2014 05 IT-Sicherheit: Auf den Spuren der Spuren

Quelle: It-Sicherheit, Heft 5, September 2014, Seiten 29 bis 31
[Hier gibt's das Interview als PDF]

Von Faatin Hegazi
Fotos von Viktor Schanz und Torsten Fröhlich

Auf den Spuren der Spuren


Mark Benecke ist ein vielbeschäftigter Mann. So ist er nicht nur Kriminalbiologe mit einer Passion für Entomologie, sondern auch Autor populärwissenschaftlicher Sach- und Kinderbücher, NRW-Landesvorsitzender von „Die PARTEI“, Mitglied der Deutschen Organisation der nichtkommerziellen Anhänger des lauteren Donaldismus (D.O.N.A.L.D.), Vorsitzender von „Pro Tattoo“ und Anhänger weiterer Organisationen, die dem Durchschnittsbürger wahrscheinlich verborgen bleiben. Entstanden ist ein Interview der etwas anderen Art, in dem die IT-Sicherheit ausnahmsweise nur eine Nebenrolle spielt. Dafür erhalten Sie einen spannenden Einblick in die Welt der klassischen Forensik. IT-SICHERHEIT freut sich, dass sich Mark Zeit genommen hat, um mit uns zusammen die Gebiete der IT- und klassischen Forensik einander gegenüberzustellen, um ihre Gemeinsamkeiten und Unterschiede zu ergründen.

Eines der Hauptprobleme in der ITForensik ist, Spuren, die zum Täter führen könnten, zu sichern. Denn das System ist sozusagen „lebendig“, die Daten flüchtig und Profis sind in der Lage, sie blitzschnell verschwinden zu lassen. Ist dies in der klassischen Forensik ein Problem? Eure Spuren „laufen“ ja nicht weg, außer jemand zerstört sie mutwillig, oder?

Doch, interessanterweise können die weglaufen – und zwar nicht nur Insekten.

Es gibt verschiedene Arten von „laufender“ Spurenzerstörung. Was man in unserem Bereich unter „lebend“ zusammenfassen könnte, wäre beispielsweise der „Regenwäscht-Blut-weg“-Effekt. Und es gibt noch weitere, zum Beispiel die Alterung von Fingerspuren. Werden Hautleistenabdrücke – also die Linien in der Haut – übertragen, altern sie und werden schlechter.

Was sich hingegen sehr gut hält, ist DNA. Allerdings kann auch sie unter bestimmten Einflüssen kaputtgehen, beispielsweise bei einem bestimmten Licht oder bakteriellem Befall. Natürlich kann sie auch einfach weggewischt oder auf andere Art und Weise unbrauchbar werden. Demzufolge kämpfen auch wir mit Vergänglichkeit.

Im IT-forensischen Bereich ist zudem der Tatort ein Problem, da die Systeme dezentral – sprich, verteilt – sind und es somit in vielen Fällen nicht nur einen Tatort gibt. Habt ihr damit auch zu kämpfen?

Das kommt darauf an: Bei einem klassischen Delikt ist das räumlich schon begrenzt. Aber ebenso gut kannst du es mit der Verteilung und vor allen Dingen mit der Vermischung der Spuren zu tun haben. Faserspuren vermischen sich beispielsweise wie verrückt. Dazu habe ich ein Beispiel aus einem Fall, der sich genau so zugetragen hat: Wir hatten eine Person, der wir die Fasern, die wir auf dem Opfer entdeckt haben, eindeutig zuordnen konnten. Die Person stritt aber ab, jemals den Tatort – in diesem Fall die Wohnung des weiblichen Opfers – betreten zu haben. Schließlich haben wir herausgefunden, wie sich das abgespielt hat: Drei Personen, der Täter, die Frau und eben jener verdächtigte Mann, waren zusammen auf einem Volksfest gewesen. Dort haben sich über die Klamotten des Begleiters Fasern auf den echten Täter übertragen, der diese Fasern wiederum mit in die Wohnung der Frau geschleppt hat. Und nun hatte unser Mann, der tatsächlich noch nie in dieser Wohnung war, ein Problem: Ein paar seiner Fasern waren da.

Vor Gericht wird diese Spurenübertragungsmöglichkeit nicht gerne gehört, weil das ja viele behaupten könnten. In diesem Fall gab es also eine räumlich-zeitliche Ausdehnung der Spuren. Die Herausforderung ist folglich, diese verteilten Spuren zusammenzufassen. In der IT ist das so, als würde man alle Spuren erst mal auf einen Rechner ziehen. Die Tatorte sind bei uns also nicht unbedingt verteilt – die Spuren können es aber sein.

In der IT-Forensik gibt es feste Abläufe, die normalerweise aus vier Einzelschritten bestehen: die Identifizierung (genaue Dokumentation der vorgefundenen Situation), die Datensicherung (Sicherung der im vorherigen Schritt identifizierten Daten sowie Sicherstellung der Integrität der Daten und Aufrechterhalten der Beweiskette), die Analyse (erfolgt nach dem Erheben und Sichern der Daten) und die Präsentation bzw. Aufbereitung (Zusammentragen der gewonnenen Erkenntnisse). Wie läuft eine klassische forensische Ermittlung ab? Gibt es ein festes Gerüst, ein Schema?

Es kann schon mal sein, dass in der Spurensicherung Checklisten vorhanden sind – die werden aber normalerweise sowieso nicht eingehalten. Für mich als leicht aspergerischen Supernerd wäre es natürlich am schönsten, alle Spuren schematisch und immer gleich nacheinander abzuarbeiten. Dann fällt dir hinterher nicht plötzlich ein, dass du dir zum Beispiel die Zigarettenkippe oder die Fasern nicht angeguckt hast. Da es aber öfters um Steuergelder geht, sehen die anderen es natürlich nicht so, dass immer alles untersucht werden sollte.

Ich denke, der Unterschied zu euch ist, dass ihr ja tendenziell eher im freiberuflichen oder wirtschaftlichen Bereich seid. Wir sind eher dort angesiedelt, wo der Bürger sagt: Das ist staatliche Aufgabe. Aber gleichzeitig möchte er wenig beziehungsweise am liebsten gar keine Steuern zahlen. Also tut er alles dafür, sich ums Steuerzahlen zu drücken, und das wirkt sich eben auf die Untersuchungen aus. Schon von daher sind die Abläufe bei uns nicht so strukturiert. Zudem ist es eher ein dynamischer Prozess, in dem sehr viel runterfällt. Ich würde das mit einem Fließband vergleichen, von dem alles Mögliche runtersortiert wird und man hofft, dass am Ende genau das an untersuchten Spuren übrig bleibt, was man auch wirklich braucht.

Meine Meinung als öffentlich bestellter und vereidigter Sachverständiger ist, dass wir nicht den finanziellen Rahmen haben, auch nur ansatzweise so vorzugehen, wie das in der freien Wirtschaft der Fall ist. Wir sind daher unheimlich stark auf das Engagement und die Fachkenntnisse einzelner, total verkauzter SpezialistInnen angewiesen.

Stichwort Manipulation: Wie eingangs erwähnt, kann jeder, der fit in seinem „Job“ ist, seine Spuren verschleiern und falsche Fährten legen. Wie gut lassen sich Spuren an einem Tatort manipulieren? Der „genetische Fingerabdruck“ eines Menschen ist doch eine der eindeutigsten Spuren in der Kriminalistik, oder? Ist eine Verwechslung dennoch möglich?

Verwechslungen sind eigentlich nicht das Problem, sondern eher der Versuch, etwas kulturell und zeitlich-räumlich zu verschleiern. Es gab beispielsweise bei den Kollegen in Bayern einen Fall, bei dem ein Mann mehrere Lebensversicherungen auf seine Frau abgeschlossen hat. Die Frau wollte ein Kind haben und er nicht, schließlich wurde sie dennoch schwanger. Als ihr Mann gehört hat, dass sie schwanger ist, hat er vorgeschlagen, mit ihr nach Peru zu fahren, weil sie da schon immer hin wollte. Natürlich hat an dieser Stelle keiner die Alarmglocke schrillen gehört, da sein Verhalten als Freude über die Schwangerschaft seiner Frau interpretiert wurde. Und dann hat er sie in Peru erschossen und darauf spekuliert, dass die Informationen durch die räumlich-zeitlichen Probleme, die dadurch entstanden, dass er die Tat auf einem Inka-Pfad begangen hat, nicht rüberkommen. Und tatsächlich sind sie anfangs nicht durchgedrungen.

Das kenne ich: Wenn ich zum Beispiel in Spanien arbeite, kooperieren die Ermittler vor Ort überhaupt nicht, weil die keinen Bock haben, dass sich Deutsche in ihre Angelegenheiten einmischen. Wenn du also einen Deutschen in Spanien umbringst und die spanischen Ermittler an dem Fall dran sind, passiert in der Regel sehr wenig. Dadurch sind Vertuschungen möglich – aber im Vergleich zum IT-Bereich sind das brachiale und doofe Vertuschungen. Bei uns ist es nicht so, dass du deinen Datenverkehr „elegant“ bis zu einem gewissen Grad anonymisierst, sondern die meisten TäterInnen machen es rough und dirty und versuchen bloß, einen riesigen Schleier vor das Ganze zu ziehen.

Kurz zum Thema Vorratsdatenspeicherung, die sich im IT-Sektor ja nicht durchgesetzt hat. Gibt es bei euch Bestrebungen, biometrische und/oder genetische Daten in einer Datenbank zu speichern?

Kriminalisten sind sehr pragmatisch und haben hinsichtlich genetischer Fingerabdrücke eine ganz gute Lösung gefunden: Du hast eine riesige Datenbank mit genetischen Fingerabdrücken, beispielsweise von Leuten, die mehr als fünf Jahre Strafe bekommen haben, denn die Erfahrung zeigt, dass diese Personen oftmals erneut straffällig werden. Die reinen DNA-Daten werden aber getrennt vom Namen der Person aufbewahrt, so dass du, um eine dort erfasste Person zu identifizieren, auf einen anderen Rechner in einer anderen Abteilung zugreifen musst. Natürlich besteht die Gefahr, dass dieser Prozess durch Bestechung oder Betrug ausgehebelt wird – das ist dann aber eine Frage der Kontrolle, nicht des Systems.

Die Königin der Niederlande hat schon vor zehn Jahren ein schönes Gesetz unterschrieben, das es erlauben sollte, Augenfarbe, Haarfarbe usw. zu speichern, auch wenn man sie dazu aus genetischen Daten gewinnen müsste. Das war zu der Zeit zwar noch gar nicht möglich, sie hat es aber schon mal vorsorglich erlaubt. Es kam im Endeffekt aber nie zur Anwendung. Die KriminalistInnen hatten auch gar kein Interesse daran, denn was nützt uns beispielsweise die Augenfarbe, wenn die Person eine getönte Brille trägt und die Augenfarbe auch eh nicht zuverlässig erfasst wird? Es ist zwar ein nettes politisches Signal, dass man die kriminaltechnische Arbeit fördern möchte, tatsächlich bringt es uns aber wenig. Du kannst Zeugen, die beispielsweise Angaben zur Körperhöhe oder Augenfarbe machen, erwiesenermaßen sowieso nicht glauben. Kriminalpolizeilich besteht diese Tendenz zur Vorratsdatenliebe – außer bei Telefondaten – also interessanterweise überhaupt nicht.

Ein kurzes Beispiel, was in diese Richtung geht: Es gab einen Praxis-Test zur automatischen Gesichtserkennung, bei dem ich Zaungast war. Die Ermittler hatten am Leipziger Bahnhof Kameras aufgestellt, allerdings funktionierte das System mal sehr gut und dann wieder überhaupt nicht. Zuerst haben wir gedacht, das könnte ein Software-Problem sein. Aber das war es nicht, tatsächlich lag es am Licht: Das System funktionierte nur, wenn das Licht aus einer bestimmten Richtung kam – da sind die KollegInnen nur drauf gekommen, weil letztendlich jemand die Tageszeit analysiert und festgestellt hat, dass es eine Kopplung an Tageszeiten und Sonnenstände gibt. Ab diesem Moment hast du nichts mehr von Gesichtserkennung gehört, das ist jetzt lediglich eine Sache für Grenzschutz, Zoll, Schlapphüte usw. Die KriminalistInnen hingegen interessieren sich absolut nicht dafür, denn es nützt ihnen nichts.

Die Ablehnung der Telefondatenvorratsspeicherung hat die Kriminalisten hingehen zum Kochen gebracht. Sie suchen bereits ein neues Schlupfl och, um diese höchstrichterliche Entscheidung umgehen zu können. Die Fälle, die ich gesehen habe und die mit einer Verknüpfung von T Telefonmastdaten gelöst wurden, waren wirklich nur Fälle, bei denen es um das Schlimmste ging. Somit muss man dann abwägen: Möchte ich diese Mordfälle lieber nicht klären oder will ich sie mithilfe von Telefondaten aufdecken? Wir als Spurenkundler sind der Auffassung, dass es besser ist, einen Teil von zum Beispiel vorratsgespeicherten Standortdaten zu benutzen, weil sonst genau das Gegenteil von dem, was man möchte, passiert: Wenn es nämlich eine ganze Reihe von ungeklärten Delikten gibt, besonders gegen getötete Kinder, kommt erst recht der Rückschlag ins Konservative und die Leute fordern von sich aus viel mehr Überwachung, weil die Ermittler ja laut Presse scheinbar nicht mehr in der Lage sind, die ganzen Mordfälle und Sexualdelikte zu lösen. Man muss also diplomatisch vorgehen. Eine gute Sache wäre für mich eine extrem gut kontrollierte Standort- Handy-Datenüberwachung – wohlgemerkt eine massive und offene Kontrolle, kein geheimdienstliches Verhalten. Unterscheiden musst du jedoch zwischen Kriminalisten und – vor allen Dingen! – Schlapphüten, die mit allen möglichen Tricks versuchen, den Leuten Überwachungsmaßnahmen so zu verkaufen, dass sie sich auf einmal unheimlich gut anhören. Denn genau das wollen Kriminalisten nicht.

Abschließend würde ich gerne auf die Rechte der Betroffenen zu sprechen kommen. Einem Unternehmen, das einen schwerwiegenden Cyber-Vorfall erlitten hat, werden unter Umständen temporär sämtliche Server weggenommen – ein GAU für jedes Unternehmen. Wie ist die Rechtslage bei euch? Wie werden die Betroffenen behandelt?

Das hängt sehr von der Kompetenz des Teams ab. Dazu habe ich ein ganz gutes Beispiel aus einem meiner Fälle: Da ist die Familie R., Mutter, Vater und Tochter. Vater R. steht unten am Haus und sieht seine Katze oben am Fenster. Er geht nach oben, um nach ihr zu sehen – und findet seine Tochter. Totgeprügelt, mit einem Strick befestigt und an die Wand genagelt. Die Ermittler haben daraufhin das ganze Haus auseinandergenommen, die wichtigsten Sachen aber übersehen. Müllsäcke beispielsweise, wo wunderschöne Hautleistenabdrücke drauf wären, haben sie dagelassen und dafür andere Spuren eingesammelt. Wer auch immer dieses Team war, es waren absolut keine professionellen Spurensicherer. Stattdessen wurde der Fall sehr schnell ins klassisch Ermittlungstechnische gezogen. Das heißt, die KollegInnen versuchten, in der Nachbarschaft der Familie zu ermitteln, wer wen warum kannte usw., anstatt vorwiegend spurenkundlich vorzugehen. Schließlich haben Täter aus dem persönlichen Nahfeld stammen muss. Also wurden die Eltern und Geschwister intensiv befragt, wann sie wo waren und ob sie etwas damit zu tun hätten. Das hat schließlich dazu geführt, dass die Familie ihr Haus nicht mehr betreten konnte, weil es gesperrt, also sozial „weggenommen“ wurde. Sie hätten zwar irgendwann später wieder reingekonnt, doch das wollten sie nicht mehr. Und nicht nur deswegen, weil dort das Tötungsdelikt passiert ist, sondern auch, weil sie absolut unmöglich behandelt wurden und sich stark verdächtigt gefühlt haben.

Das ist ein Negativ-Fall, der für diese Menschen einen sozialen, finanziellen und familientechnischer Totalschaden bedeutete. Und bei euch gilt das dann dementsprechend für das Unternehmen.

Lieber Mark, herzlichen Dank für das Gespräch!

Mit herzlichem Dank an die Redaktion der IT-Sicherheit für die Freigabe und die Genehmigung zur Veröffentlichung.


[Hier gibt's das Interview als PDF]