England, 19. September 1987, Colin Pitchfork wurde für den Mord an zwei Mädchen verhaftet. Das Besondere an diesem Fall ist, dass Pitchfork die erste Person war, die mit Hilfe eines DNA-Tests überführt wurde. Seine Spur wurde mit Hilfe einer DNA-Reihenuntersuchung gefunden. Die hier zum ersten Mal angewandte Untersuchungsmethode ist heute Standard für den Nachweis einer Personenidentität. Dieser Fortschritt hat dazu beigetragen, das Bewusstsein für die Notwendigkeit und den Wert forensischer Wissenschaften im Bereich der Kriminalermittlung zu schärfen.
Eine beträchtliche Zeit ist seitdem vergangen und die herkömmliche Forensik hat Fortschritte gemacht und gehört zum Standardwerkzeug der kriminalistischen Arbeit. Ein Blick in die jüngere Geschichte aber zeigt, wie sich mit der Digitalisierung auch die Verbrechensbekämpfung wandeln muss. So haben sich ehemals leere Briefkästen zu Online-Marktplätzen entwickelt.
Im April/Mai 2019 wurde beispielsweise die Darknet-Plattform „Wall Street Market“ vom BKA in Kooperation mit dem FBI ausgehoben. Auf dem zweitgrößten kriminellen Online- Marktplatz wurden gestohlene Daten, Drogen, Schadsoftware und gefälschte Dokumente zum Verkauf angeboten. Zugänglich war diese Plattform ausschließlich über das TOR-Netzwerk im sogenannten Darknet. Es war auf illegale und kriminelle Güter ausgerichtet. Die Bezahlung der Ware erfolgte durch BITCOIN. Auf der Online-Plattform wurden 63.000 Verkaufsangebote eingestellt und 1.150.000 Kundenkonten mit über 5.400 Verkäufern angemeldet.
Dies ist lediglich ein Beispiel dafür, wie sich Kriminelle im Internet organisieren und agieren, um Cyberkriminalität zu verschleiern und ihre Kunden zu schützen. Um lokale und globale Cyberkriminalität rechtskonform nachzuweisen, bedarf es der IT-Forensik, um Straftäter für ihre Handlungen verantwortlich zu machen.
Die Forensik umfasst interdisziplinär alle Wissenschaften, die zur kriminalistischen Aufklärung einer Straftat beitragen können. Beispiele dafür sind die Erfassung biometrischer Tatortspuren wie Fingerabdrücke, die Auswertung von Tatortfotos oder das Rekonstruieren von Daten auf beschlagnahmten Festplatten. Ein essenzielles Prinzip der Forensik (Locardsches Austauschprinzip) besagt, dass bei jeder Interaktion zwischen zwei Objekten Spuren ausgetauscht werden. Dafür müssen Forensiker unter anderem auf die Wissenschaften der Medizin, Chemie und Informatik zurückgreifen. Eine Spur muss dabei immer so gesichert werden, dass sie vor Gericht Bestand hat und zweifelsfrei korrekt gewonnen wurde. Aus diesem Grund und dem ständigen technischen Fortschritt ist die Forensik eine spannende Wissenschaft mit vielen offenen Forschungsfragen.
Ein Beispiel für eine neu entstandene Forschungslücke ist der Übergang der klassischen Forensik auf digitale Fragestellungen, z. B. wie können Verbrechen, die mit moderner künstlicher Intelligenz, wie dem bekannten Chatbot „ChatGPT“ oder dem Bildgenerator „DALL-E“ oder autonomen Fahrzeugen begangen werden könnten, auch nachgewiesen werden. Genau hierfür ist die IT-Forensik mit ihren Eigenschaften Objektivität und Rechenschaftspflicht prädestiniert und grenzt sich dadurch als anerkannte Wissenschaft von dem Versuch, KI erklärbar zu machen (XAI) ab.
Um solche Systeme in der digitalen Forensik zu untersuchen, müssen zahlreiche Eigenschaften erfüllt sein. Sollte ein Gericht Zweifel an der Transparenz, Integrität, Glaubwürdigkeit, Wiederholbarkeit oder Akzeptanz forensischer Methoden sowie an der Dokumentation der Beweiskette hegen (Chain of Custody), kann dies dazu führen, dass der Wert eines Beweises herabgesetzt oder für unzulässig erklärt wird.
Welche Rolle spielt die Agentur für Innovation in der Cybersicherheit (Cyberagentur) in der digitalen Forensik? Die Cyberagentur beschäftigt sich mit Fragestellungen, die in voraussichtlich 10 bis 15 Jahren für die Cybersicherheit eines digital vernetzten Deutschlands relevant sind. Die Abteilung „Sichere Gesellschaft“ setzt in der Cyberagentur den Fokus auf die digitale Souveränität im Rahmen einer sozio-technischen Perspektive. In dem am 08.09.2023 ausgeschriebenen Forschungsprojekt „Forensik intelligenter Systeme“ (FIS) sollen Methoden und Tools gefunden werden, um komplexe Systeme künstlicher Intelligenz gerichtsfest auswerten zu können. Da es bisher fast keine Forschungsansätze in diesem Bereich gibt und die Fragestellung der gerichtsfesten Überprüfbarkeit möglicher Verbrechen im Cyberraum für die zukünftige Sicherheit unserer Gesellschaft immens wichtig ist, kann dieses Projekt einen erheblichen Erkenntnisgewinn beisteuern, in dem die technische mit der juristischen Perspektive verbunden wird.
Als Vorgabe soll es dabei um die KI-Systeme gehen, die eine hohe Anzahl an Parametern haben. Sie werden als „tiefe neuronale Netze“ bezeichnet und können in ihren Entscheidungen nicht mehr ohne Weiteres nachvollzogen werden (Blackbox Charakter). Durch die forensische Auswertung soll es zukünftig möglich sein, Angriffe zu erkennen, die gegen diese Systeme ausgeübt wurden. Beispiele für das Ziel solcher Angriffe sind der unautorisierte Zugriff auf die Daten, die zum Trainieren der KI verwendet wurden oder eine Manipulation der KI mit „falschen“ Trainingsdaten (Data Poisoning). Die Folgen können gravierend sein, weil z. B. fehlerhafte Fahrzeuge zu Unfällen führen oder vertrauliche Daten von Chatbots gestohlen werden können. Dieses Projekt könnte die Grundlage für zukünftiges Patchen der dadurch erkennbaren Schwachstellen sein.
Hintergrund des Forschungsprojektes FIS der Cyberagentur ist die Tatsache, dass etwa 87 Prozent der deutschen Unternehmen intelligente Systeme als entscheidenden Faktor für ihren wirtschaftlichen Erfolg betrachten. Unternehmer erhoffen sich durch KI-Anwendungen Zeit- und Kostenersparnisse. Durch das fehlende Fachwissen folgen aber Risiken der Manipulation.
Das Mysterium um die Wissenschaft der digitalen Forensik ist aufgeklärt. Viele Fälle von Cyberkriminalität noch nicht. Zusammenfassend soll jedoch durch das Forschungsprojekt der Cyberagentur der rasanten Verbreitung von KI-Systemen begegnet werden, um einem Missbrauch vorzubeugen und Strafverfolgungsbehörden im Zeitalter der Digitalisierung weitreichendere und rechtssichere kriminalistische Werkzeuge an die Hand zu geben.
Lars-Martin Knabe
ist Forschungsreferent Sichere Gesellschaft der Agentur für Innovation in der Cybersicherheit (Cyberagentur)
Land Niedersachsen schließt datenschutzrechtliche Vereinbarung mit Microsoft zur Nutzung von Teams ab.
Ein Großteil der Inventurdifferenzen im deutschen Einzelhandel wird durch Ladendiebstähle verursacht.
DDoS-Angriffe haben seit dem Beginn des Krieges zwischen Russland und der Ukraine an Häufigkeit und…
Lieferkettenplanung in Deutschland auf Basis von Excel bei 37 Prozent der befragten Unternehmen im Einsatz.
Bedienpersonal von Fertigungsanalagen soll mögliche Risiken auch ohne Cybersecurity-Fachwissen erkennen und minimieren können.
Schiffl IT: Anomalien im Netzwerkverkehr und in den Systemen in Echtzeit identifizieren.