Spurensuche zwischen Bits und Bytes

Ein Polizist blickt am Computer auf ein Schaubild zu Cyberkriminalität.
Kriminelle jeglicher Couleur machen sich das Internet zunutze - um diese digitalen Spuren für deren Überführung zu nutzen, sind Fachleute für digitale Forensik gefragt.
Foto: Martin Rehm

Digitale Forensik – Hintergrund

Spurensuche zwischen Bits und Bytes

Deutschlands Ermittlungsbehörden suchen händeringend Computerfachleute. Denn nicht nur Cyberkriminelle hinterlassen digitale Spuren, auch Steuerbetrüger, Sexualstraftäter oder Mörder können mithilfe von Informationstechnologie überführt werden – ein Fall für die Digitale Forensik.

Das Wichtigste zuerst: Digitale Forensiker sind keine IT-Kriminalisten. Die beiden Bereiche sind strikt voneinander getrennt“, betont Martin Rojak von der Bayerischen Polizei. IT-Kriminalisten sind sogenannte Polizeivollzugskräfte, also spezialisierte Ermittler, die zum Beispiel Hackerangriffe, illegale Aktivitäten im Darknet, Erpressungsversuche durch Trojaner, Betrug durch Phishing-Mails und so weiter aufdecken.
„Digitale Forensiker dagegen sind neutrale Sachverständige, keine Ermittler. Im Auftrag der Ermittler oder der Staatsanwaltschaft, stellen wir digitale Spuren sicher und erstellen wissenschaftlich-methodische Gutachten, die vor Gericht belastbar sind“, erklärt der Experte. (Mehr dazu liest du in der Berufsreportage „Mit digitalen Spuren Täter überführen“)

Digitale Spuren im Alltag

Was das konkret heißt, zeigt ein Fall aus Trier: Ein junger Mann hat nach Vergiftungssymptomen gegoogelt, während seine Freundin an einer Partydroge starb. Er rief nicht den Notarzt. Dieses Indiz, bestätigt durch ein Gutachten, belastete ihn stark. Das Urteil: sieben Jahre Haft wegen Totschlags. Es ist ein Beispiel von vielen, in denen die Arbeit von Digitalen Forensikern auf der Suche nach der Wahrheit weiterhilft.

Denn längst sind es nicht nur Fingerabdrücke und Blutspuren, die einen Täter überführen. Mit der Digitalisierung unseres Alltags gewinnen auch digitale Spuren an Bedeutung. Neben PCs und Handys sammeln auch die Elektronik eines Autos oder das komplett vernetzte Haus entscheidende Daten. Fachleute, die diese auslesen und als Hinweis entschlüsseln können, sind deshalb zunehmend gefragt.

Spezialisierung im Masterstudium

Ein Porträtbild von Katja Praegla

Katja Praegla

Foto: Hochschule Albstadt-Sigmaringen

Doch wie wird man IT-Forensiker? „Es handelt sich dabei um keinen geschützten Beruf“, erklärt Katja Praegla, Studienmanagerin an der Hochschule Albstadt-Sigmaringen. „Trotzdem müssen Digitale Forensiker über hochkomplexes Fachwissen an der Schnittstelle von Recht und Informationstechnik verfügen. Nur wenige Studiengänge in Deutschland vermitteln dieses Wissen. Unser berufsbegleitender Fernstudiengang ‚Master Digitale Forensik‘ ist einer davon.“ Die Hochschule Wismar bietet einen ähnlichen Master unter dem Titel „IT-Sicherheit und Forensik“ an, aber auch Masterstudiengänge wie „Security Management“ an der Technischen Hochschule Brandenburg vermitteln forensische IT-Kenntnisse. Die Kriminalpolizei bildet zudem ihre eigenen Fachleute intern aus, seit einigen Jahren auch in Zusammenarbeit mit Hochschulen.

Bei all diesen Studiengängen muss ein abgeschlossenes Bachelorstudium und mindestens ein Jahr Berufspraxis vorgewiesen werden. Viele der Studierenden arbeiten bereits bei der Polizei, bei Gericht oder kümmern sich in einem Unternehmen um die IT-Sicherheit. Für IT-Sicherheitsexperten gibt es auch die Möglichkeit, sich ohne Studium weiter zu qualifizieren. Die IHKs in Coburg und Augsburg etwa bieten Kurse mit IT-Forensik-Zertifikat an, genauso wie diverse internationale Institute. „In Abgrenzung zur IT-Security, die danach fragt: ‚Was könnte geschehen?‘, beschäftigt sich die Digitale Forensik aber mit der Frage: ‚Was ist geschehen?‘“, erklärt Katja Praegla.

Bachelorabschluss als Basis

Ein Porträtbild von Martin Rojak

Martin Rojak

Foto: Bayerische Polizei

Diese Frage stellen sich auch die Studierenden im Bachelorstudiengang „Allgemeine und Digitale Forensik“ an der Hochschule Mittweida – der einzige grundständige Vollzeitstudiengang, der in Deutschland direkt in den Tätigkeitsbereich führt. (Mehr dazu erfährst du in der Studienreportage „CSI Mittweida: Den Tätern auf der Spur“.) Berufsbegleitend ist dagegen der Bachelorstudiengang „IT-Forensik/Cybercrime“ in Mittweida und „IT-Forensik“ in Wismar. Auch Studiengänge wie „Informatik/IT-Sicherheit“ an der Uni Erlangen-Nürnberg enthalten forensische Module. Allerdings gilt zu berücksichtigen: Wer sich schon im Bachelor auf Digitale Forensik spezialisiert, hat später möglicherweise nicht die Bandbreite an Einsatzmöglichkeiten, im Vergleich zu einem Studium der Angewandten Informatik.

Wer einen Bachelor in Informatik, Nachrichtentechnik, Elektrotechnik, Wirtschaftsinformatik, Verwaltungsinformatik, Mathematik oder Physik in der Tasche hat, kann sich im Vollzeitmaster „Cybercrime/Cybersecurity in Mittweida noch spezialisieren – oder sich gleich bei der Polizei als Digitaler Forensiker bewerben. „Letztendlich sind wir ja Kriminaltechniker. Ein technischer Hintergrund ist deshalb ideal. Für die juristischen und kriminalistischen Fragestellungen gibt es interne Fortbildungsmaßnahmen“, sagt Martin Rojak von der Bayerischen Polizei. „Man darf nicht zart besaitet sein, denn man bekommt viele schreckliche Sachen zu sehen. Man sollte motiviert sein, etwas für die Allgemeinheit zu tun und sollte sich in andere Leute hineinversetzen können“, gibt er als notwendige Eigenschaften an.

Einsatzgebiete auch in der Wirtschaft

„Analytisches, kreatives Denken, Neugierde und Durchhaltevermögen sind auch wichtig“, ergänzt Katja Praegle und betont, dass Strafverfolgungsbehörden nicht die einzigen potenziellen Arbeitgeber seien: „Unsere Absolventen kommen auch bei IT-Sicherheitsunternehmen unter, arbeiten bei der Bundeswehr, bei den Ermittlungsbehörden als selbständige Gutachter oder in der Industrie.“ Martin Rojak betont: „Große Unternehmen haben eigene Compliance-Abteilungen, die bei internen Ermittlungen aktiv werden. Sie untersuchen, ob sich Mitarbeiter an Gesetze oder auch interne Richtlinien halten. Nicht immer werden dazu die Behörden eingeschaltet.“ Beide Experten sind sich sicher, dass der Bedarf an Fachpersonal im Bereich Digitale Forensik noch steigen wird.

Weitere Informationen

BERUFENET

Das Netzwerk für Berufe der Bundesagentur für Arbeit mit über 3.000 aktuellen Berufsbeschreibungen in Text und Bild.

www.berufenet.arbeitsagentur.de

studienwahl.de

Infoportal der Stiftung für Hochschulzulassung und der Bundesagentur für Arbeit. Hier kannst du im „finder“ nach Studiengängen in ganz Deutschland suchen.

www.studienwahl.de

Studiengänge:

- Hochschule Mittweida (Vollzeitbachelor, berufsbegleitender Bachelor, Vollzeitmaster) www.forensik-studieren.de

- Hochschule Albstadt-Sigmaringen (berufsbegleitender Master) www.master-digitale-forensik.de

- Hochschule Wismar (Berufsbegleitender Bachelor und Master) www.wings.hs-wismar.de/de/fernstudium_bachelor/it_forensik und www.wings.hs-wismar.de/de/fernstudium_master/it_sicherheit_und_forensik

- Technische Hochschule Brandenburg (Master)
www.security-management.de

- Friedrich-Alexander Universität Erlangen-Nürnberg (berufsbegleitender Bachelor) www.itsec.techfak.fau.de

Recruiting-Kampagne der Bayerischen Polizei

www.mit-sicherheit-anders.de/IT

Karriere beim Bundeskriminalamt

www.bka.de/DE/KarriereBeruf/karriere_und_beruf_node.html

Bundesamt für Sicherheit in der Informationstechnik

www.bsi.bund.de

 

Sachverständige für forensische Informations- und Kommunikationstechnik

Mit digitalen Spuren Täter überführen

Nach dem Informatik-Studium wollte Claudia Pragst* (33) mehr als nur programmieren. Deshalb ging sie zur Polizei. Heute ist sie Sachverständige für forensische Informations- und Kommunikationstechnik beim Bundeskriminalamt (BKA) in Wiesbaden.

Einen Betrüger, einen Mörder oder einen Kinderpornografie-Ring dingfest zu machen, finde ich viel erfüllender, als eine Software zu optimieren“, sagt Claudia Pragst. Die Sachverständige für forensische Informations- und Kommunikationstechnik wird bei Cyberkriminalität zu Rate gezogen und auch, wenn digitale Geräte Hinweise auf einen Tathergang geben könnten. „Dann ist es mein Auftrag, be- oder entlastende Spuren zu finden.“

Die BKA-Beamtin sitzt dafür nicht nur am Rechner, sondern ist auch vor Ort und unterstützt die Ermittler bei der Beschlagnahme und Sicherstellung von digitalen Geräten. „Heutzutage gibt es ja nicht nur PCs. Digitale Spuren finden sich auch auf Handys, Servern und jedem anderen internetfähigen Elektrogerät. Fotos, Nachrichten, besuchte Webseiten, Online-Bestellungen – all das kann für die Ermittlung wichtig sein.“

Ermittlung als Puzzleteilsuche

Der erste Arbeitsschritt ist für sie pure Routine: „In den meisten Fällen wird uns eine Festplatte, ein USB-Stick oder ein Handy übergeben. Zunächst installiere ich einen Schreibblocker, damit meine Arbeit den Datenträger nicht verändert. Dann erstelle ich ein Image, also eine exakte Kopie des Datenträgers. Darin begebe ich mich auf Spurensuche“, berichtet die 33-Jährige. Hilfsmittel ist eine forensische Software, die jedes einzelne Bit ausliest und verdächtige Daten anhand von vorher definierten Kriterien herausfiltert. Die Interpretation der gefundenen Daten überlässt Claudia Pragst dem Ermittlerteam.

Wird auf diesem Weg nichts gefunden, muss sie kreativ werden. „Nicht immer ist klar, was gesucht wird. Deshalb sitzen wir mit den Ermittlern zusammen und überlegen gemeinsam, welche Informationen notwendig sind, um die Lücken im Tatpuzzle zu schließen. Meine Aufgabe ist es, mir zu überlegen, wie wir technisch an die entsprechenden Daten rankommen können – natürlich immer auf legalem Weg“, betont sie. „Denn sich einfach irgendwo einzuhacken, geht nicht. Das wird in Filmen und Serien oft sehr überzeichnet.“

Einen kühlen Kopf bewahren

Daten entschlüsseln, Gelöschtes wiederherstellen, Programmcodes nachvollziehen – bei jeder Ermittlung sind mindestens zwei digitale Forensiker beteiligt, denn nicht jeder kann für jedes Betriebssystem Spezialist sein. „Mein Spezialgebiet sind Server“, erklärt die BKA-Beamtin.
Bei ihrer Arbeit bekommt Claudia Pragst auch Schlimmes zu sehen. „Auf Fotos von missbrauchten Kindern könnte ich gut und gerne verzichten“, sagt sie. „Aber die gute Sache wiegt das auf, weil ich helfen kann, die Kriminellen hinter solchen Fotos hinter Schloss und Riegel zu bringen.“ Auch ist sie immer darauf gefasst, bei einem brenzligen Fall, zum Beispiel bei einem Anschlag, unter Zeitdruck zu arbeiten und trotzdem einen kühlen Kopf zu bewahren. „Man weiß nie, was einen erwartet“, merkt die digitale Forensikerin an. Dazu gehört auch, dass sie für das BKA bundesweit unterwegs ist.

Gutachten als letzter Schritt

Die 33-Jährige bereut es nicht, dass sie nach ihrem Studium der Technischen Informatik zur Baden-Württembergischen Polizei gegangen ist. Dort hat sie noch ein zweites, duales Studium zur Kriminalkommissarin absolviert und sich im Anschluss auf IT-Forensik spezialisiert. „Um Sachverständige zu werden, muss man eine interne Ausbildung durchlaufen. Dank meines Studiums habe ich aber lediglich einige Module belegen müssen“, erinnert sie sich. Dabei hat sie beispielsweise gelernt, dass die digitale Spurensuche akribisch genau dokumentiert werden muss: „Meine Ergebnisse müssen nachvollziehbar sein, auch für mich selbst. Deshalb schreibe ich als Letztes immer ein Gutachten. Es kann zum Beispiel sein, dass ich nach zwei Jahren vor Gericht aussagen muss und dann ist es wichtig, jedes Detail schnell parat zu haben.“

Claudia Pragst arbeitet erst seit Kurzem beim BKA. Als Beamtin hat sie einen Job auf Lebenszeit. Doch mit der Digitalisierung der Gesellschaft verändert sich ihr Berufsbild laufend. „Ich muss immer bereit sein, Neues aufzunehmen“, sagt sie. Eine mögliche Führungskarriere beim BKA kommt für sie nicht infrage. „Die IT, das ist meine Leidenschaft. Vom Konfirmationsgeld habe ich mir zum Entsetzen meiner Oma meinen ersten Computer gekauft. Dabei hätte es die Aussteuer werden sollen“, lacht sie – bezahlt gemacht hat sich diese Investition auf jeden Fall.

* Name von der Redaktion geändert.

 

Allgemeine und Digitale Forensik

CSI Mittweida: Den Tätern auf der Spur

Beweis- und Spurensicherung an einem Tatort: Die Anwesenden tauschen sorgenvolle Blicke und erste Theorien aus – die Jagd nach dem Täter beginnt. Was weltweit als spannende Unterhaltung auf den Fernsehbildschirmen flimmert, ist für Johannes Kopp* Alltag. Der 26-Jährige studiert „Allgemeine und Digitale Forensik“ an der Hochschule Mittweida. Ein Bachelorstudiengang mit viel Praxisbezug.

Johannes Kopp berät sich mit seiner Seminargruppe: Haben sie alle Fingerabdrücke gesichert, alle Blutspuren entdeckt? Wie lange liegt die Leiche schon dort und wie alt war das Opfer wohl? All diese Fragen kann er am Ende seines sechssemestrigen Studiums ohne Probleme beantworten. Seine Dozenten haben einen Tatort präpariert und Spuren verteilt, an denen sich die angehenden Forensiker ausprobieren können. Wie ein professionelles Ermittlerteam teilen sich die Studierenden die Aufgaben auf. „Blutspurenanalyse, Madenwachstum zur Bestimmung der Leichenliegezeit, Auswertung von Fingerabdrücken – das haben wir im Bachelorstudiengang ganz praxisorientiert gelernt“, erklärt der 26-Jährige.

Den Studiengang „Allgemeine und Digitale Forensik“ gibt es erst seit 2014. Seitdem wird am Modulplan gefeilt. Physik ist beispielweise wieder vom Lehrplan verschwunden, weiterhin dabei sind Inhalte wie Straf- und Strafprozessrecht, Genetik, IT-Sicherheit, Bildverarbeitung, Verschlüsselungstechnik und Tatortarbeit. „Nach den ersten drei Semestern mit den forensischen Grundlagen geht’s eigentlich nur noch um die digitale Spurensuche. Das hat einige ziemlich enttäuscht, mich gar nicht. Ich bin eher ein Nerd und interessiere mich für alles rund um Computer“, sagt der Student. Algorithmen, Datenstrukturen, Virtualisierung, Semantik und Data Mining – klingt trocken, ist es aber nicht: „In jedem Modul gibt es Praxisübungen. Wir bekamen zum Beispiel Festplatten, die wir auswerten mussten oder einen Server, den wir auf Schwachstellen untersuchen sollten. Den haben wir gehackt“, berichtet er. „Auch war mir nicht bewusst, was man mit Daten alles machen kann. Bei der Carforensik zum Beispiel kann man die Bewegungsprofile von Autos auslesen.“

Nicht nur für Techniknerds

Eben diese Techniken der digitalen Forensik faszinieren Johannes Kopp am meisten. Das war nicht immer so: „Den Studiengang habe ich eher aus dem Bauch heraus gewählt. Ich bin Fan der US-amerikanischen Serie ‚Dexter‘, deren Protagonist ja auch ein Forensiker ist und zum Beispiel anhand von Blutspritzern auf den Tathergang schließt. Deshalb habe ich gegoogelt, wie man Forensiker werden kann, habe den Studiengang entdeckt und mich spontan entschieden, dass dieser viel besser zu mir passt als Elektrotechnik“, erinnert er sich. Zu diesem Zeitpunkt hatte er nämlich bereits eine Ausbildung zum Elektrotechniker sicher und absolvierte ein Freiwilliges Soziales Jahr zur weiteren Orientierung.

Als er sich vor drei Jahren für den Studiengang einschrieb, gab es noch keine Zulassungsbeschränkung. Mittlerweile müssen Bewerber ein Eignungsverfahren durchlaufen, das einen zu lösenden Fall beinhaltet. „Wenn man sich da reinhängt, kann man das schaffen. Man muss für das Studium kein Techniknerd sein“, erzählt er.

Viel Praxis im Studium

Das sechste und letzte Semester teilt sich auf in Praktikum und Bachelorarbeit. Die meisten gehen dafür zur Polizei, aber auch Unternehmen bieten Plätze an, etwa im Bereich IT-Sicherheit an. „In meinen Praktikum bei einem Prüfinstitut habe ich mich mit der 3D-Rekonstruktion beschäftigt. Damit lassen sich zum Beispiel Unfallhergänge nachvollziehen“, erzählt Johannes Kopp über sein letztes Semester.

Später möchte der 26-Jährige Gutachter werden und strebt deshalb den Master „Cybercrime und Cybersecurity“ an. Der Studiengang schließt in Mittweida direkt an den Bachelor an. „Ich finde es toll, später einmal das Gesetz zu vertreten und zu helfen, Kriminelle hinter Gitter zu bringen“, fasst er seine Motivation zusammen.

*Name von der Redaktion geändert.


Diese Beiträge im abi-Portal könnten dich auch interessieren:

  • Der Sicherheitsmann

  • Universelle und vielseitige Ausbildung

  • Mit digitalen Spuren Täter überführen

  • Baupläne in 3-D

Logo Bundesagentur für Arbeit
Stand: 18.01.2018