Bild: Adam Greig (cc-by-sa 2.0)
Dieser Text ist der Print-Ausgabe 08/2009 von Technologie Review entnommen. Das Heft kann, genauso wie die aktuelle Ausgabe, hier online portokostenfrei bestellt werden.
IT-Forensiker folgen Ermittlern auf dem Fuß und entlocken selbst mutwillig zerstörten Laptops und Handies noch Indizien.
Die Geschichte beginnt mit einem vagen Verdacht: Im April 2008 fällt einem Kunden der Heidelberger Volksbank auf, dass mit einem der Geldautomaten in Eppelheim irgendetwas nicht stimmen kann. Eine nähere Untersuchung ergibt: Auf dem Automaten wurde ein Ausspäh-Aufsatz angebracht. Er besteht aus einem manipulierten Kartenleser und einer präparierten Tastatur, mit denen die Täter Kontodaten und Geheimnummern von Kunden ausspionierten.
Zwei Monate später landet der Aufsatz auf dem Tisch von Albert Schänzle, Computerspezialist am Landeskriminalamt (LKA) Baden-Württemberg in Stuttgart. Die Verbindungsdrähte zwischen den Leiterplatten, dem Magnetkartenleser und der Tastenfeld-Attrappe sind mit einer Heißluftklebepistole gebündelt. An den beiden nur wenige Millimeter großen Platinen haftet noch das blaue Pulver, das Fingerabdrücke sichtbar gemacht hat. Doch für diese interessiert sich Schänzle nicht. Ihm geht es um die digitalen Spuren, die klären sollen, wie die Täter bis zum 5. April 2008 an dem Bankautomaten bei Heidelberg in großem Stil PIN-Nummern und andere Kartendaten stehlen konnten.
Der 46 Jahre alte Elektroingenieur ist einer von zehn Angestellten in der Abteilung "IT-Beweissicherung". Computerexperten im Sold von Strafverfolgungsbehörden müssen längst nicht mehr Drucker warten oder Datenbanken programmieren. Sie sichern die Inhalte von Festplatten und Arbeitsspeichern, durchsuchen E-Mails, Browser-Historien und Chatprotokolle und lesen bei Handys SMS, Anruferlisten und Kalender aus. Ihre Ergebnisse dokumentieren sie so, dass Ermittler sie als rechtskräftige Beweise verwenden können.
Laut Statistischem Bundesamt besaßen schon vor zwei Jahren rund 80 Prozent aller deutschen Privathaushalte ein Handy, in gut 70 Prozent der Haushalte stand ein Rechner, der meist auch ans Internet angeschlossen war –Tendenz steigend. Allein Ende Juni habe er 40 Häuser wegen Verdacht auf Anlagebetrug durchsucht und dabei "in jedem Objekt mindestens einen PC" sichergestellt, erzählt denn auch Jürgen Lautenbach, Experte für Wirtschaftskriminalität am LKA.
Auch diese Geräte landen dann bei Schänzle und seinen Kollegen. Im Vergleich zu den Cyber-Crime-Laboren aus TV-Serien wirkt das LKA-Labor nüchtern. Vor dem Fenster hängt eine Gardine, die noch aus den siebziger Jahren stammen könnte, in der Mitte des Raumes warten auf zusammengeschobenen Tischen acht schwarze Rechner, beschriftet mit Aktenzeichen und Asservatennummer, auf ihre Untersuchung. Sie werden mithilfe von drei Computern inspiziert, aus deren geöffneten Gehäusen gelbe, blaue und rote Kabel herausquellen, um daran unterschiedliche Festplattentypen anzuschließen.
Bei der Analyse von elektronischen Geräten komme es allerdings mehr auf das "Know-how, das in den Köpfen unserer Spezialisten steckt", an als auf die technischen Hilfsmittel, erklärt Schänzle. Denn keine Software kann so vielseitig in den internen Abläufen von Betriebssystemen herumforschen, wie es die IT-Experten mit ihrem oft produktspezifischen Wissen tun. Im Fall des Bankautomaten findet Schänzle schnell heraus, dass ein von den Tätern entwickelter Mikrocontroller die PIN-Nummern der Automatenkunden samt Bankleitzahl, Kontonummer und Gültigkeit bescheinigender Prüfsumme an ein GSM-Modul mit SIM-Karte weitergibt, wie es in jedem herkömmlichen Handy steckt. Es sendet die Daten an eine ganz bestimmte französische Rufnummer. Die Ermittler geben diese Information an die Spezialisten für Handyortung weiter, während Schänzle mit der Untersuchung fortfährt.
Die professionell gelayouteten Leiterbahnen stacheln die Neugierde des Computerexperten an. Den Datenspeichern der beiden Mini-Betriebssysteme entlockt er die Kürzel "SK2" und "KB2", was ihn vermuten lässt, dass mindestens noch ein weiterer, ähnlich manipulierter Bankautomat in Deutschland existiert. Auf dem GSM-Modul findet er Schriftzüge und Identifikationsnummern, die es als Produkt eines deutschen Elektronik-konzerns ausweisen. Von diesem erhält Schänzle auch die Hardware zum Auslesen und kommt an die IMEI des Moduls heran, eine 15-stellige Seriennummer, die jedes GSM- oder UMTS- Gerät weltweit eindeutig kennzeichnet. Mit deren Hilfe kann er nicht nur die Lieferung identifizieren, sondern auch den Lieferweg verfolgen. Schänzle gibt die Adressen aus San Diego, New York und Michigan an die amerikanischen Kollegen weiter. "Auch das ist IT-Forensik", sagt er mit einem Lächeln.
Kurz nach dem 2. August bekommt er dann die Gelegenheit, noch tiefer in den Heidelberger Fall einzusteigen. Ermittler hatten in Mainz drei Tatverdächtige, einen Ukrainer und zwei Russen, bei der Manipulation eines Geldautomaten festgenommen. Hausdurchsuchungen folgten, und die sichergestellten Laptops gelangten wieder zu Schänzle. Sie waren ausgeschaltet, was Computerforensikern die Arbeit mitunter erheblich erschwert.
Erhalten die IT-Experten dagegen ein Gerät in eingeschaltetem Zustand, lassen sie es auch an und nehmen eine Analyse am "lebenden" System vor. Denn dann können sie selbst flüchtige Daten wie die des Hauptspeichers mittels spezieller Software noch auslesen und so beispielsweise die aktuell angemeldeten Benutzer oder den Status von Netzverbindungen herausfinden. Auch ein vom Täter verschlüsseltes Dateisystem, das nach dem erneuten Einschalten nur über Passworteingabe zugänglich wäre, lässt sich in diesem Zustand noch leicht auslesen.
Anders als ihre Kollegen im Fernsehen öffnen die IT-Forensiker dabei keineswegs Dokumente oder führen gar Programme aus, denn das könnte Zeitstempel oder andere digitale Hinweise vernichten. "Digitale Daten sind nicht nur leicht entfernbar, sondern auch leicht manipulierbar", erläutert Schänzle das Problem. Um keine Spuren zu verwischen, werden daher sowohl die Laptops als auch die bis zu einen Terabyte an Speicherplatz fassenden Festplatten der Forensiker über spezielle Adapter an den zu untersuchenden PC angeschlossen. Das Schreiben neuer Daten ist mit ihnen nicht möglich. Auf diese Weise können die Computerdetektive bei laufendem System in Ruhe den Spuren der Täter nachgehen. Manipulierte Daten entlarven die Spezialisten, indem sie in Ebenen von Betriebssystemen und Dateisystemen vordringen und Meta-Informationen wie etwa interne Zeitstempel auswerten, an die ein normaler Anwender nicht herankommt.
Auf den ausgeschalteten Laptops der Bankdaten-Diebe muss Schänzle jedoch "post mortem" arbeiten: Zuerst kopiert er Sektor um Sektor, Spur um Spur die fremde Festplatte auf eine eigene. Beide Systeme sichert er mithilfe eines mathematischen Tricks, Hash-Verfahren genannt, so, dass er später nachweisen kann, seine Untersuchung an den exakt gleichen Daten vollzogen und nichts verfälscht zu haben.
Auf solch einer physikalischen Eins-zu-eins-Kopie können die IT-Forensiker mit bekannten kommerziellen Software-Produkten wie beispielsweise "Encase" und dem "Forensic Toolkit" Daten wiederherstellen, die der Anwender bereits als gelöscht wähnte. Denn das jeweilige Dateisystem entfernt auf Befehl gewöhnlich nur die Verknüpfung mit dem Speicherort der Daten auf der Festplatte. Die Daten selber bestehen fort, bis sie mit dem Inhalt einer anderen Datei überschrieben werden.
Um den hexadezimalen Zeichensalat solcher Festplatten-Sektoren zu entziffern, obwohl ihm die typischen Dateinamen und Endungskürzel fehlen, wird das sogenannte File Carving angewendet: Die meisten Datentypen verfügen über eine sie eindeutig kennzeichnende Byte-Folge an Anfang und Ende der Datei. Wird etwa nach Bildern im JPEG-Format gefahndet, suchen die Softwarewerkzeuge nach den charakteristischen Zeichenketten 0xffd8ffe00010 und 0xffd9 und kopieren alle Zeichen dazwischen in eine neue Datei – fertig ist das rekonstruierte JPEG-Bild.
Doch diese Daten-Zauberei hat auch klare Grenzen. "Wenn man die Platte überschreibt, sind sie Daten definitiv weg", sagt Reinhold Kern, Director für Computer Forensics beim Daten-Retter Kroll Ontrack im baden-württembergischen Böblingen. Auch die Verschlüsselung von Teilen der Festplatte habe gute Chancen, Fahndungserfolge zu vereiteln, wenn der Täter nicht an anderer Stelle das Passwort abgespeichert habe oder die gesuchten Daten nicht aus Sicherheitskopien rekonstruierbar seien. Einen Computer einfach nur mechanisch zu zerstören – etwa durch Hammerschläge oder Erschütterungen während des Betriebs –, ist nach Kerns Erfahrung keine wirksame Anti-Forensik-Maßnahme. Immer wieder lesen Kern und seine Kollegen Laptops aus, die ins Meer gefallen sind oder von einem Auto überfahren wurden. Ein relativ starkes Magnetfeld von mehr als einem Tesla anzulegen oder das Gerät Temperaturen von über 700 Grad Celsius auszusetzen ist dagegen Erfolg versprechender, wenn es um die Vernichtung digitaler Informationen geht.
Vor Kurzem hatte Kern, dessen Mitarbeiter sonst für einen Stundensatz von 350 Euro am Wochenende in Unternehmen Innentäter aufspüren, einen besonderen Auftrag: Durch die Analyse, wann von wem welches Programm aufgerufen worden war, sollte er einem mutmaßlichen Mörder ein Alibi verschaffen. Eine unlösbare Aufgabe, sagt Kern kopfschüttelnd. Denn nie hätte man nachweisen können, dass der Verdächtige auch tatsächlich hinter der Tastatur gesessen habe. "Wir können Indizien liefern, aber es sind nie Beweise", erklärt der Elektrotechniker. Im Falle der Geldautomaten-Manipulation reichte das, was die IT-Forensiker aus den sichergestellten Laptops zu Tage beförderten, jedoch aus: Die zwei Russen und der Ukrainer wurden aufgrund des verursachten Gesamtschadens von 160.000 Euro im Februar dieses Jahres zu Haftstrafen von bis zu sechs Jahren verurteilt. Als Fundgrube für Schänzle erwies sich der Dateiordner "Works": Unter dem von den Tätern eigens erdachten Dateikürzel .ccf (credit card fraud) konnte er nicht nur lesen, wann und wo die Daten der Bankkunden geraubt wurden, das Verbrechertrio hatte auch vermerkt, an welchem Ort und zu welcher Zeit es auf illegale Weise abkassierte – am 8. März 2008 waren dies um 18 Uhr in der italienischen Stadt Padua genau 350 Euro.
Dieser Text ist der Zeitschriften-Ausgabe 08/2009 von Technology Review entnommen. Der Artikel steht auch als kostenpflichtiges pdf im Heise Kiosk zum Download bereit.
Permalink: http://heise.de/-763125
