was bedeutet “Computerforensik” für das LKA? In welchem Rahmen greifen Sie auf solche Art von Computeranalysen zurück?
Stenger: Im Kriminalistischen Institut des Bayerischen Landeskriminalamtes wird der Begriff ‘Forensische IuK” verwendet. Wir setzen Methoden und Techniken der Informations- und Kommunikationstechnik seit Mitte der 80er Jahre für forensische Zwecke ein.

silicon.de: Wie viele Mitarbeiter arbeiten im Bereich IuK-Forensik?
Stenger: Im SG 210, Forensische IuK des BLKA, gibt es elf Sachverständige; in den 22 bayerischen Regional-Labors arbeiten zusammen etwa 75 IT-Sachbearbeiter.

silicon.de: Wie gehen Sie vor?
Stenger: Alle Untersuchungen in unseren Laboratorien werden auf der Grundlage forensischer Methoden durchgeführt. Die Methodik ist vom Untersuchungsmaterial abhängig: PC, Laptop, PDA, Handy, Fax, Streamerband, Debit-, Kreditkarte, elektronische Kasse, digitale Telefonanlage, lokale oder vernetzte Datenhaltung, aber auch Mittlere Datentechnik und Großanlagen zum Beispiel.

silicon.de: Wonach und wie suchen Sie?
Stenger: Das ist abhängig vom Ermittlungsverfahren – wir suchen zum Beispiel nach gelöschten oder rückdatierten Geschäftsdokumenten und Mails.

silicon.de: Welche Rückschlüsse lässt das jeweils zu?
Stenger: Rückschlüsse aus unseren Feststellungen trifft in der Regel der Staatsanwalt oder der ermittelnde Kriminalist.

silicon.de: Wie oft kommen Fälle vor, in denen die Auswertungen von zerstörten Computern, gelöschten Informationen eine Rolle spielen?
Stenger: Häufig.

silicon.de: Inwieweit arbeiten Sie mit Software-Firmen wie Kroll Ontrack, Ibas und Vogon zusammen?
Stenger: Vereinzelt sind stark beschädigte Festplatten, zum Beispiel nach einem Brand, zu untersuchen. Die geringe Anzahl dieser speziellen Untersuchungen rechtfertigt nicht den Aufwand, ein speziell ausgestattetes Laboratorium zu betreiben. In diesen Fällen verweisen wir unsere Auftraggeber auf private Data-Recovery-Firmen wie Kroll Ontrack.

silicon.de: Wie hoch schätzen Sie den Aufwand und den Wert von computerforensischen Methoden ein?
Stenger: Die Beweisbedeutung digitaler Spuren nimmt zu. Häufig sind sie einziges Beweismittel. Die forensische IuK ist seit langem unverzichtbar. Außerdem möchte ich mit einer Gegenfrage antworten: Wie viel sollte es einem Rechtsstaat wert sein, Straftaten zu klären, in welchen ausschließlich digitale Spuren zum Täter führen?

silicon.de: Worin besteht die größte Schwierigkeit?
Stenger: Das Schritthalten mit den kurzen Innovationszyklen wird in Zeiten knapper öffentlicher Kassen sehr schwer. Zudem haben wir es zunehmend mit verteilter Datenhaltung an mehreren Standorten im In- und Ausland zu tun.

silicon.de: Wie viel Know-how brauchen Polizeibeamte außerhalb von den Labors – zum Beispiel um einschätzen zu können, ob von einem zerstörten Laptop noch auswertbare Daten übrig geblieben sind?
Stenger: Keines. Hier sollte das kriminalistische Gespür ausreichen, sich über das Regionallabor oder das Labor Forensische IuK beim BLKA über die Erfolgsaussichten zu informieren.


Das Gespräch führte Ulrike Ostler