Wie verlässlich sind digitale Beweise?

Der Fall eines Hamburger Autors zeigt eine bisher unberücksichtigte Problematik von Online-Durchsuchungen auf

2003 gingen bei einer Lübecker Tageszeitung per Telefax drei Schreiben ein, die im Duktus einer Agenturmeldung eine Pressekonferenz der Polizei zum Entführungsfall "Alexander" ankündigten. In ihnen stand außerdem, dass der entführte Junge sich in der Ferienwohnung eines Hamburger CDU-Politikers befinde. Daraufhin durchsuchte die Polizei diese Wohnung, fand aber den Jungen nicht. Nach einer Befragung des CDU-Politikers verdächtigte die Polizei einen mit ihm in Nachbarschaftsstreitigkeiten verwickelten TV-Autor als Urheber der Schreiben, durchsuchte dessen Wohnung und beschlagnahmte einen "Maxi-Tower-PC".

Weil sich auf der Telefonrechnung des Autors Verbindungen zu jener Lübecker Tageszeitung fanden, äußerte er bei seiner Vernehmung den Verdacht, dass die Schreiben mittels eines Trojaners von seinem Rechner aus versendet worden sein könnten - er nutzte Windows als Betriebssystem und eigenen Angaben zufolge hatte er bereits mehrmals Schädlinge auf dem Rechner.

Nach einiger Zeit wurde seinem Rechtsanwalt mitgeteilt, dass sich auf dem beschlagnahmten Rechner Beweise befänden, die belegten, dass die Schreiben von dort aus abgesandt worden seien. Als die Lübecker Staatsanwalt Anklage gegen ihn erhob, verlangte er die Untersuchung des Rechners durch einen unabhängigen Sachverständigen, worauf das Amtsgericht Lübeck den Virenexperten Prof. Klaus Brunnstein von der Universität Hamburg mit der Aufgabe betraute.

Als Brunnstein den PC auf Malware untersuche, stellte er fest, dass Zeitstempel auf die Veränderung von Dateien nach der Beschlagnahme hinwiesen. Zeitstempel sind leicht fälschbar und daher im Normalfall nur bedingt als Informationsquelle geeignet. Weil sich der PC aber seit der Beschlagnahme auf der Polizeidienststelle befunden hatte, war eine Manipulation durch den Verdächtigen praktisch ausgeschlossen. Brunnstein beauftragte daraufhin den in die Methoden der Forensischen Informatik eingearbeiteten Studenten Fabian Schulte, den Rechner systematisch auf nach der Beschlagnahme erfolgte Veränderungen zu prüfen.

Am Ende der Untersuchungen stand fest, dass nicht nachweisbar war, ob das Telefax tatsächlich auf dem Rechner erstellt wurde. "Allerdings", so Brunnstein in seinem Gutachten, fanden sich "Dateien mit dem in den Akten dargestellten Inhalt des Faxes, aber diese sind zweifelsfrei bei den polizeilichen Untersuchungen hergestellt bzw. verändert worden". Die Beamten hatten dafür sogar eine neue Version der Fax-Software installiert. Nach Brunnstein ist es zwar "theoretisch möglich, dass bei den Versuchen der Polizei, das Fax zu (re)konstruieren, eine eventuell früher vorhandene entsprechende Faxdatei modifiziert worden sein könnte; jedoch ist durch die Handlungen der Polizei nicht mehr mit ausreichender Gewissheit aufklärbar, inwieweit es eine solche Datei vor der Beschlagnahme gab".

Dem Hamburger Experten zufolge hätten vor Beginn der Aufklärungsarbeiten physikalisch und logisch identische Kopien hergestellt werden müssen, an denen dann die Untersuchungen ohne Beweisverlust durchgeführt hätten werden können. Durch die von der Polizei vorgenommenen Veränderungen wurde der PC als Beweisstück entwertet. Nicht nur, dass keine sicheren Rückschlüsse auf mögliche Schadsoftware zum Zeitpunkt der Beschlagnahme mehr getroffen werden konnten - auch sämtliche Spuren des belastenden Schreibens stammten von einer Version, welche die Polizei erst nach der Beschlagnahme des Computers auf dem Rechner erzeugt hatte. Der Name einer der Dateien, "Test.doc", deutet zwar darauf hin, dass weniger eine absichtliche Beweisfälschung als eine aus Unvermögen vorliegen könnte – was den Vorgang aber umso brisanter macht. Er zeigt, dass die Erzeugung von elektronischen "Beweisen" nicht böswillig geplant sein muss, sondern durchaus auch versehentlich aus einer Kombination von Schlamperei und Bürokratie entstehen kann: Eine Stelle sucht nach einem Dokument und kopiert es dabei erst auf den Rechner, wo es eine andere als "Beweis" entdeckt.

Weil die Anhaltspunkte dafür, dass die Straftat von dem Autor begangen wurde, aufgrund des Vorgehens der Lübecker Kriminalpolizei nicht erhärtet werden konnten, stellte das Amtsgericht Lübeck das Strafverfahren ein.

Der Fall zeigt nicht nur, wie sehr sich Behörden noch an Besonderheiten elektronischer Beweisführung gewöhnen müssen, er legt auch eine bisher wenig berücksichtigte Problematik der Debatte um Online-Durchsuchungen offen: Mit einem "Bundestrojaner" lassen sich nicht nur Daten ausspähen, sondern potentiell auch verändern. Bisher wies nur der CCC darauf hin, dass solche Programme ihrer Natur nach nicht nur fremde Rechner "durchsuchen", sondern dort auch Daten erzeugen und verändern könnten. Weil online "durchsuchte" Rechner - anders als beschlagnahmte - sowohl dem Zugriff der Überwachten als auch dem der Polizei oder des Verfassungsschutzes ausgesetzt sind, können die Behörden Vorwürfen der willentlichen oder versehentlichen Erzeugung von Beweisen nur schwer entgegentreten. Damit ist fraglich, inwiefern ein solcherart "durchsuchter" Rechner noch als Beweismittel in rechtsstaatlichen Verfahren tauglich sein kann.

Kommentare lesen (177 Beiträge)
Anzeige