Regierungen, Hochschulen und Hightech-Unternehmen sind sich darüber im Klaren, dass mit zunehmender Internet-Kriminalität auch der Bedarf an Computer- und Internet-Ermittlungen steigt. Mit speziellen Werkzeugen durchleuchten diese Ermittler Netzwerkverbindungen und analysieren Dateisysteme, um festzustellen, was an welchem Datensatz von welchem Anwender verändert wurde. Darüber hinaus stellen sie fest, was Viren anrichten und wie diese und andere Eindringlinge vorgehen. Zu diesem Zweck vergleichen Sie beispielsweise digitale Informationen mit ihrem Ursprung.
“Wenn Computersysteme missbraucht werden oder etwas schief läuft, müssen wir herausfinden, was passiert ist und – falls möglich – warum es passiert ist und wer dafür verantwortlich ist”, erklärt Eugene Spafford, Professor an der Purdue University. Laut Rich Mogull, Forschungsdirektor für Informationssicherheit bei Gartner, wird das Interesse an der Computer-Forensik auf jeden Fall weltweit steigen. “Computer-Forensik hat bereits bei der Aufklärung einiger Verbrechen eine wesentliche Rolle gespielt. Auch bei Unternehmen gewinnt die Computer-Forensik immer mehr an Bedeutung – in Gerichtsverfahren und bei Regierungsuntersuchungen, wie etwa bei Enron.” Mogulls Kollege Jay Heiser, Analyst bei Gartner, verweist darauf, dass die Computer-Forensik mit den Fällen ‚Wonderland’ und ‚Blue Orchid’ durchaus Erfolge vorweisen kann.
Sieben britische Mitglieder von “Wonderland”, einem weltweit agierenden Ring für Kinderpornographie, und mehr als 100 Verdächtige wurden bei Razzien auf insgesamt drei Kontinenten während einer Polizeiaktion festgenommen und “ausgefiltert”. In den Fall “Blue Orchid” waren Schätzungen der Polizei zufolge weltweit etwa 100.000 Websites verwickelt. US-Zollbeamte hatten der Moskauer Polizei nach langwierigen digitalen Ermittlungen geholfen, den über das Internet agierenden Ring von Kinderschändern zu zerschlagen. Hierfür gaben sich die Zollbeamten als Kunden aus, um die Spur zu dem Pornoring aufzunehmen.
Bisher wurde die Computer-Forensik als Teilbereich der Strafverfolgung verstanden. Beispielsweise zielten die wissenschaftliche Forschung und die kommerzielle Entwicklung von Hilfsmitteln und Werkzeugen auf diesem Gebiet hauptsächlich darauf ab, die Polizeibeamten bei der Spurensuche und Beweissicherung (Ex-post-facto-Analyse) zu unterstützen, um damit die anerkannten, minimalen Beweisvoraussetzungen zu erfüllen.
Disziplin in den Kinderschuhen
Die Computer-Forensik als eigene Wissenschaft hingegen steckt noch in den Kinderschuhen. Neue Techniken und Verfahren werden entwickelt, um Experten auf dem Gebiet der Informationssicherheit zu unterstützen und mit besseren Werkzeugen auszustatten. Diese dienen dazu, elektronische Beweise aufzuspüren und Daten zur Strafverfolgung Internet-Krimineller zu sammeln, zu speichern und zu dokumentieren. Denn: Die Evolution der Informationstechnologie geht munter weiter, die Infrastruktur von Unternehmen hängt in steigendem Maße vom Internet ab. Diese Entwicklung ist Kriminellen aller Art natürlich keineswegs entgangen, ganz im Gegenteil, weltweit steigt die Anzahl illegaler Aktivitäten im Netz.
Polizei und Staatsanwaltschaft sind daher zunehmend von digitalen Beweisen abhängig, da Festplatten, Internet-Dateien und E-Mails als Beweismittel eine immer bedeutendere Rolle in Gerichtsverhandlungen spielen. So wurden beispielsweise bei der Durchsuchung der Neverland Ranch von Michael Jackson in Kalifornien unter anderem auch Computer beschlagnahmt. Als Folge dieser Entwicklung bieten eine ganze Reihe privatwirtschaftlicher Unternehmen Software und Services im Bereich der Computer-Forensik an.
Angebote aus der Privatwirtschaft…
Zum Beispiel das Produkt EnCase von Guidance Software. Diese Anwendung hat unlängst die Behörden im US-Bundesstaat Missouri dabei unterstützt, ein gestohlenes Baby wieder zu finden und den Täter zu verhaften. Die Software ist auf Ermittler in Fällen von Computer-Kriminalität zugeschnitten. Sie dient dazu, veränderliche und unveränderliche Daten auf verdächtigen Servern oder Workstations im Datennetz rasch nach Hinweisen zu untersuchen. Nach Angaben von Guidance Software müssen Unternehmen ohne die EnCase Enterprise Edition auf schwerfällige und unzulängliche manuelle Verfahren zurückgreifen, die Ermittlungen um Tage oder Wochen verzögern. In diesem Zusammenhang betont Guidance Software gerne, dass die Terrordrohungen gegen die USA vom Juli 2004 und die Ermittlungen gegen Martha Stewart zu den bekanntesten Fällen in den USA zählen, bei denen elektronische Beweise in Computern gefunden wurden.
Martha Stewart gründete das Medienimperium Martha Stewart Living Omnimedia, das unter anderem Lifestyle-Zeitschriften vertreibt und Fernsehsendungen über Haushaltsführung produziert. Traurige Berühmtheit erreichte Stewart nach einer Ermittlung der US-Börsenaufsicht SEC wegen Insiderhandels. Stewart hatte Aktien des Pharmaunternehmens ImClone Systems verkauft. Kurz darauf lehnte die US Food and Drug Administration einen Antrag des Unternehmens auf Zulassung eines Medikaments gegen Dickdarmkrebs ab. Mit Hilfe der Software konnten angeblich Telefongespräche rekonstruiert werden, die auf dem Computer von Stewarts Assistenten gespeichert waren. Offenbar handelte es sich hierbei um gelöschte Nachrichten vom Zeitpunkt des Aktienverkaufs.
Cyber Forensic, Anbieter von Experten-Services für forensische Ermittlungen, arbeitet bereits seit den 80er Jahren für Polizeibehörden. Cyber Forensic versteht sich in zweierlei Hinsicht als Experte: Zum einen dafür, Beweise auf einem Rechner aufzuspüren, zum anderen alle “Datenspuren” auf einem Computer sorgfältig zu verwischen. Das Unternehmen hat in Fällen von Mord, Betrug, Erpressung, Internetpornographie und Diebstahl geistigen Eigentums ermittelt. Cyber Forensic sucht nach Beweisen für oder gegen ein Alibi, für oder gegen ein Motiv und wurde einmal sogar damit beauftragt, die Authentizität eines angeblichen Abschiedsbriefs zu überprüfen. Das Unternehmen hat weltweit über 1.000 Ermittler in den grundlegenden forensischen Prinzipien geschult – das Sammeln, Analysieren und Präsentieren von Beweisen vor Gericht.
…und Forschung an Hochschulen
Im Bereich der Hochschulen hat das Center for Education and Research in Information Assurance and Security (CERIAS) an der Purdue University kürzlich eine Studie zum Stand der Computer-Forensik als Wissenschaft veröffentlicht. Der Studie ist zu entnehmen, dass investigative forensische Verfahren derzeit immer noch reichlich informell gehandhabt werden. Auf Dauer – so die Studie weiter – könnte das die Effektivität und die Glaubwürdigkeit der Ermittlungen beeinträchtigen.
Dazu Kate Seigfried, die Verfasserin der Studie: “Strafverfolgung und Privatwirtschaft haben erkannt, dass es keinen standardisierten oder zumindest auf Konsens beruhendem Ansatz zur Ausbildung von Forensik-Experten gibt.” Seigfried liegt weniger an einem Konsens, um den erkannten Anforderungen und Bedürfnisse gerecht zu werden. Vielmehr “müssen Rahmenbedingungen geschaffen werden, die den Vorgaben aus Privatwirtschaft, öffentlicher Hand, Strafverfolgung und auch der Forschungsgemeinschaft Rechnung tragen”, fordert sie. Laut der neuesten Umfrage des CSI/FBI “Computer Crime and Security Survey” belaufen sich beispielsweise die Kosten für Sicherheit von US-Unternehmen im Jahr 2003 auf satte 200 Millionen US-Dollar.
Auch Eugene Spafford, Professor an der Purdue University, betrachtet den Ad-hoc-Charakter der heutigen Computer-Forensik mit Sorge. “Wir müssen einen wissenschaftlich strengeren Ansatz entwickeln, damit wir den Ergebnissen unbedingt vertrauen können”, erklärt er. “Wir sind leider noch nicht dazu in der Lage, einen Verbrecher strafrechtlich zu verfolgen, weil unsere Analysen nicht eindeutig sind. Noch größer ist die Tragödie, wenn wir fälschlicherweise einen Unschuldigen eines Verbrechens beschuldigen, weil wir nicht genug Daten gesammelt und die Beweise nicht eindeutig analysiert haben.”
Formalisierte Beweissicherung
Um diesem Missstand Abhilfe zu schaffen, müssen nach Spaffords Ansicht zwei Kernfragen beantwortet werden:
- Wie lassen sich Beweissicherung und Analyse in der Computer-Forensik mit geeigneten und strengen wissenschaftlichen Methoden formalisieren
- Wie lassen sich die Informationssysteme dahingehend verbessern, dass “Audit Trails” vor Gericht eindeutig als Beweise verwertbar sind und nicht weiter begründet werden müssen.
Seigfried geht angesichts dieser Kernfragen noch etwas weiter. Ihrer Meinung nach steht die Computer-Forensik an einem Scheideweg: “Dass wir noch keine professionelle Zertifizierung, keine investigativen Standards und keine Kontrollmechanismen innerhalb der wissenschaftlichen Gemeinde etabliert haben, könnte im schlimmsten Fall dazu führen, dass die Computer-Forensik zu einer Pseudowissenschaft degeneriert und sich nicht als anerkannte wissenschaftliche Disziplin etabliert”.
Doch abseits solcher Überlegungen haben viele Regierungen dieser Welt Cyber-Forensik als wichtig erkannt. Die US-Regierung beispielsweise hat aus diesem Grund die National Cyber-Forensics & Training Alliance (NCFTA) ins Leben gerufen, eine Allianz der öffentlichen Hand und der Privatunternehmen, die Fachleute auf diesem Gebiet schulen soll. Die NCFTA – bestehend aus Vertretern von FBI, des National White Collar Crime Center, der Carnegie Mellon University, Microsoft, Cisco Systems, KPMG, RAND, Lucent Technologies, Mellon Financial, IBM, AT&T, Seagate und anderen Organisationen – verfügt derzeit aber noch nicht über ausreichende finanzielle Mittel. Das soll sich jedoch nach dem Willen der NCFTA rasch ändern.
