Durch eine IT-forensische Analyse werden meist Gutachten erstellt, die der (Auf-)Klärung eines bestimmten Sachverhaltes dienen. Wird beispielsweise Unternehmensinfrastruktur angegriffen, müssen die Gutachten dringend gerichtsverwertbar sein. Doch welche Kriterien sollten die Gutachten und der forensische Prozess dafür erfüllen – und welche rechtlichen Grenzen ergeben sich für den Prozess selbst? In diesem Beitrag wollen wir diese Fragestellung näher beleuchten.
Der Inhalt im Überblick
Kriterien für die Gerichtsverwertbarkeit von forensischen Gutachten
IT-forensische Untersuchungen haben oft auch den Zweck, dass deren Ergebnis von einem Gericht im Rahmen der Beweisführung als wahr anerkannt werden. Diese ist Teil der gerichtlichen Beweisfindung. Dabei wird ein Sachverhalt durch richterliche Überzeugung als Tatsache festgestellt, der dann der anschließenden rechtlichen Prüfung zugrunde liegt. Zwar muss die Beweisfindung auf objektiv nachprüfbaren Tatsachen beruhen und ist an prozessrechtliche Vorschriften gebunden. Im Grundsatz gilt aber die freie Beweiswürdigung des Richters. Dieser muss davon überzeugt sein, dass die vom IT-Forensiker vorgetragenen Erfahrungssätze fachlich zutreffen und seine Schlussfolgerungen logisch plausibel sind.
Für die Gerichtsverwertbarkeit von IT-forensischen Analyse spielen daher 2 Faktoren eine Rolle:
- Inhalt und die Aussagekraft der Spuren nach einem Vorfall, welche von der Quantität und Qualität der Daten abhängt. Darauf haben IT-Forensiker keinen unmittelbaren Einfluss. Im Rahmen der präventiven IT-Forensik wird aber versucht, eine möglichst günstige Ausgangslage zu schaffen.
- Qualität der Auswertung. Im Großen und Ganzen hängt dies jeweils von dem Forensiker selbst oder aber von den durchgeführten Prozess ab. Beide sollten gewisse Grundlagen erfüllen, um am Ende ein glaubwürdiges und fachverständiges Gutachten vorzulegen. Schlussendlich geht es darum, die für die Fragestellung relevanten Aspekte benennen zu können und widerspruchsfrei aufzubereiten
Die fachliche Qualifikation des IT-Forensiker
Zwar kennt das deutsche Prozessrecht, anders als das common law, keine Pflicht von Sachverständigen ihre fachliche Qualifikation nachzuweisen, jedoch hängt der Beweiswert eines Sachverständigengutachtens wesentlich von dessen fachlicher Qualifikation ab. Dabei ist es problematisch, dass es keine klassisch, anerkannte Ausbildung zum IT-Forensiker gibt.
Zwar wachsen Studiengänge und weitere explizite Lernangebote auf dem Gebiet der IT-Forensik an der Zahl – am ehesten wird allerdings mit Zertifizierungen die Eignung eines Forensikers demonstriert. Zu nennen sind hierbei insbesondere die ISFCE-, IACIS- und GIAC-Zertifizierungen. Um diese zu absolvieren, ist ein ausführlicher Kenntnisstand über Werkzeuge, deren Handhabung, mögliche Beweismittel und ihre Präsentation notwendig. Diese Zertifizierungen gelten im Allgemeinen als Industriestandard.
Darüber hinaus ist ein Forensiker natürlich für eine konsistente und fehlerfreie Durchführung der Untersuchung verantwortlich. Aspekte, die zum Prozess der forensischen Analyse gehören, sind also partiell auch auf ihn attribuierbar – sei es z.B. durch ungenaue Ausführung oder verwendeten Verfahren, die nicht verifiziert sind oder dem Industriestandard entsprechen.
In besonderem Maße fällt dem Ermittler somit aber auch die Bewertung der Beweise und ihrer Aussagekraft zu. Schließlich sind nicht alle Daten gleichermaßen verwertbar. Gerade in zeitkritischen Analysen muss von Fachkundigen regelmäßig die Wahl getroffen werden, welche Bereiche sich zu prüfen lohnen. Das wiederum ist von Fall zu Fall unterschiedlich und benötigt eine Menge praktischer Erfahrung.
Die Qualität der forensischen Untersuchung
Kernpunkte von IT-forensischen Analysen stellen – unter anderem – die Nachprüfbarkeit und Nachvollziehbarkeit dar.
Worum geht es bei der Nachprüfbarkeit?
Die Nachprüfbarkeit bezieht sich dabei auf eine genaue Dokumentation der durchgeführten Schritte – also das wann, wie, womit (und worauf). Ziel ist hierbei, den Bericht so zu verfassen, dass auch andere Personen dieselben Ergebnisse erhalten würden, sofern man die gleichen Verfahren oder Taktiken anwendet.
Dabei wichtig ist auch die so genannte „Chain of Custody“. Besonders Entgegennahmen, Weitergaben und Einlagerungen von Systemen, Datenträgern und ähnlichem sollten stets genauestens dokumentiert werden. Sollte zum Beispiel ein Austausch oder eine Manipulation eines kritischen Datenträgers während des forensischen Analyse-Prozesses befürchtet werden, kann die „Chain of Custody“ helfen, Untersuchungen in diese Richtung zu vereinfachen.
Was fällt unter die Nachvollziehbarkeit?
Die Nachvollziehbarkeit dient dem reinen Verständnis des angefertigten Berichts insbesondere für Nicht-Sachverständige. Gerade in juristischen Verfahren ist dies von großer Bedeutung, um etwaige Zweifel an den Resultaten zu reduzieren und es den Beteiligten des Prozesses zu ermöglichen, diese angemessen zu verwerten.
Ein zusätzlicher Aspekt ist hierbei, dass eine Veränderung der analysierten Daten durch den forensischen Prozess selbst ebenfalls ausgeschlossen werden muss. Würden Teile der Ursprungsdaten modifiziert, wären etwaige Resultate dadurch angreifbar. Dem kann durch eine Erzeugung von Hash-Werten Abhilfe geschaffen werden – ist ein Hash-Wert eines Mediums vor und nach der Untersuchung unterschiedlich, hat in den Basisdateien eine Veränderung stattgefunden.
In manchen Fällen kann eine Modifizierung des zugrundeliegenden Systems jedoch nicht verhindert werden. Dies bezieht sowohl Untersuchungen auf noch laufenden Geräten, als auch gegebenenfalls notwendige, unumkehrbare Verfahren an Hardware (wie Chip-Offs) mit ein. Vor allem dort ist eine nachvollziehbare und detaillierte Dokumentation der vorgenommenen Schritte essenziell. Im Bestfall werden auch die genauen Gründe erläutert, die die Ermittler veranlasst haben, diese Schritte zu unternehmen.
Auch forensische Werkzeuge sind mitunter zertifiziert
Auch bei der IT-forensischen Analyse können grundsätzlich viele Verfahren zu gleichen oder ähnlichen Ergebnissen führen. Hier ist die Wahl von forensisch sicheren Werkzeugen ebenfalls wichtig. Unbekannte oder nicht ausreichend getestete Werkzeuge erhöhen die Anfechtbarkeit, wenn die Funktionsweise nicht forensisch verifiziert ist.
Manche Anbieter, deren Produkte in Untersuchungen regelmäßig verwendet werden, bieten ebenjene als selbstzertifiziert an. Ein Beispiel dafür ist das proprietäre EnCase-Format, welches allgemein gerichtlich anerkannt ist. EnCase-Dateien werden meist als Container für Images eingesetzt, also forensisch verwertbare Kopien von Datenträgern.
Grenzen auf rechtlicher Seite für Forensiker
Für Ermittler können sich sowohl vor als auch während der Erstellung eines Berichts rechtliche Fragen stellen, inwieweit ein System oder auch einzelne Dateien von Systemen detailliert geprüft werden dürfen. Werden bei der Analyse Fehler gemacht, die zu einer Rechtswidrigkeit der durchgeführten Maßnahme führen, so kann daraus unter Umständen, neben den rechtlichen Konsequenzen, ein Beweisverwertungsverbot erwachsen.
Am unkritischsten sind Analysen von Systemen, die dem Auftraggeber selbst gehören, lediglich dessen Daten und Geräte umfassen und eine entsprechende Freigabe zur Untersuchung besitzen. Ähnlich verhält es sich mit Arbeitsgeräten, die alleine für betriebliche Nutzung freigegeben sind und lediglich solche Daten enthalten. Sobald sich jedoch private Daten darauf befinden und eine persönliche Identifikation möglich ist, muss vorsichtig damit umgegangen werden. Hierbei gibt es natürlich auch Unterschiede, ob Analysen durch Strafverfolgungsbehörden durchgeführt werden müssen, oder ob dies durch betriebsinterne oder private Ermittler geschieht.
Auch bei Cloud-Analysen sind die Zuständigkeiten nicht immer eindeutig. Oft stehen die Systeme an den verschiedensten Orten und in gewissen Fällen müssten Anbieter über Ländergrenzen hinweg kontaktiert werden. Dies ist ebenfalls stark abhängig von dem konkret vorliegenden Sachverhalt und dem genutzten Cloud-Konzept. Optionen wie IaaS, SaaS oder PaaS ergeben jeweils unterschiedliche Möglichkeiten zur Analyse.
Wie lässt sich also Gerichtsverwertbarkeit möglichst sicherstellen?
Starre Kriterien oder konkrete, immer gültige Beweismittel können auch in der IT-Forensik kaum erbracht werden. Selten gleicht ein Fall dem anderen. Somit muss auf die Kenntnis und Erfahrung der Sachverständigen vertraut werden, wobei sich bisher Zertifizierungen sowohl auf der Personal- als auch der Werkzeugebene durchgesetzt haben. Diese garantieren einen hohen Standard für die Gutachten
