IT-Forensiker: Die Jäger der gelöschten Daten
Wie die politischen Tumulte der jüngsten Zeit zeigen, können Daten, wie etwa Chatnachrichten, ein wirkungsvolles Beweismittel sein. Selbst, wenn diese vor der Beschlagnahmung des Smartphones gelöscht wurden. Dass diese Daten wieder auftauchen, ist das Werk von IT-Forensiker*innen und Datenrekonstruktion.
Der Erfolg auf der Suche nach gelöschten Informationen ist unter anderem abhängig von der Expertise und Erfahrung der jeweiligen Spezialist*in. Laut den IT-Experten und Datenforensikern Klemens Sattler und Karsten Theiner von Grant Thornton, gibt es kein Allgemeinrezept für den Prozess der Datenwiederherstellung. Forensische Datensicherung gestaltet sich je nach Datenträger, wie z. B. Laptop oder Smartphone, und den gesuchten Informationen sehr unterschiedlich.
Soll etwa das Internetverhalten einer bestimmten Person nachverfolgt werden, ist der Browser-Cache im Fokus. Denn dieser ist eine Art Zwischenspeicher, der Teile der Webseite (z. B. Bilder, CSS- oder JavaScript-Dateien) beinhaltet. Aufgrund dieser Spuren kann nachverfolgt werden, wo die Person im Web unterwegs war und was sie gemacht hat.
Beweise müssen vor Veränderungen geschützt werden
Grundsätzlich gilt: Daten, die durch die Ermittler*innen bzw. Analyst*innen auszuwerten sind, dürfen nicht verändert werden, um vor Gericht beweissicher zu sein. Dafür werden sogenannte „Writeblocker“ („Schreibblockierer“) eingesetzt. Diese können direkt an den Datenträger, wie einer ausgebauten Festplatte, angeschlossen werden. Vereinfacht dargestellt wird eine 1:1-Kopie erstellt. Gelöschte Daten werden dann bei dieser Kopie rekonstruiert und nicht auf der Festplatte, die beschlagnahmt wurde.
Bei Smartphones hängt der Prozess von dem Hersteller des Gerätes als auch der App ab, von der Daten als Beweis gesichert werden sollen. Spezielle Forensik-Software durchsucht die Datenbanken des Geräts – der Erfolg ist aber nicht garantiert: „Da hatten wir schon den Fall, das alle Nachrichten noch da waren, oder gar keine,“ sagt Theiner.
Wird am Handy nichts gefunden, könnten „Backups“ (Sicherungskopien) helfen, die bei Online-Speicherdiensten hinterlegt sind. Üblicherweise benötigt man das Passwort der Nutzer*in, um dieses Backup abrufen zu können. Manche Behörden setzen spezielle Programme ein, um diese Passwörter zu knacken.
Die Datendetektive der österreichischen Behörden
Laut Doris Reifenauer von der Wirtschafts- und Korruptionsstaatsanwaltschaft (WKSta), sind derzeit 7 IT-Expert*innen aus den unterschiedlichsten Fachbereichen im Ministerium beschäftigt. Sie arbeiten nach inhaltlichen Vorgaben und Anweisungen des jeweiligen Entscheidungsorgans, wobei stets die Besonderheiten des Einzelfalls zu berücksichtigen sind. Bewerbungen von Interessent*innen seien übrigens jederzeit erwünscht. Die Beauftragung von externen Unternehmen seitens der WKStA, konnte eigener Angabe nach, weitgehend kostensparend zurückgedrängt werden und erfolgt nur mehr in Spezialfällen.
Allgemeine Aussagen zum Ablauf seien schwer zu treffen, weil einzelne Ermittlungsverfahren und die jeweiligen technischen Herausforderungen oftmals unterschiedliche Vorgehensweisen erfordern. Außerdem ändern sich diese aufgrund der Schnelllebigkeit des Technologiesektors, so Reifenauer. Grundsätzlich müssen Sicherungskopien angefertigt, die Daten aufbereitet und allenfalls inhaltlich nach technischen Parametern analysiert werden. Schlussendlich muss das Resultat an das jeweilige Entscheidungsorgan und Ermittler*innen zur Verfügung gestellt werden.
Gelöscht ist nicht gleich gelöscht
Egal ob Laptop oder Smartphone: Entscheidend ist auch der Löschzeitpunkt. Kommen aktuelle Daten abhanden und man möchte sie wiederherstellen, ist das meist einfach. Wurden die Daten vor Jahren gelöscht, wird es schwerer. Denn die Sektionen auf dem Speichermedium wurden in der Zwischenzeit wieder überschrieben.
Oft ist auch, wenn etwas gelöscht sein soll, es für einige Zeit nur dafür vorgemerkt und für normale Nutzer*innen nicht sichtbar. Forensische Software ignoriert diese Vormerkung und lässt die Daten wieder aufscheinen. „Und nur was überschrieben wurde, ist gelöscht“, sagt Sattler.
Löscht man absichtlich Daten oder setzt man ein Gerät neu auf, so ist das in der Daten-Forensik ersichtlich. Es gibt anti-forensische Software, um genau diesen Prozess zu verhindern bzw. zu erschweren. „Ein Laie würde damit aber nicht viel erreichen“, merkt Theiner an: „Man kann bestimmte Daten sicher löschen. Es entstehen aber häufig zusätzliche Spuren, die dem Anwender nicht bewusst sind, von Forensikern aber gefunden werden.“ Man könne versuchen, die Daten vor dem Löschen zu verschlüsseln, aber auch das ist nicht unbedingt endgültig. Es sei „ein Katz-und-Maus-Spiel“.
Datenrettung auf Wunsch
Die Methoden der Datenforensik kommen nicht nur bei Ermittlungen zur Beweissicherung zum Einsatz. Firmen wie Attingo arbeiten für Kund*innen, die ihre Daten verloren haben. Darunter fallen Privatpersonen, Unternehmen sowie öffentliche Stellen, meint Geschäftsführer Markus Häfele. Die meisten Kund*innen gäbe es aus dem Firmenbereich.
Ob ein Datenträger der Person gehört, die sie abgibt, wird nicht festgestellt. Hier sieht man sich nicht in der Verantwortung. Das heißt: Verkauft man Handys oder Notebooks an Private, besteht die Gefahr, dass diese die gelöschten Daten mit Software selbst wiederherstellen oder bei Datenrettungsunternehmen wiederherstellen lassen. „Will man wirklich auf Nummer sicher gehen, hilft nur das Schreddern der Datenträger“, sagt Häfele.
Rechtliche Hintergründe einer Datenträger-Beschlagnahmung
Kommt es zu einer Hausdurchsuchung, also einer Durchsuchung von Räumlichkeiten aufgrund eines Tatverdachts und einer richterlichen Bewilligung, können Datenträger mitgenommen werden. Entscheidend ist der entsprechende Durchsuchungsbefehl, erklärt Rechtsanwalt Stephan Steinhofer von DORDA Rechtsanwälte.
Dieser ist meist breit gefasst und ordnet in der Regel auch die Sicherstellung von elektronischen Daten und Datenträgern an. Heikler sei es bei Fällen, wo eine Verschwiegenheitspflicht beachtet werden müsse, beispielsweise bei Steuerberater*innen, Rechtsanwält*innen oder auch in Redaktionen. Hier dürfen Datenträger nur "versiegelt" mitgenommen werden. Daten daraus dürfen dann erst nach Sichtung und Freigabe des Gerichts zum Akt genommen werden.
Grundsätzlich gilt: Nicht jede (private) Information wird zum Akt genommen. Nur jene, die aus Beweisgründen verfahrensrelevant sind oder etwa um finanzielle Ansprüche von Opfern zu sichern.