IT-Forensiker fahnden nach digitalen Spuren auf IT-Geräten, in der Cloud und im Inter- sowie im Darknet. Mit digitalen Beweisen überführen sie Täter, die in der virtuellen oder realen Welt Straftaten begangen haben. Bei der Luzerner Polizei bilden sie ein sechsköpfiges Team. Dieses gewährte uns exklusive Einblicke.

© Jörg RothweilerDie Mitarbeitende der Abteilung IT-Forensik der Luzerner Polizei verbindet einen zu durchsuchenden PC via «Write Blocker» mit dem Laborcomputer.Die Mitarbeitende der Abteilung IT-Forensik der Luzerner Polizei verbindet einen zu durchsuchenden PC via «Write Blocker» mit dem Laborcomputer.Mehr als 56΄000 Bilder lagern auf dem Smartphone, das ein Mitarbeiter des Teams für IT-Forensik der Luzerner Polizei gerade auswertet. «Das ist noch gar nichts», erklärt Fachbereichsleiter Daniel Sémon. «Bei Ermittlungen wegen des Verdachts auf Kinderpornografie sind Bildmengen im Millionenbereich, die gesichert und durchforstet werden müssen, keine Seltenheit.»

Wo wir bereits beim ersten Problem wären: der schieren Datenmenge, welche insbesondere im Bereich der Mobilgeräte-Forensik steigt und steigt. Bot das iPhone 8 anno 2017 noch 128 GB Speicherkapazität, waren es beim Samsung Note 9 (2018) bis zu 512 GB und das Samsung Galaxy S10+ knackt gar die Marke von 1 TB Nutzerspeicher.

Immer mehr Daten provozieren steigende Kosten

Dieses Wettrüsten schafft Probleme. Die IT-Forensiker benötigen immer mehr Speicherkapazität, um sichergestellte Daten zu lagern, und immer mehr Zeit für deren Sichtung. Zwar nutzen sie dazu technologische Hilfsmittel, dennoch werden zunehmend personelle Ressourcen gebunden und Ermittlungen dauern länger. Das kann kritisch sein, etwa, wenn Beweise ausgelesen werden müssen, die einen Antrag auf Haftverlängerung oder gar Untersuchungshaft begründen sollen.

Andererseits bringen steigende Speicherkapazitäten und die Bequemlichkeit der Nutzer auch Vorteile. «Kaum jemand löscht noch Daten vom Smartphone. Vor allem bei jungen Menschen erzählt dieses das gesamte Leben – und liefert entsprechend oft verwertbare Spuren und Beweise», berichtet die einzige IT-Forensikerin in Daniel Sémons Team. Diese entschied sich nach ihrer Informatikausbildung für eine Laufbahn bei der Polizei. Nach der Grundausbildung eignete sie sich im regulären Dienst die für IT-Forensiker unabdingbaren Kenntnisse bezüglich Fahndung, Ermittlung und Rechtsprechung an und stiess dann zur IT-Forensik. Nachdem sie erste Erfahrungen gesammelt hatte, absolvierte sie berufsbegleitend ein Fernstudium für IT-Forensik und Cyber Investigation in Dublin.

Ein spannender, aber auch belastender Job

© Jörg RothweilerDieses Mobilgerät wurde von der verdächtigten Person weggeworfen, wobei das Display zu Bruch ging. Dieses wird nun ausgetauscht, damit das Gerät wieder bedient und analysiert werden kann.Dieses Mobilgerät wurde von der verdächtigten Person weggeworfen, wobei das Display zu Bruch ging. Dieses wird nun ausgetauscht, damit das Gerät wieder bedient und analysiert werden kann.«Der Job ist spannend und vielfältig, weil kein Fall dem anderen gleicht», sagt sie. Zudem finde sich immer etwas Verwertbares. Der vom französischen Arzt Edmund Locard schon zu Beginn des 20. Jahrhunderts formulierte Satz «Jeder und alles am Tatort nimmt etwas mit und lässt etwas zurück» gilt eben auch in der digitalen Welt.

Allerdings weiss die IT-Forensikerin auch um die hohe Belastung ihres Jobs. «Wir sehen immer nur das Negative, Böse und Schlechte. Das kann auch an Grenzen führen.» Sie selbst erreichte diese, nachdem sie während Monaten intensiv mit (Kinder-), Pornografie befasst war. «Irgendwann wollte und konnte ich das alles nicht mehr sehen», erinnert sie sich. Statt davonzulaufen, suchte sie die Veränderung innerhalb des Teams. Seither betreut sie vermehrt Drogen- und Vermögensdelikte, wertet Computer statt Mobilgeräte aus. «Hier sind die Datenvolumina zwar noch grösser und wir kämpfen öfter mit stark verschlüsselten Geräten. Doch der Zeitdruck ist kleiner und ich habe es eher mit Texten als Bildern zu tun.»

Akribie und Hartnäckigkeit zahlen sich aus

Ihr Team und auch der Leiter KK I sind froh, dass sie geblieben ist. «Unsere Kollegin ist nicht nur sehr versiert im Umgang mit Geräten und Tools, sondern hat auch ein phänomenales Gedächtnis und den für Fahndungserfolge so wichtigen Riecher», lobt ein Kollege – und erzählt drei Beispiele. «Einmal stach ihr bei der Auswertung von Telefonverbindungen eine Nummer ins Auge, die sie schon einmal gesehen hatte. Innert Kürze eruierte sie, wo das war – und konnte nachweisen, dass ein bereits aktenkundiger Straftäter auch im aktuellen Fall involviert war. Ein anderes Mal fand sie auf dem Gerät einer wegen Drogendelikten verhafteten Person Fotos, welche diese bei Sprayereien zeigten. Anhand gewisser Bildinhalte konnte sie den Ort eruieren, dank der Metadaten die genaue Tatzeit. Ein Abgleich mit vorliegenden Anzeigen gegen unbekannt ergab einen Treffer. So wurde die Person nicht nur punkto Drogendelikten, sondern auch betreffend Sachbeschädigungen überführt und dann auch verurteilt. Und in einem dritten Fall konnte sie sehr schnell nachweisen, dass ein von seiner eigenen Firma beschuldigter Mann definitiv unschuldig war.»

Nicht immer gelingen Nachweise so schnell und effizient. «Kürzlich fand eine Verhandlung statt, für die ich Beweise sicherte – was rund zweieinhalb Jahre dauerte, weil ein grosses Social-Media-Unternehmen involviert war. Es war mühsam, komplex und langwierig, via internationalen Rechtsweg an die belastenden Daten zu gelangen. Aber letztlich hat es sich gelohnt», berichtet ein anderer Mitarbeiter von Sémons Team – und freut sich über den Erfolg.

Wenn Fitnesstracker auch Beweise sammeln

© Jörg RothweilerIn einem gesicherten Raum lagern zahlreiche Geräte, deren Daten die IT-Forensiker noch auslesen und durchforsten müssen.In einem gesicherten Raum lagern zahlreiche Geräte, deren Daten die IT-Forensiker noch auslesen und durchforsten müssen.Neben Mobilgeräten, Laptops und Computern können auch IoT-Geräte wie Fitnessarmbänder oder Smart Watches Täter entlarven, erklärt ein weiteres Mitglied von Daniel Sémons Team: «Einmal konnten wir einen Einbruch aufklären, weil das Fitnessarmband der verdächtigen Person just zum Zeitpunkt, als der Einbrecher laut Zeugenaussagen davon­rannte, eine kurze, intensive Laufaktivität aufgezeichnet hatte. Diese fiel auf, weil das Gerät sonst immer nur normales Gehen detektierte. Die Auswertung der GPS-Daten des Smartphones und die Videoaufnahmen einer ÖV-Kamera ergaben zudem, dass die Person in unmittelbarer Nähe des Tatorts war. Damit war der Fall gelöst.»

Vorsicht und modernste Technik sind die Basis des Erfolgs

Für Erfolge wie diese müssen IT-Forensiker sehr exakt arbeiten. Bereits beim Sicher­stellen von Geräten drohen Datenverluste. «Beschlagnahmte Mobilgeräte müssen sofort gegen mögliche Internet-Verbindungen und damit eine Datenlöschung per Fernbefehl geblockt werden. Früher nutzten wir Faraday-Bags, heute gibt’s gottlob den Flug­modus», erklärt ein Mitarbeiter.

Die Dame im Team indes fügt an: «USB-Sticks dürfen nie einfach mit dem Computer verbunden werden. Sie könnten Schadsoftware enthalten.» Nicht zuletzt deshalb sind die Laborcomputer der IT-Forensiker physisch vom Netzwerk der Luzerner Polizei isoliert und auch nicht mit dem Internet verbunden.

Spezialtools und das ständige Wettrennen um Angriff und Verteidigung

Alle beschlagnahmten IT-Geräte werden typ- und hersteller-­spezifisch mit spezieller Hard- und Software ausgelesen, wozu die Luzerner Polizei unterschiedliche Tools diverser internationaler Hersteller nutzt. Welche das sind? Das verrät Daniel Sémon verständlicherweise nicht.

Kein Geheimnis indes ist, dass immer bessere Ver­schlüs­se­lungs­techniken sowie die zunehmende Verbreitung biometrischer Zugangssperren die Arbeit der IT-Forensik erschweren. «Diese drei Rechner liegen seit zwei Jahren hier, weil der beschuldigten Person die Zugangscodes ‹leider entfallen› sind. Wir haben versucht, die Verschlüsselung zu knacken – und dabei die Kühlung eines Hochleistungsrechners zerstört. Bisher leider ohne Erfolg», erklärt die Kollegin.

Das allerdings ist ein Einzelfall. Prinzipiell kann, die richtigen Ressourcen vorausgesetzt, jedes Gerät ausgelesen werden. Notfalls wird es dazu zerlegt, etwa, um die Speichermedien auszubauen (sog. Chip-off). Manchmal kommen auch Verfahren wie JTAG (Joint Test Action Group) oder ISP (In-System Programming) zum Einsatz. Und wenn ein Smartphone nicht mehr bedient werden kann, weil der Besitzer bewusst den Touchscreen zerstört hat, bauen die IT-Forensiker kurzerhand ein neues Display ein.

Neue Technologien erfordern neue Methoden

Ebenfalls spezifische Mittel und Methoden werden genutzt, um Daten von in Fahrzeugen eingebauten Systemen (Navigation, Telematik, Infotainment, Fahrzeugassistenz-, Sensorik- oder Steuerungssysteme) sowie von Konten auf Social-Plattformen auszulesen. Denn auch hier finden die IT-Forensiker häufig wertvolle Beweise, nicht zuletzt bezüglich potenzieller Mittäter, Mitwisser oder Auftraggeber.

Insbesondere im Drogenmilieu spielen Chatverläufe eine grosse Rolle. «Bei Straftaten im Bereich der Kinderporno­grafie sind Bilder und Videos wichtig, bei Drogen- und Vermögensdelikten hingegen sind es die Nachrichten auf den zahlreichen verwendeten Mobilgeräten», erläutert Sémon. «Die Schwierigkeit bei deren Durchforstung besteht darin, dass selten Klartext geschrieben wird, sondern Codewörter benutzt werden. Diese herauszufinden, ist essenziell für den Ermittlungserfolg.»

Auch am digitalen Tatort gilt: Nichts berühren oder verändern!

Ebenso wichtig ist, dass alle Arbeitsschritte korrekt ausgeführt und dokumentiert werden. «Allein das Ein- oder Ausschalten eines Geräts, das Entfernen eines Datenträgers oder eine Eingabe über die Tastatur kann Spuren kontaminieren und Beweise vernichten. Das ist fatal, denn neben der vollumfänglichen Datensicherung ist oft auch eine lücken­lose Rekonstruktion der Abläufe in IT-Geräten für die schlüssige und gerichtsverwertbare Beweissicherung unab­dingbar», erläutert einer der Luzerner Spezialisten.

Er weiss: Jeder kleinste Ermittlungs- oder Verfahrensfehler wird von der «Gegenseite» gnadenlos ausgenutzt. «Häufig stehen vor Gericht nicht mehr die Delikte, sondern mögliche Fehler bei Beweissicherung im Vordergrund», kritisiert ­Daniel Sémon.

Daher achten die Luzerner IT-Profis stets auf eine lupen­reine Beweismittelkette (Chain of Custody). Diese beginnt damit, dass beim Erstellen der forensischen Kopie jedes Datenträgers (es wird nie auf den Originaldaten gearbeitet) ein «Write Blocker» eingesetzt wird, der nur das Lesen, nicht aber das Schreiben von Daten erlaubt. Zudem (neben vielen anderen Massnahmen) wird ein Hashwert erstellt – sowohl vom Original als auch von der Kopie –, um lückenlos nachweisen zu können, dass der Datenträger zu keinem Zeitpunkt verändert werden konnte. Erst die so abgesicherte forensische Version wird dann ausgewertet, wobei mittels spezieller Tools (sog. File Carving) unter gewissen Umständen auch gelöschte Dateien wiederhergestellt und geborgen werden können. «Oft genug sind es genau diese vom Täter vermeintlich vernichteten Daten, die ihn letztlich der Tat überführen», wissen die IT-Forensiker.

Ausbildungsmöglichkeiten für IT-Forensiker

Lange Zeit konnte man das Fach «Digitale Forensik» nur in Norwegen, Irland und Süddeutschland studieren. Die Hochschule Albstadt-Sigmaringen, etwa eine Auto­stunde nördlich von Konstanz gelegen, bietet seit 2011 den berufsbegleitenden Master-Studiengang «Digitale Forensik» an. Unter den Studierenden fanden sich so regelmässig auch Schweizer, die bei unterschiedlichen Strafverfolgungsbehörden arbeiten, dass die Dozierenden gar auf die Besonderheiten des Schweizer Rechts eingingen.

Mittlerweile können an der IT-Forensik Interessierte auch in der Schweiz studieren. Die Hochschule Luzern bietet den CAS-Lehrgang «Cyber Investigation and Digital Forensics» an, die Berner Fachhochschule den CAS-Kurs «Digital Forensics & Cyber Investigation Fundamentals» sowie – ab April 2020 – neu auch den MAS-Studiengang «Digital Forensics & Cyber Investigation»

Mehr Infos finden Interessierte auf: www.hs-albsig.de, www.hslu.ch und www.bfh.ch

Seit 1970 sitzen Millionen Krimifans am Sonntagabend vor dem Fernseher und glotzen den «Tatort». Am 19. August 2019 flimmerte die 1’100. Folge über den Bild­schirm. Wir ermittelten einige erstaunliche Fakten. Erfunden wurde der «Tatort» von Gunther Witte als ARD-Konkurrenzprodukt zum ZDF-Krimi «Der Kommissar». Die erste Folge vom 29. November 1970 hiess gleich wie die 1’000. «Taxi nach Leipzig»....
Folgende Geschehnisse, bei denen Schweizer Care Teams zum Einsatz kamen, erlangten national wie international grosse Aufmerksamkeit: 2. September 1998 Absturz einer Maschine der Swissair vor Halifax (229 Tote) 11. Januar 1999 Ein Vater erschiesst in St. Gallen den Lehrer seiner Tochter 27. Juli 1999 Canyoning-Unglück im Saxetbach (21 Tote) 10. Januar 2000 Absturz einer Saab 340 der Crossair nahe...
Seit zehn Jahren baut Crosscall in Aix-en-Provence «ruggedized» Handys und Smartphones. Wir haben das für Einsatzkräfte interessante Topmodell Trekker-X4 mit Dash- und Bodycam-Funktionalität ausprobiert. Das nach Mil-Std 810 G und IP68 zertifizierte Crosscall Trekker-X4 hält was aus: Wir schleiften sein Display am Zürichseeufer über den Sand, setzten das Gerät in knietiefem Wasser der Dünung...
Vom 7. bis 11. Oktober 2019 fanden in Frauenfeld die von der Feuer­­wehr Koordination Schweiz (FKS) organisierten Kurse «Führung Grossereignis» und «Ausbildungskurs für Übungsleiter Gross­- ­­­er­eignis» statt. 115 Angehörige verschiedener Behörden und Organi­sa­tionen für Rettung und Sicherheit (BORS) nahmen daran teil. Kommt es zu einem Grossereignis, müssen Feuerwehr­leute, Polizisten,...
Pfarrer Roger Müller betreut Menschen, die Belastendes erlebten, Schlimmes mitansehen mussten oder selbst Leid verursachten. Zudem betreut er jene, die in solchen Fällen jeweils zu Hilfe eilen. Ein Gespräch über die unzähligen Facetten von Leid, Trauer, Hass und Wut sowie Liebe, Vergebung, innere Stärke und Hoffnung. Wenn Gottes schützende Hand weicht, das Schicksal erbarmungslos zuschlägt, die...
IT-Forensiker fahnden nach digitalen Spuren auf IT-Geräten, in der Cloud und im Inter- sowie im Darknet. Mit digitalen Beweisen überführen sie Täter, die in der virtuellen oder realen Welt Straftaten begangen haben. Bei der Luzerner Polizei bilden sie ein sechsköpfiges Team. Dieses gewährte uns exklusive Einblicke. Mehr als 56΄000 Bilder lagern auf dem Smartphone, das ein Mitarbeiter des Teams...
Paul Tedde, Prokurist und Mitglied der Geschäftsleitung, betreibt mit den drei Geschwistern Guggenbichler in Pratteln die CSC Desinfektion und Tatortreinigung GmbH. Wir haben ihn gefragt, was einen guten Tatortreiniger auszeichnet, wo die Risiken und Herausforderungen liegen und wie sich Blaulichtkräfte an Tatorten vor unsichtbaren Gefahren schützen können. Herr Tedde, was zeichnet einen guten...
Suizide, Arbeitsunfälle, Gewaltverbrechen, Leichen­fund­orte und Messiewohnungen: Tatort­reiniger putzen, wo es anderen den Magen umdreht. Effizient und nach klaren Regeln. Wir haben sie einen Tag lang begleitet. Frühmorgens läutet das Smartphone. «In einer Stunde. Die Adresse schicke ich dir per SMS», sagt Paul Tedde, Prokurist und Projektleiter der CSC Desinfektion und Tatortreinigung GmbH aus...
Die eigenen Grenzen ausgelotet – und viele andere Grenzen überwunden Seit 2003 kommen beim jährlichen «Kristallschiessen» fast 120 Angehörige von Polizeien, Grenzwachtkorps, privaten Sicherheitsdiensten und dem Militär aus vier Nationen zusammen. Sie loten die Grenzen der persönlichen Schiessfertigkeit aus – und pflegen den Austausch und die Kameradschaft über Korps-, Institutions-, Kantons- und...
Diese Webseite nutzt Cookies & Analytics. Wenn Sie weiter auf dieser Seite bleiben, stimmen Sie unseren Datenschutzbestimmungen zu.