Digitale Forensik: Die Zukunft der Verbrechensaufklärung

“Es passt einfach nicht zusammen. Von der Steilküste kann der Junge nicht ins Meer gestürzt sein. Wo sind seine Hose, die Schuhe, die Socken? Hat die Strömung sie ihm ausgezogen? Dafür war sie eigentlich zu schwach. Oder hat er sich selbst vorher entkleidet? Nur, wo sind die Sachen dann? Und wer zieht sich vor einem Unfall die Hose aus?”

So beginnt das Buch von Professor Dirk Labudde über Digitale Forensik. Im Interview erklärt er, warum heute Verbrechen nur dann aufzuklären sind, wenn analoge und digitale Spuren als Einheit begriffen werden.

Digitale Forensik verbinden viele ausschließlich mit der Analyse von Cyberangriffen. Aber bei Ihnen geht es um weitaus mehr, also auch um „analoge“ Verbrechen für die digitale Informationen ausgewertet werden.
Dirk Labudde: Digitale Forensik ist viel mehr als die bisherige klassische Definition. Daher predige ich schon einige Zeit, dass es keine Trennung mehr zwischen analoger und digitaler Spurensuche gibt. Lasst uns wieder einfach nur Forensik sagen. Im Grunde können für jede Verbrechensanalyse alle digitalen Daten, die irgendwo gespeichert und verarbeitet werden, in einem Strafverfahren relevant sein. Denn Smartphone, Tablet, PC oder andere datenproduzierende Geräte hinterlassen digitale Spuren. Daher spielen eigentlich in jedem Ermittlungsverfahren solche digitalen Geräte eine wichtige Rolle.

Das heißt, wenn jemand in seiner Wohnung ermordet wurde, würden Sie ein Smartphone analysieren, das neben der Leiche liegt?
Die Quellen, aus denen Spuren gewonnen werden, sind eigentlich vollkommen irrelevant. Es geht darum, Spuren und Daten aller Art zusammenzuführen. Man kann auch sagen: Die Informatik wird genutzt für die Aufbereitung und für die Analyse aller Informationen und Spuren, die gewonnen wurden. Wir können das Tatgeschehen im analogen Raum auch mit analogen und digitalen Spuren rekonstruieren. Zum Beispiel ein Computermodell eines realen Raums generieren, um diesen Tatort und das Tatgeschehen nachvollziehbar zu machen.

Dürfen Sie als Externer an einer Ermittlung teilnehmen? Die Polizei selbst hat doch wahrscheinlich noch nicht die technischen Möglichkeiten und Fachexpertise, um digitale Spuren zu suchen?
Bei Kapitalverbrechen werden auch Rechtsmediziner mit einem Gutachten beauftragt und kommen zur Hauptverhandlung dazu, um ihre Gutachten zu erläutern. Vergleichbares machen wir auch. Aber wir sind keine Ermittler. Wir sagen nur, dass wir mit einem Tool, also einer Software, bestimmte Daten oder Spuren gefunden haben. Das ist nichts anderes als eine DNA-Analyse oder ein Fingerabdruck.

Gibt es Hersteller für solche Tools?
Es gibt große Hersteller, die Produkte für den Forensik-Markt entwickeln, zum Beispiel für die Auswertung von Smartphones. Solche Tools brauchen aber eine gewisse Entwicklungszeit. Das Problem besteht darin, dass die Entwickler solcher Werkzeuge dem schnelllebigen Smartphone-Markt hinterherrennen. Zudem gibt es neue Technologien, die Ermittler vielleicht noch nicht auf dem Radar haben. Wie lange hat es gedauert zu verstehen, dass Sprachassistenten wie Alexa oder Siri Spuren speichern? Oder lässt sich das perfekte Verbrechen nicht mit einem digital device planen? Man legt sein Smartphone zu Hause hin, und Siri sagt dann um 19 Uhr: Mach mal Licht an! Und der Nachbar denkt, ich bin zu Hause, kann also nicht am Tatort gewesen sein.

Sie nutzen Werkzeuge, die man nicht einfach bei Amazon einkaufen kann. Sie entwickeln viele Tools zusammen mit ihren Studenten. Machen Sie das fallspezifisch? Lässt sich solche Software später auch woanders einsetzen?
Wir entwickeln oft fallspezifisch, was allerdings Zeit braucht. Dann werden die Ermittler und Staatsanwaltschaften manchmal nervös und fragen uns, warum wir so lange brauchen? Aber wir müssen erst mal die Software schreiben, was einen Moment dauert. Wenn wir das für einen bestimmten Fall erfolgreich gemacht haben, entwickeln wir die Software auch weiter. Wir fangen also nicht immer von Null an.  Es gibt im Bereich IT-Sicherheit und IT-Forensik aber auch eine internationale Community. Auf GitHub gibt es zum Beispiel Frameworks, für die jemand einen Algorithmus geschrieben hat, mit dem man Arbeitsspeicher auslesen kann. Auch diese Open-Source-Bausteine nehmen wir uns und entwickeln sie weiter.

Für den Prozess zum Diebstahl der Goldmünzen aus dem Berliner Bode-Museum haben Sie auch eine Methode entwickelt. Warum hat das Gericht diese Methode nicht anerkannt?
Wir wurden angerufen, weil die Ermittler in einem Video sehen konnten, dass einer der Täter einen ganz auffälligen Gang hatte. Wir haben dann Frameworks für diesen Fall genutzt, die sowas automatisch detektieren. Das musste damals alles sehr, sehr schnell gehen, weswegen wir überlegt haben, ob wir das wirklich machen sollen, weil wir wissenschaftlich noch nicht so weit waren. Dann haben wir aber zugesagt. Es gab aber unsererseits Fehler im Gutachten, weswegen unsere Methode für die Tätersuche nicht zum Zuge kam. Sie wurde aber trotzdem im Urteil gewürdigt.

Sie nutzen diese Methode also noch?
Wir haben viel Mut zusammengenommen und Polizeien in mehreren Bundesländern angerufen. Mit Niedersachsen haben wir die Methode aus polizeilicher Sicht weiterentwickelt und auch Forschungsgelder dafür bekommen. Heute sind wir so weit, dass wir sagen können, dass die Methode genutzt werden darf.

Sie können reale Asservate wie Schuhe oder Tatwaffen digitalisieren und analog gefundene Spuren integrieren. Was heißt das?
Stellen wir uns einen Tatort vor. Jetzt geht es darum, den Tathergang zu rekonstruieren. Dafür lässt sich alles, was am Tatort ist, digitalisieren: das Mordopfer, der Raum, Tatwaffen, andere Gegenstände. Das bauen wir im Rechner nach, wie bei einem Computerspiel. Jetzt bringen wir das Opfer als Dummy in den Tatort und können zum Beispiel herausfinden, wie groß ein Täter gewesen sein muss, um die Tat zu begehen. Kann es überhaupt die angebliche Tatwaffe gewesen sein? Oder wir geben dem digitalen Täter die Tatwaffe in die Hand und prüfen, ob die Abstände zum Opfer stimmig sind.

Gibt es ein Beispiel aus der Praxis?
Wir hatten einen Fall in Leipzig, wo es um eine Schießerei auf einem Parkplatz ging und sich die Frage stellte, wo Täter und Opfer gestanden haben müssen, da es kein Blut im Auto oder auf dem Parkplatz gab. Solche Fragen lassen sich beantworten, wenn sie alles digitalisieren bis hin zum Autoschlüssel und den Patronenhülsen. Es gibt Hersteller, die geben uns dafür die Daten des digitalen Autos, die wir in den Tatort einsetzen. Und jetzt können Sie sich mitten in diesen Tatort setzen und nachvollziehen, was wie passiert sein kann. Ein großer Vorteil ist dabei, dass man bei solchen Modellen nicht mittendrin steht, sondern von oben auf den Tatort schauen kann.

Ihre Methoden spielten auch eine Rolle bei dem furchtbaren Verbrechen an einem 10-jährigen Mädchen, dass von einer Brücke gefallen war oder von der Brücke gestoßen wurde.
Wir konnten feststellen, dass das Mädchen so weit entfernt vom Brückenpfeiler lag, dass sie nicht nach einem einfachen Fall dort liegen konnte. Der Fall wurde nach einigen Jahren wieder aufgenommen. Doch die Brücke existierte nicht mehr. Wir sind in die Archive gegangen, haben die Originalbaupläne der damaligen Brücke im Rechner mit dem Brückengeländer digital nachgebaut. Wir konnten dadurch ermitteln, dass der Mörder das Mädchen wirklich über das Geländer geworfen hat.

Sie sagen, dass die Aufklärungsrate mit ihren Methoden noch weiter verbessert werden könnte.
Das gilt besonders für Überfälle, schweren oder bewaffneten Raub. Da kann die Methode, die wir entwickelt haben, sehr hilfreich sein. Daher werden wir bei diesen Fällen besonders häufig angefragt. Aber wichtig ist mir deutlich zu machen, dass wir immer noch Forscher sind, wir aber Forschung, Lehre und Anwendung unter einem Dach machen. Manche denken, ich wäre nur noch Berater und würde Gutachten schreiben. Ich stehe noch im Hörsaal. Wir forschen wirklich, haben das große Glück, unsere Forschung in die Anwendung zu bringen und aus der Anwendung neue Forschungsfelder abzuleiten.

Und was machen die Absolventen ihres Studiengangs?
Sie gehen zu 70 Prozent nicht zu den Behörden, sondern in die Industrie zu den Forensik-Tanks. Dort machen sie doch wieder „klassische digitale Forensik“, also das Auswerten von Cyberangriffen.

Dirk Labudde 
ist  Bioinformatiker und Forensiker und lehrt an der Hochschule Mittweida. Er studierte Theoretische Physik und Medizin. 2014 gründete er Deutschlands ersten Bachelorstudiengang „Allgemeine und Digitale Forensik”. Als Berater für Polizeien der Länder und Staatsanwalt-schaften hilft er bei der forensischen Aufklärung von Straftaten und ist als Sachverständiger vor Gericht tätig.