Sie kommen im Morgengrauen. Unangekündigt. Noch bevor man schlaftrunken den Durchsuchungsbefehl genauer unter die Lupe nehmen kann, sind die Cyber-Cops schon am verdächtigen Gerät. Stecker raus. Ohne Herunterfahren. Damit ist der PC oder das Laptop gesichert. Wer seine Daten nicht ratzeputz und professionell gelöscht, vernichtet oder aufwendig verschlüsselt hat, bekommt nun Probleme, wenn sich Belastendes findet. Denn, das ist Allgemeinwissen, das schlichte Entleeren des Papierkorbs am Desktop löscht die betreffenden Daten nicht endgültig. Sie können rekonstruiert werden oder ihre Spuren sind leicht auffindbar. Bisher galt, dass Dateien auf Festplatten erst nach zig Überschreibungsvorgängen wirklich futsch sind. Neue Entwicklungen bei der Hard- und Software machen es Datenschnüfflern nicht leichter, denn Spuren können nun sogar deutlich einfacher beseitigt werden.
Doch wo sich eine Tür schließt, geht eine andere auf, weiß der gerichtlich beeidete IT-Forensiker Michael Meixner. Eines der Zauberwörter der IT-Forensik sind Metadaten, also Informationen über eine Datei. Das können Details wie das Dateiformat sein, das Erstellungsdatum, die Größe, eventuelle GPS-Koordinaten und vieles mehr. „Bei jedem Dokument habe ich zuerst das Erstellungsdatum in den Metadaten. Alles Weitere hängt von der Applikation ab, ob etwa der Autor vermerkt ist oder noch mehr. Bei der neuesten Generation von Applikationen finde ich zudem Informationen, wer das Dokument zuletzt verändert oder ausgedruckt hat“, erklärt Meixner. „In Foto-Dateien können zusätzlich GPS-Daten vorhanden sein. Verwendete Filter erlauben manchmal Rückschlüsse auf das verwendete Gerät. Es geht bis hin zu Informationen über das Gerät selbst, wie das Kamera-Modell oder sogar dessen Seriennummer. Dabei handelt es sich zumeist um hochpreisige Digitalkameras.“ Mit diesen Daten können Täter überführt werden. Doch das betrifft meist nur Computer-Unkundige, denn versierte User entfernen verdächtige Spuren.
Manipulationen sind einfach
„Ich kann alles verschwinden lassen, denn im Endeffekt handelt es sich nur um Nullen und Einsen. Deshalb kann man im Vorhinein keinen Daten vertrauen“, so IT-Forensiker Meixner weiter. „Nur weil das Erstellungsdatum eines Dokuments den Oktober 2019 angibt, heißt das vorerst noch gar nichts. Ich kann auf meinem Handy oder dem PC jederzeit ein anderes Datum einstellen.“ Die Applikationen selbst verwenden dann die manipulierte Systemzeit und schreiben sie in die Metadaten. Applikationen wiederum sind von Software und, im Speziellen, von der Hardware abhängig, um die Meta-
daten zu befüllen. Wenn man weiß, zu welchem Zeitpunkt eine Applikation Soft- oder Hardware nach Informationen abfragt, können diese geändert – also „gefaket“ – werden. Deshalb sind Metadaten-Informationen im Regelfall keine ausreichenden Beweise, die alleine vor Gericht standhalten. Sie können – wenn überhaupt – als Kette mehrerer Indizien verwendet werden.
Indiz statt Beweis
„Als Forensiker muss ich verifizieren, ob man einem digitalen Indiz vertrauen kann. Kann ich feststellen, auf welchem Gerät die Datei erstellt oder bearbeitet wurde? Kann ich mit Sicherheit feststellen, dass an diesem Gerät nicht manipuliert wurde? Kann ich feststellen, wie sich der User auf diesem Gerät verhalten hat? Erst danach können Rückschlüsse gezogen werden, ob ich den gefundenen Informationen vertrauen kann oder nicht“, gibt Meixner Einblick in seine Arbeit. „Wenn man einem Forensiker ein PDF-File oder eine Bilddatei gibt, kann der eine Sachverhaltsdarstellung machen, vollkommen wertfrei, nur aufgrund der Metadaten.“ Bei Ermittlungen ergibt sich so möglicherweise ein Durchbruch, wenn man dem benutzten Gerät und dessen System wirklich trauen kann. Denn jedes Android-Handy kann geroutet werden, die Einstellung einer fiktiven Zeit ist keine Hexerei, das Faken von GPS-Daten einfach.
So lässt sich etwa ein Foto vom Stephansdom mit den GPS-Daten des Eiffelturms und dem Aufnahmedatum 22. Februar 2002 einfach herstellen. Was früher unter Umständen im Dateimanager „Windows Explorer“ möglich war, funktioniert heute nicht mehr. Eigenschaften einer Datei können ausschließlich in der verwendeten Applikation verändern werden. Die Eigenschaften einer Winword-Datei zu ändern, ist für den Normalbenutzer also nur in Winword möglich, nicht im File-Explorer.
Erst die Feinarbeit enthüllt Details. Es gilt herauszufinden, welche Version eines Betriebssystems auf dem verdächtigen Gerät gelaufen ist. Welcher Patch des Betriebssystems wurde zuletzt installiert und mit welcher Applikationsversion wurde eine Datei gespeichert? „Früher war das noch etwas einfacher. Man konnte die Datei-Infos zwar verändern, etwaige Manipulationen waren aber auch leichter zu erkennen“, erinnert sich Meixner. „Jetzt sind diese Informationen hardcoded im Dokument drinnen, und ich kann sie von außerhalb nur schwer verändern, da sie mit dem Dokument gemeinsam gespeichert werden.“
Von Alexander Haide
Lesen Sie den ganzen Artikel im neuen ExtraDienst
