Pornographie am Arbeitsplatz durch IT-Forensik aufdecken

Fachbeitrag

Nicht selten erfolgt der Konsum pornographischer Bild- und Videodaten während der Arbeitszeit. Dies hat schmerzliche Auswirkungen für den Arbeitgeber. Einen Nachweis für rechtswidriges Verhalten von Mitarbeitern kann die IT-Forensik durch die Sicherung, Auswertung und Dokumentation der Spuren liefern.

Nachweis rechtswidrigen Verhaltens

Der Download von pornographischem Material ist oft nicht nur urheberrechtlich problematisch, sondern kann aufgrund des Inhalts sogar illegal sein. Zudem führt der Konsum von Pornos bei der Arbeit zur Verringerung der tatsächlichen Arbeitszeit, Produktivität und Rentabilität des betreffenden Mitarbeiters.

Ein derartiges Verhalten kann unter bestimmten Voraussetzungen eine fristlose Kündigung des Arbeitsverhältnisses rechtfertigen. Dazu muss der Arbeitgeber dieses vertragswidrige Verhalten jedoch nachweisen können. Hierbei kann unter Einhaltung datenschutzrechtlicher Anforderungen eine IT-forensische Untersuchung des Computers erfolgen, der für den Konsum von pornographischem Material verwendet wurde, die nötigen Hinweise liefern.

Spuren gerichtsverwertbar sichern

Der Benutzer eines Computers hinterlässt bei dessen Nutzung zahlreiche Spuren, welche vom System gespeichert werden. Auf einem Computer, auf dem das Betriebssystem Windows installiert ist, finden sich je nach installierter Version Spuren an bestimmten Speicherorten.

Diese Spuren lassen sich IT-forensisch gerichtsverwertbar sichern, auswerten und dokumentieren. Um die vom Benutzer erzeugten Spuren durch dessen Interaktion mit den Dateien auf dem Computer nicht zu beschädigen oder zu vernichten, muss die Sicherung der zu untersuchenden Daten, manipulationssicher durchgeführt werden. Dies kann z.B. unter Einsatz eines sog. Writeblocker erfolgen, der einen schreibenden Zugriff auf die Originaldaten beim Erstellen der forensischen Kopie verhindert.

Quellen von Spuren – Ein Auszug

Folgende Spurenquellen würde ein IT-Forensiker typischerweise unter anderem nach Hinweisen untersuchen, wenn der Vorwurf im Raum steht, ein Systembenutzer habe strafbares Bild- und Videomaterial „konsumiert“.

Shortcut-Dateien

So geben beispielsweise vom System automatisch bei Öffnung von nichtausführbaren Dateien angelegte Shortcut (LNK)-Dateien inkl. Metadaten zum erst- und letztmaligen Öffnen der Datei Hinweis auf die Kenntnis von dem Inhalt der betreffenden Datei durch den Benutzer. Solche Artefakte können auch durch das Öffnen von Dateien, die über die Taskleiste (sog. Jump Lists) geöffnet werden oder die Verwendung von bestimmten Dateien durch Anwendungen entstehen. Es werden in diesem Fall AppIDs gespeichert, die Rückschlüsse auf das erste bzw. letzte Ausführen einer bestimmten Anwendung bzw. Öffnen eines Ordners zulassen.

Thumbnails

Ebenso können Spuren von Vorschaubildern (Thumbnails) Hinweise auf die Kenntnis von Daten mit strafbaren Inhalten geben. Das System katalogisiert – abhängig von der Windows-Betriebssystemversion – in der Thumbs.db oder dem Thumbscache die Bilder und speichert eine Kopie des Thumbnails, selbst wenn das Bild selbst gelöscht wird. Die Spuren werden auf dem System hinterlassen, sobald die betreffenden Bilddateien im Thumbnail- oder Filmstrip-Modus angeschaut werden oder ein Verzeichnis geöffnet wird, bei dem der Thumbnail-Modus aktiviert ist.

„Öffnen/Speichern unter“-Dialogbox

Das System speichert darüber hinaus auch Spuren der Interaktion des Benutzers mit Dateien über die „Öffnen/Speichern unter “-Dialogbox und gibt damit Hinweise auf das aktive Öffnen und Speichern von Dateien und damit die Kenntnis durch den Benutzer.

Browserartefakte

Hinsichtlich der Browsernutzung enthält z.B. bei Verwendung des Internet Explorer (IE) die IE History Informationen zu den besuchten Websites einschließlich Datum und Uhrzeit. In der IE History finden sich zudem Informationen zur Frequenz der besuchten Websites sowie zum Benutzerkonto, welches für den Websitebesuch genutzt wurde. Die Details werden für jeden lokalen Benutzer gespeichert. Die Besonderheit bei der IE History ist zudem, dass nicht nur der Zugriff auf Daten infolge der Webnutzung mittels Webbrowser Spuren hinterlässt, sondern gleichermaßen der Zugriff auf lokal gespeicherte Daten wie Office-Dokumente.

Eine weitere typische Spurenquelle bezüglich der Webnutzung ist der Browsercache. Der IE Cache speichert beispielsweise u.a. Informationen dazu, welche Websites wann besucht und welche Dateien auf der jeweiligen Website angeschaut wurden. Dies dient kurzgesagt der Beschleunigung einer wiederholten Nutzung derselben Website dadurch, dass die Ressourcen wie Texte oder Bilder beim erneuten Aufruf nicht erst wieder aus dem Internet geladen werden müssen, sondern die Informationen lokal abgerufen werden können. Die Informationen sind dem jeweiligen Benutzerkonto zuordenbar.

Verifizierung von Spuren

Die jeweiligen Spuren aus einer Quelle können zugleich der Verifizierung von Spuren aus jeweils anderen Quellen dienen. Bei personalisierten Benutzerkonten auf Computern lassen sich die gefundenen Spuren in der Regel dem jeweiligen Benutzer, der sich mit seinen Zugangsdaten gegenüber dem System authentisiert hat, zurechnen.

Beweis des Vorsatzes – Spuren im Browsercache

Im Frühjahr dieses Jahres hat das Amtsgericht Bocholt (Beschluss vom 23.03.2017, Az. 3 Ds 540 Js 100/16 – 581/16) den Antrag auf Durchführung einer Hauptverhandlung zurückgewiesen, der darauf abzielte ein strafgerichtliches Hauptverfahren gegen einen Angeschuldigten wegen Verbreitung, Erwerbs und Besitzes kinderpornografischer Schriften zu eröffnen. Dem Angeschuldigten war vorgeworfen worden, zahlreiche Bilder eines 16-jährigen Mädchens auf seinem Computer mit Windows-Betriebssystem gespeichert zu haben. Als Beweis wurde ausschließlich die Auswertung der Daten des Cache seitens der Staatsanwaltschaft angeführt.

Neben den Zweifeln am Alter des abgebildeten Mädchens begründete das Gericht die Zurückweisung damit, dass der Besitzwille hinsichtlich der elektronisch gespeicherten Bilder nicht bewiesen werden könne. Dem Angeschuldigten sei die nötige Einwirkungsmöglichkeit auf die Bilder nicht nachzuweisen. Im Cache würden die Daten automatisch und ohne Einwirkungsmöglichkeit des normalen Benutzers gespeichert.

Das Gericht zweifelte zudem daran, ob der Angeschuldigte die inkriminierten Bilder überhaupt bewusst angeschaut hatte. Zutreffend führt das Gericht aus, dass Links zu Websites mit strafrechtlich relevanten Bild- und Videodaten via E-Mail versandt werden können und von einem unbedarften, aber unvorsichtigen Benutzer geöffnet werden könnten, wodurch am Ende Informationen im Cache gespeichert werden, ohne dass der Benutzer je die Absicht hatte, derartige Bilder zu betrachten oder zu speichern.

Die Entscheidung des AG Bocholt in Bezug auf kinderpornographisches Material lässt sich gleichermaßen auf anderweitiges pornographisches Material beziehen, sofern es um den Nachweis des Vorsatzes bzw. der Kenntnis in Bezug auf den Besitz solchen Datenmaterials geht.

Achtung Datenschutz!

Bei der Ermittlung durch einen privaten IT-Forensiker ist jedoch darauf zu achten, dass die rechtlichen Grenzen der Tätigkeit nicht überschritten werden, damit dieser sich nicht strafbar macht. Der IT-Forensiker muss zudem vor jeder Untersuchung auch die datenschutzrechtlichen Voraussetzungen im Zusammenhang mit seiner Tätigkeit prüfen.

intersoft consulting services AG

Als Experten für Datenschutz, IT-Sicherheit und IT-Forensik beraten wir deutschlandweit Unternehmen. Informieren Sie sich hier über unser Leistungsspektrum:

IT-Forensik

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.