Cybercrime Blog - Digitale Beweismittel

Operation Dark HunTOR

Europol berichtet von der gerade durchgefühten Operation Dark HunTOR: Es handelt sich um eine europaweit, ja gar weltweit, koordinierte Aktion von Ermittlungsbehörden, die auf die Zerschlagung von „DarkMarket„, dem damals weltweit größten illegalen Marktplatz im Dark Web, Anfang des Jahres zurückgeht. Ich hatte schon gemutmaßt, dass so etwas geschehen würde.

Digitale Beweismittel

Digitale Beweismittel: Wie geht man mit digitalen Beweismitteln (richtig) um? Diese Frage ist allgegenwärtig und leider kaum Gegenstand juristischer Auseinandersetzungen: Es gibt nur eine extrem überschaubare Anzahl von Aufsätzen zum Thema, gerichtliche Entscheidungen sind noch seltener. Dabei drängt sich gerade mit der zunehmenden Digitalisierung des Prozesswesens diese Frage auf.

Vor allem eine Frage ist inzwischen ebenso drängend wie vollkommen aus dem Fokus geraten: Was ist ein digitales Beweismittel? In diesem Beitrag gehe ich auf die wesentlichen Problembereiche rund um digitale Beweismittel ein, ich widme dabei einen wesentlichen Teil meines Alltags rund um technische und rechtliche Fragen von IT-Forensik und digitaler Beweismittel.

Digitale Beweismittel: Schlichte Vorlage von Excel-Datenblättern

Dass die schlichte Vorlage von Excel-Ausdrucken kein geeigneter Beweis sein kann hat das Landesarbeitsgericht Köln, 6 Sa 723/20, einem Unternehmen ins Stammbuch geschrieben. Hier ging es darum, ob ein gekündigter Mitarbeiter – der sich gegen die Kündigung wehrte – Fake-Kunden angelegt hat, um darüber in die eigene Tasche zu wirtschaften. Das beklagte Unternehmen wollte nun, auf Basis ausgedruckter Excel-Datenblätter und mittels selbst angefertigter Screenshots die Täterschaft des Mitarbeiters nachweisen. Was vorhersehbar scheiterte.

Digitale Beweismittel: Auswahl einzelner Beweismittel nach Kriterien

Bei digitalen Beweismitteln ergibt sich relativ schnell ein Problem für Ermittler, etwa wenn nur bestimmte Informationen aus umfangreichen Datenbanken benötigt werden. Die Frage ist dann, ob bei einer Durchsuchung – etwa beim Provider – verlangt werden kann, dass eine Aufarbeitung der Daten erfolgt. Seit einer früheren Entscheidung des Bundesverfassungsgerichts ist dies nun geklärt.

OLG Brandenburg zu Encrochat: Kein Beweisverwertungsverbot

Das OLG Brandenburg (2 Ws 102/21, 2 Ws 94/21, 2 Ws 96/21 und 2 Ws 113/21) hat sich in mehreren Entscheidungen zum Thema Encrochat positioniert und damit klar gestellt, dass die Verwertung von durch die französischen Ermittlungsbehörden im Kontext der Überwachung des Dienstleistungsanbieters für sogenannte Krypto-Handys (EncroChat) durch Entschlüsselung von Chat-Nachrichten gewonnenen Daten keinem Verbot unterliegen.

Das OLG teilt ausdrücklich die hierzu in der obergerichtlichen Rechtsprechung vertretene und von mir hier im Blog umfangreich geschilderte Auffassung – und folgt ganz ausdrücklich nicht der entgegenstehenden Entscheidung des Landgerichts Berlin, die inzwischen vom KG aufgehoben wurde.

Angriff auf Cellebrite

In einem beachtlichen Blog-Posting teilen die Macher hinter Signal mit, man habe die IT-Forensische Software von Cellebrite gehackt. Doch man belässt es nicht dabei, sondern formuliert einen durchdachten und mehr oder minder subtilen Angriff auf Cellebrite, der nicht ignoriert bleiben dürfte.

Einziehung von Festplatte

Die Einziehung von Festplatten ist ein Dauerbrenner im Bereich des Cybercrime. Ich konnte nun endlich im Rahmen einer Revision beim Bundesgerichtshof (2 StR 461/20) eine Auseinandersetzung mit der letzten Rechtsprechung des 6. Senats herbeiführen – wo man bestätigte dass für die Einziehung ausreichend ist, dass die Möglichkeit dauerhafter Löschung nicht ersichtlich ist.

Dazu auch bei uns:

Hashwert

Ein „Hashwert“ spielt in der digitalen Forensik, im Bereich der Dateien, eine erhebliche Bedeutung. Der Hashwert wird durch eine Hashfunktion erzeugt und ist eine

„Abbildung, die eine große Eingabemenge (die Schlüssel) auf eine kleinere Zielmenge (die Hashwerte) abbildet“
Wikipedia zur Hashfunktion

Entgegen einer verbreiteten Handhabe in der Praxis sollte der Hashwert im Gerichtssaal nicht ohne Hinterfragen hingenommen werden.

IT-Forensik und Forensische Softwareprodukte in Deutschland

Unter IT-Forensik ist wohl noch am ehesten ein methodisches Vorgehen zur Aufklärung von Straftaten unter Verwendung von IT-Systemen zu verstehen (so die „Definition“ durch das BSI, siehe im BSI-Leitfaden).

Welche forensischen Softwareprodukte werden in Deutschland verwendet? Ich habe derzeit Kenntnis von diesen Programmen, die zur Aufklärung von Cybercrime eingesetzt werden (die Liste basiert auf meinen eigenen Eindrücken und einer Mitteilung der Bundesregierung, es ist soll auf keinen Fall eine abschliessende Übersicht über Forensiksoftware insgesamt sein!):

Cellebrite,
MSAB,
Elcomsoft,
Grayshift,
Oxygen Forensic,
X-Ways,
Access Data
Magnet Forensics
osTriage

Soweit man immer wieder von geplanten Staatstrojanern liest ist mir derzeit kein aktueller Sachstand eines in Deutschland einsatzbereiten Trojaners bekannt. Mit Stand Januar 2019 wurde im Bundestag (Drucksache 19/6828) zuletzt bekannt gegeben, dass eine geplante Aufstockung von Mitteln zur Stärkung von „Entschlüsselungskapazitäten“ bei Europol nach Kenntnis der Bundesregierung nur die forensische Entschlüsselung von sichergestellten elektronischen Beweismitteln beträfe.

X-Ways Forensics

Die Software „X-Ways Forensics“ ist jedenfalls nach meiner Wahrnehmung der de-Facto -Standard bei digitalen Ermittlungsmaßnahmen der Polizei. Hierbei handelt es sich um ein „forensisches Datensicherungstool“, das in der Praxis so verwendet wird: Die Festplatte wird mit einem „Writeblocker“ versehen und dann an den Polizeirechner angeschlossen, so dass ein vollständiges Image erstellt werden kann, dieses kann dann später mit XWAYS analysiert werden.