Mission: Cybercrime

Klassische Forensik kennen die meisten aus Fernsehkrimis. FAU-Professor Felix-Freiling ist Experte für IT-Forensik und hilft, Straftätern in der digitalen Welt das Handwerk zu legen.

Im Internet ist längst alles möglich, was wir aus der analogen Welt kennen. Auch Straftaten. Illegalen Waffenhandel findet man dort ebenso wie Diebstahl, Spionage, Erpressung oder Kinderpornografie. Wie man solchen Tätern in der digitalen Welt auf die Spur kommt, damit beschäftigt sich FAU-Professor Felix Freiling.

Einer seiner Schwerpunkte ist die IT-Forensik. Statt blutiger Messer analysiert Felix Freiling Daten. Die sind heutzutage Bestandteil fast jeder staatsanwaltlichen Ermittlung und stammen von Festplatten, Handys, Smartwatches. „Unsere Aufgabe ist es, Methoden zu finden, um Taten gerichtsfest zu dokumentieren“, erklärt Freiling.

Gerichtsfest. Gerade darin liegt die Herausforderung. „Wir in der Informatik müssen zunächst erst einmal verstehen, was die Jurist/-innen von uns brauchen.“ Zum Beispiel wenn es darum geht, den Besitz von Kinderpornografie zu untersuchen.

„Die Existenz von Dateien nachzuweisen ist relativ einfach – das wäre der objektive Tatbestand. Aber der allein sagt juristisch erst mal nicht viel aus. Der Angeklagte muss nachweislich davon wissen, dass die Bilder auf seinem Datenträger sind: der subjektive Tatbestand. Die Staatsanwaltschaft fragt uns dann: Gibt es Hinweise, wie die Bilder auf den Datenträger gekommen sind? Oder dass die Bilder vom Nutzer aufgerufen, umbenannt oder in sonstiger Weise genutzt wurden?“ Zeitstempel sind da zum Beispiel ein guter Hinweis. An jeder Datei hängen mindestens drei oder vier davon und geben Auskunft über Entstehungszeitpunkt oder Bearbeitungen.

Hilfe bei echter Polizeiarbeit

Manchmal unterstützen die FAU-IT-Forensiker/-innen auch bei besonders kniffligen Fällen, bei denen die Expert/-innen der Behörden mit herkömmlichen Methoden nicht mehr weiterkommen. In einem Fall, so erinnert sich Freiling, wurden auf einem Rechner belastende Vorschaubilder gefunden, allerdings nicht die eigentlichen Bilddateien. Die Frage war: Entstehen diese Vorschaubilder nur dann, wenn man die Bilder im Bildbetrachter öffnet? Gibt es also einen subjektiven Tatbestand? „In solchen Fällen stellen wir das Setting experimentell nach, ähnlich wie beim Lokaltermin in der klassischen Polizeiarbeit. Wir setzen einen Rechner mit gleichen Parametern auf und probieren aus.“

In der Regel geht es IT-Forensiker/-innen wie Freiling und seinen Kolleg/-innen jedoch darum, Methoden und Werkzeuge zu entwickeln, um Fragen, die die Gerichte haben, zu beantworten – zum Beispiel im DFG-Graduiertenkolleg „Cyberkriminalität und Forensische Informatik“, dessen Sprecher Professor Freiling ist. „Wir setzen dabei unser Verständnis für die Computersysteme ein, dafür wie Hardware und Software funktioniert und wie die Werkzeuge gestrickt sind, mit denen man arbeitet.“

„Viele Studierende kommen zu uns, weil sie explizit IT-Forensik machen wollen – auf universitärem Niveau gibt es die in Deutschland nur in Erlangen.“

Prof. Dr. Felix Freiling

Trotz strenger Datenschutzgesetze und auch ohne Vorratsdatenspeicherung: Der Erlanger IT-Experte ist sich sicher, dass die Strafverfolgung in Deutschland prinzipiell sehr effektiv ist. „Die Behörden dürfen sehr viel. Man könnte es ihnen natürlich noch leichter machen, doch dann ist die Gefahr des Missbrauchs groß.“ Wichtiger sei es, die bestehenden Befugnisse voll auszuschöpfen und dafür gutes Personal auszubilden.

Darin sieht Freiling seine Verantwortung. „Viele unserer Studierenden sind hoch motiviert und kommen zu uns, weil sie explizit IT-Forensik machen wollen – auf universitärem Niveau gibt es die in Deutschland nur in Erlangen“, erklärt er.

Strafverfahren nachgestellt

Ein Markenzeichen der IT-Forensik-Ausbildung an der FAU ist die enge Zusammenarbeit mit den Rechtswissenschaften. „Dort exerzieren meine Kolleg/-innen mit ihren Studierenden ein Semester lang einen komplettes Strafverfahren durch: von der Verdachtsgenerierung über die Ermittlungen bis zum Prozess, der unter realistischen Bedingungen im Erlanger Amtsgericht stattfindet. Unsere IT-Studierenden begleiten den Prozess und treten dort als Gutachter auf“, berichtet Freiling – zum Beispiel im fiktiven Fall eines Fernsehkochs, dem Steuerhinterziehung vorgeworfen wurde. Die enge Zusammenarbeit mit den angehenden Jurist/-innen schaffe das wechselseitige Verständnis füreinander und dafür, was die eine Seite braucht und was die andere Seite liefern kann.

Etwas kriminelle Energie kann aber auch den angehenden IT-Expertin/-innen nicht schaden. Da ist sich Felix Freiling sicher: „Nur wer gut angreifen kann, kann gut verteidigen.“ Ein Hacker-Praktikum ist mittlerweile fester Bestandteil des Studiums. „Vor zehn Jahren galt das in der Scientific Community noch als anrüchig.“ Auch Studienarbeiten zu Angriffstechniken gehören inzwischen dazu. Freilich sind diese Übungen kein Selbstzweck, sondern dienen als Anlass, um über rechtliche und ethische Rahmenbedingungen zu diskutieren. Der fiktive Fernsehkoch konnte übrigens überführt und verurteilt werden – nicht zuletzt dank Felix Freilings Studierender.

Fiktiver Einsatz, echtes Adrenalin

Eine Tür wird krachend aufgerissen, jemand ruft „Polizei!“. Vier Gestalten an Rechner blicken kurz auf und tippen dann hektisch weiter. Die Eindringlinge versuchen, sie von ihren Computern wegzuziehen. Stimmengewirr. Handgemenge…

Normalerweise werden IT-Forensiker/-innen, wie sie Felix Freiling ausbildet, erst im Labor tätig. Die Polizei sammelt verdächtige Geräte und Datenträger ein und bringt sie dorthin. Doch: „Die richtig harten Jungs verschlüsseln ihre Daten“, erklärt Freiling. „Da kommt man nicht ran, wenn man das Passwort nicht kennt. Deswegen müssen IT-Ermittler/-innen in kritischen Situationen, gerade wenn man es mit professionellen Cybercrime zu tun hat, überraschend reingehen und die Rechner im laufenden Zustand antreffen.“

Genau dieses schwierige Szenario üben IT-Studierende bei dieser Einsatzsimulation, die Freilings ehemalige Doktorandin Janine Schneider ins Leben gerufen hat. Zwar übernehmen Schauspieler/-innen die Rollen von Polizei und Kriminellen. Das Adrenalin ist echt. Die Frage ist: Was tue ich zuerst? „Ein falscher Knopfdruck, dann stürzt das Ding ab und alle Beweise sind weg.“ (Bilder: FAU/Boris Mijat)

Autorin: Sandra Kurze

Dieser Artikel ist Teil des FAU Magazins

Innovation, Vielfalt und Leidenschaft – so lauten die drei Grundwerte unserer FAU, so sind sie in unserem Leitbild festgehalten. An der FAU leben wir diese Grundwerte jeden Tag
und in allem, was wir tun – in der Forschung, in der Lehre und wenn es darum geht, Wissen, das an der Universität entsteht, in die Gesellschaft hineinzutragen.

Die zweite Ausgabe unseres FAU Magazins macht dies einmal mehr sichtbar: Es zeigt Forschende, die immer wieder die Grenzen des bislang Machbaren überschreiten. Es stellt Studierende vor, die gemeinsam Höchstleistung für ihre FAU erbringen, erzählt von Lehrenden, die mit Freude und Kreativität ihr Wissen weitergeben. Und es berichtet von Mitarbeiterinnen und Mitarbeitern, die sich mit Weitblick und einem Gespür fürs Wesentliche der (Forschungs-)Infrastruktur an der FAU widmen  sowie von Menschen in Schlüsselpositionen, die für ihre Universität da sind und sich für den Forschungsstandort stark machen.