Erfassung und Auswertung digitaler Spuren

Die Informationsverarbeitung zur letztendlichen Herstellung digitaler Beweise umfasst den Zyklus der Erfassung und Auswertung digitaler Spuren der Cyber-Kriminalität. Die digitalen Spuren der Begehung von Cyber-Kriminalität lassen sich grundsätzlich zum einem in den technischen Systemen der IKT und zum anderen häufig auch als Protokoll- und Inhaltsdaten finden, die in elektronischer Form gespeichert wurden. Als ein grundsätzlicher internationaler Standard hat sich das Electronic Discovery Reference Model (EDRM) herausgebildet.

Erfassung von digitalen Datenträgern

Analyst, Rechtsanwalt, Wirtschaftsstrafrecht, computergestützte Datenanalyse, Big Data, NUIX
RA und Analyst Dr. Uwe Ewald

Die Untersuchung der digitalen Systeme bedarf spezieller IT-forensischer Kenntnisse und Erfahrungen. Dazu gehört insbesondere die Auswertung von Hardware-Komponenten wie Personal Computer, Mobile Geräte, Speicher für digitale Medien oder andere Digitalgeräte wie GPS-Geräte oder Spielkonsolen, aber auch Computer-Netzwerke und Cloud-Speicher und die Sicherstellung und Erfassung (Triage) der auf diesen Geräten befindlichen Speichermedien wie Festplatten, flüchtige Speicher (RAM), Datenspiegelungen (Disk imaging), Netzwerkdaten.

Der forensischen Sicherung von Internet- und Cloud-Daten spielt dabei eine besondere Rolle. Daten auf Webseiten, in E-Mail-Accounts, auf sozialen-Netzwerk-Profilen wie Facebook, LinkedIn, Twitter…) oder in Cloud-Speichern wie Google Drive, One Drive, Dropbox, Web.de-Online-Speicher oder dem Amazo Web Service kommt eine besondere Bedeutung zu, da nur mit der fachgerechten Datensicherung gerichtsverwertbare digitale Beweise vorgelegt werden können.

Sicherung digitaler Daten

Zur digitalen Beweisführung können prinzipiell alle Sorten von digitalen Daten Relevanz erlangen. Ob Daten aus z.B. Dateisystemen, Betriebssystemen (Logdateien), Datei-Metadaten, Images, Audio, Video oder Malware-Daten oder massenhafte Inhaltsdaten wie E-Mails oder Memos und Texte – in Abhängigkeit von konkreten Fall der Cybercriminalität können diese Daten unmittelbare beweiserhebliche Bedeutung erhalten.

In den vergangenen Jahren ist eine ganze Industrie digitaler Forensik entstanden, die sich gerade mit dieser gerichtsfesten Sicherung potenzieller digitaler Beweise beschäftigt und inzwischen zuverlässige Anwendungen anbietet.

Verwahrkette – Chain of Custody

Der lückenlose Nachweis der Erfassung, Sicherung und Verarbeitung digitaler Informationen, die als digitale Beweise verwendet werden, und die Demonstration vorliegender Authentizität und Integrität der digitalen Daten bildet die entscheidende Voraussetzung dafür, dass digitale Beweise gerichtlichen Entscheidungen zu Grunde gelegt werden können.

Hier, in der detaillierten Überprüfung der Chain of Custody, liegt eine wesentlichen Aufgabe der Cyber-Strafverteidigung, die dazu allerdings einige Basis-Kenntnisse zu den auf dieser Seite beschriebenen Zusammenhängen besitzen muss.

Digitale Analyse

Die Auswertung der digitalen Inhaltsdaten stellt nun den eigentlichen Schritt der dann in der Beweisaufnahme zu testenden Beweisführung dar. Mit der Anklageschrift wird seitens der Staatsanwaltschaft eine (mehr oder weniger schlüssige und in sich geschlossene) Anklagetheorie formuliert, die insbesondere zum tatsächlichen Verlauf der vorgeworfenen strafbaren Handlung Teilbehauptungen enthält, z.B. derart, dass A sich mit B und C über einen Zeitraum x – y fortgesetzt an Korruptionshandlungen beteiligt hat. Das Auffinden von Informationen, die diesen beschriebenen und weiter zu operationalisierenden Handlungsablauf in den digitalen Daten stellt bei komplexeren Sachverhalten und dem Vorhandensein von Massendaten eine Herausforderungen an die digitale Analyse dar. Mit Ausdrucken oder PDF-Textdateien kann eine sinnvolle Analyse nicht durchgeführt werden. Stattdessen sind spezielle Software-Tools zur Identifizierung der inhaltlich relevanten digitalen Daten (eDiscovery) und zur speziellen Auswertung der Inhalte z.B. in einer sog. Musteranalyse, welche die Widerspiegelung der Interaktion verschiedener Akteure in den digitalen Daten nachweist.

Für die Anwendung dieser Auswertungssoftware bedarf es einer gewissen Schulung und Erfahrung, die auf Seiten der Cyber-Strafverteidiger zu erwerben ist, wenn eine zuverlässige, eigenständige Überprüfung und Auswertung der als Beweismittel vorgelegten digitalen Daten erfolgen soll. Andernfalls ist die Strafverteidigung vollständig auf die Berichte und Darstellungen der polizeilichen Ermittler bzw. Staatsanwälte angewiesen und zu deren bloßer Hinnahme verdammt.