Digitale Spuren

Experten des AB 06 IT-Beweismittelsicherung knacken Verschlüsselungen und stellen gelöschte Daten wieder her.

Täter hinterlassen Spuren, auch in der digitalen Welt. Kaum eine Straftat kommt ohne die Nutzung von Informations- und Kommunikationstechnologie aus: Kriminelle verabreden sich über Messengerdienste, tätigen illegale Geschäfte im Darknet, teilen Aufnahmen von Kindesmissbrauch über das Internet. Kommen automatische Löschfunk­tionen und Verschlüsselungstechnologien zum Einsatz, hängt der Ermittlungserfolg oft davon ab, wie rasch die Datenträger an die IT-Forensiker der Polizei übergeben werden – in Wien an den Assistenzbereich 06 IT-Beweismittelsicherung (AB ITB) des Landeskriminalamts Wien.

Der AB ITB übersiedelte anlässlich des seit 1. Jänner 2025 geltenden Strafprozessrechtsänderungsgesetzes 2024, das für den Zugriff auf Daten durch die Strafverfolgungsbehörden strengere Bestimmungen vorsieht, vom 9. in den 21. Bezirk. Um den Eingriff in die Privatsphäre von Betroffenen zu minimieren, sieht der Gesetzgeber nun eine Eingrenzung der für die Ermittlung nutzbaren Daten in Bezug auf Datenkategorie, Zeitraum und Inhalt vor. Diese auf bestimmte Daten beschränkte Arbeitskopie muss die IT-Beweismittelsicherung zusätzlich zur Image-Datei der Originaldaten archivieren, was viel Speicherplatz benötigt.

Die geänderten Anforderungen wurden durch die Anschaffung neuer Computer und anderer Arbeitsmittel, die in den großzügig bemessenen Räum­lichkeiten der neuen Dienststelle in der Scheydgasse 41 ausreichend Platz finden, erfüllt. „Ein Büro für IT-Forensiker muss mit ein oder zwei Computern, drei oder vier Monitoren und einer Komplettklimatisierung ausgestattet sein“, beschreibt Oberstleutnant Florian Finda, BA, in dessen Zuständigkeitsbereich als leitender Kriminalbeamter des Assistenzdiensts im LKA Wien auch der AB ITB fällt.

Technisches Interesse. Finda ist – wie auch die IT-Ermittler und -Forensiker der Wiener Polizei – kein studierter Informatiker, sondern Polizist mit technischem Interesse. Er trat 2012 in den Polizeidienst ein, ab 2017 war er im Landeskriminalamt Wien im Ermittlungsbereich 03 – Sexualdelikte tätig. Als IT-begeistertem „Digital Native“ kam ihm eine besondere Aufgabe zu: „Ich war der Jüngste in der Gruppe, alles Technische ist auf meinem Tisch gelandet.“

Durch eine IT-Ermittlerausbildung im Landeskriminalamt Oberösterreich und die Teilnahme an Projekten des Cybercrime Competence Centers (C4) im Bundeskriminalamt konnte Finda seine einschlägigen Kenntnisse weiter vertiefen. 2023 wurde er stellvertretender Leiter der LKA-Außenstelle Süd; im November 2024 übernahm er die Leitung der Assistenzbereiche Analyse, Kriminalprävention, IT-Beweismittelsicherung und des Opferschutzzentrums im LKA-Assistenzdienst.

Mitarbeiter.  Derzeit sind in der IT-Beweismittelsicherung 21 Mitarbeiter tätig, weitere werden gesucht. „Formalerfordernis ist eine Polizeigrundausbildung, wir nehmen keine Externen. Weitere Voraussetzungen sind Interesse und Verständnis für Technik. Man braucht keine technische Ausbildung, aber eine HTL wäre eine gute Basis“, so Finda. Von den acht Bewerbern, die sich heuer gemeldet hatten, erwiesen sich sechs als geeignet. Sie werden in den Bereichen Forensik und Ermittlung zum Einsatz kommen.

Interessenten müssen ein Auswahlverfahren bestehen. Da viele nicht wissen, was in der IT-Beweismittelsicherung genau gemacht wird, erhalten sie zuerst Informationen über die einzelnen Disziplinen. Im AB ITB geht es nicht darum, Software zu entwickeln, sondern um die Anwendung von – zum Großteil von der Justiz akkreditierter – Software. Schließlich sind die Bewerber gefordert, anhand von Fallbeispielen ihr kriminalistisches und technisches Denken unter Beweis zu stellen.

Verstärkung erhalten die Mitarbeiter der IT-Beweismittelsicherung durch IT-Ermittler in den LKA-Außenstellen, die der Leitung des AB ITB per Fachaufsicht unterstellt sind. „2018 ist ein Probebetrieb ins Leben gerufen worden, für den IT-interessierte Mitarbeiter der LKA-Außenstellen bzw. der SPKs gesucht wurden. Sie sind von uns ausgebildet worden und unterstützen bei Ermittlungen sowie als Support“, so Finda.

Neue Struktur. Mit der – noch nicht umgesetzten – Kriminaldienstreform sollen zusätzliche Planstellen für neue Mitarbeiter geschaffen werden. Auch eine auf drei „Säulen“ beruhende Struktur der IT-Beweismittelsicherung ist geplant. Die Säulen IT-Forensik, IT-Ermittlung und Cybercrime Training Center (CCTC) sind in einzelne Sachgebiete unterteilt.

„Die Aufgabe der IT-Forensik besteht darin, Datenträger zugänglich zu machen und die Daten nach Anordnung der Staatsanwaltschaft aufzubereiten“, erläutert Finda. Je nach Art der Datenträger können einzelne Disziplinen unterschieden werden. Computerforensik befasst sich mit Stand-PCs, aber z. B. auch mit externen Festplatten, Laptops und USB-Sticks, während Gegenstand der mobilen Forensik mobile Datenträger wie Handys oder Tablets sind. Außerdem sind die IT-Forensiker für die Server und die Netzwerktechnik im Haus zuständig.

Die zweite Säule, IT-Ermittlung, beinhaltet Ermittlungen zu Cybercrime im engeren Sinn. Darunter versteht man kriminelle Handlungen, bei denen Angriffe auf Daten oder Computersys­teme unter Verwendung von Informations- und Kommunikationstechnologie begangen werden, z. B. Datenbeschädigung, Hacking oder „Distributed Denial of Service“-(DDoS-)Attacken. Ein weiterer Aufgabenbereich ist die Kryptowährungs-Transaktionsanalyse, bei der es darum geht, Zahlungen in Kryptowährungen nachzuvollziehen. Diese werden bei illegalen Geschäften genutzt, da sie eine höhere Anonymität bieten und sich schwerer nachverfolgen lassen.

CCTC Wien. Die Planung für die dritte Säule, das Cybercrime Training Center Wien, ist bereits abgeschlossen, für die Realisierung gibt es jedoch noch keine Finanzierung. Ursprünglich stammt die Idee aus Oberösterreich, wo sie bereits umgesetzt ist. Polizisten erhalten ein bis drei Jahre nach der Grundausbildung eine IT-Schulung auf Basisniveau, Vorkenntnisse sind nicht erforderlich. Wer später die Fachausbildung Kriminaldienst absolviert, kann auf diesen grundlegenden Kenntnissen aufbauen.

Im CCTC Wien sollen künftig pro Jahr zirka 40 Schulungen zu je vier Tagen, jeweils für zehn Teilnehmer, stattfinden. Dafür muss ein Raum in der Dienststelle Scheydgasse zu einem interaktiven Szenarienraum und ein weiterer Raum zu einem technisch aufwendig ausgestatteten Schulungsraum umgebaut werden. Für jeden Platz sind ein höhenverstellbarer Tisch, ein Stand-PC und ein Ultrawide Curved Monitor vorgesehen. „Das Training soll fallbezogen und interaktiv sein. Den Lernenden wird eine konkrete Situation auf Video gezeigt und sie müssen überlegen, was sie tun würden“, beschreibt Finda.

Beispiele. Was digitale Geräte „verraten“, erläutert Finda anhand eines Beispiels: Bei einer Hausdurchsuchung wegen Mordverdachts findet der Ermittler ein Handy. Die darauf gespeicherten Daten können Aufschluss darüber geben, ob sich der mutmaßliche Mörder davor mit der Tat auseinandergesetzt hat, etwa durch Recherchen im Internet. Kommunikationsdaten liefern Hinweise auf Mittäter oder Mitwisser. Anhand von Standortdaten lässt sich feststellen, ob sich der Verdächtige zum Tatzeitpunkt in der Wohnung des Opfers aufgehalten hat. „Das Handy sollte so schnell wie möglich zu uns gebracht werden. Bei modernen Geräten erfolgt ein automatischer Neustart nach 72 Stunden Inaktivität, das erschwert den Zugriff auf die Daten“, erklärt Finda.

Im Bereich der Wirtschaftskriminalität besteht die größte Herausforderung in der Menge und Komplexität der Daten. In der Regel kooperieren im Fokus der Ermittlungen stehende Unternehmen mit der Behörde, weil sie hoffen, dass die zugänglich gemachten Daten einen Entlastungsbeweis liefern. Der Ermittler erstellt vor Ort ein forensisches Abbild des Unternehmensservers, wobei die Datenmengen bei größeren Unternehmen im Terabyte-Bereich liegen. Aufgabe des Datenforensikers ist es nun, in enger Zusammenarbeit mit dem Ermittler die „Nadel im Heuhaufen“ zu finden.

Steht jemand im Verdacht, Missbrauchsdarstellungen von Kindern am Computer gespeichert zu haben, werden alle Geräte und Speichermedien vom Stand-PC über den Laptop bis zum USB-Stick sichergestellt. Oft handelt es sich bei den Tätern um technisch versierte Personen, die das kinderpornographische Material vor Zugriffen schützen. So wird beispielsweise das Betriebssystem des PCs so verschlüsselt, dass beim Start eine externe Schlüsseldatei benötigt wird, etwa von einem USB-Stick. In komplexeren Set­ups können auch mehrere separate Datenträger zur Entschlüsselung erforderlich sein. Die IT-Forensiker kennen diese Tricks  und finden auch gut „versteckte“ Dateien.

Technische Ausstattung. Neben einschlägigem Know-how benötigen die Mitarbeiter des AB ITB auch die entsprechende Hard- und Software. Für die Entsperrung verschlüsselter Geräte werden forensische Programme eingesetzt, die automatisiert Passwörter durchprobieren. „Das Brute-Force-Verfahren braucht viel Rechenleistung und kann manchmal sehr lange dauern“, so Chefinspektor Andreas Leitner von der IT-Beweismittelsicherung, der bereits im damaligen Referat 4 Datensicherung der Kriminaldirektion 3 Erfahrungen mit Datenforensik gesammelt hat.

Mitunter besteht der Verdacht, dass die Daten auf einem sichergestellten Handy automatisch gelöscht werden, sobald es mit einer Netzwerkverbindung verbunden ist. In diesem Fall wird das Handy für den Transport zur IT-Beweismittelsicherung in eine elektromagnetisch abgeschirmte Tasche, eine sogenannte Faradaybag, verpackt. Die forensische Auswertung erfolgt in einem Faradayschen Käfig im Datensicherungsraum für mobile Forensik.