Uli Blumenthal: "Sticks auf den Tisch", hieß es mal vor einigen Jahren in Forschung aktuell. Wenn Ermittler und Staatsanwälte das fordern, dann folgt dem meist eine forensische Untersuchung. Und genau die ist mit den Standard-Werkzeugen unsicher geworden. Daten auf sichergestellten USB-Sticks taugen nämlich nicht mehr in jedem Fall als Beweismaterial in einem Ermittlungsverfahren. Zu oft sind auch auf gerade gekauften Sticks alten Daten. Wie kommen die alten Daten auf neue USB-Sticks, Peter Welchering?
Peter Welchering: Das liegt am Recycling. Damit die Sticks kostengünstig produziert werden können, greifen die Stick-Hersteller auf ausrangierte Speicherchips zurück, die vorher in Smartphones gesteckt haben. Und über diese Speicherchips gelangen eben Daten von alten Smartphones auf die fabrikneuen Sticks.
Laxer Umgang mit alten Datensätzen
Uli Blumenthal: Werden die Daten auf den Speicherchips nicht vor dem Einbau in die USB-Sticks gelöscht?
In den meisten Fällen nicht. Gelöscht werden müssten die Daten, solange die Speicherchips noch im Smartphone stecken. Das machen viele Smartphone-Besitzer aber nicht. Die Hersteller von USB-Sticks könnten natürlich nach dem Einbau noch mal den Stick in die Hand nehmen und komplett löschen, falls noch Daten aus dem Recycling dahin gelangt sind. Aber das ist ein zusätzlicher Arbeitsschritt, das kostet zusätzlich, deshalb lässt man es einfach sein.
Weitere forensische Analysen sind bislang nötig
Uli Blumenthal: Was bedeutet das für die Untersuchungen der digitalen Forensiker?
Peter Welchering: Zusätzliche Arbeit. Bisher galt ja so die Beweiskette: Wenn bei einer Durchsuchung Sticks gefunden werden und auf diesen Sticks sind Bilder und Dokumente, dann können diese Bilder oder Dokumente dem Stick-Besitzer auch zweifelsfrei zugeschrieben werden. Fand sich also zum Beispiel kinderpornografisches Material auf solch einem Stick, reichte das in der Regel nicht nur für ein weiteres Ermittlungsverfahren aus, sondern auch für eine Verurteilung. Diese Beweiskette ist jetzt so nicht mehr haltbar. Es müssen weitere forensische Analysen gefahren werden.
Uli Blumenthal: Mit welchen zusätzlichen forensischen Methoden können da noch weitere Indizien gesammelt werden?
Japanische Ermittler schauen sich Clouds, Server, Endgeräte an
Peter Welchering: Zum einen müssen sich die Forensiker die Metadaten - etwa der Fotos oder der Dokumente - anschauen. Und dann müssen sie die Speichergeschichte dieser Dateien rekonstruieren. Bei der japanischen Polizei geht man zudem der Seriennummer des Speicherchips nach und kann dann zum Beispiel das Smartphone ermitteln, in dem der Speicherchips vorher verbaut war. Über die Geräteidentifikationsnummer kommen die japanischen Ermittler dann an die persönlichen Daten des Smartphone-Besitzers, also sozusagen des Vorbesitzers des Speicherchips.
Ist der bekannt, schauen sich die Ermittler an, was der zum Zeitpunkt der Smartphone-Nutzung in der Cloud des Mobilfunkproviders oder des Herstellers gespeichert hatte. Außerdem ermitteln sie, ob der damalige Smartphone-Besitzer noch weitere Clouds oder Speicher auf anderen Rechnern, Endgeräten oder Servern netzte und ob sich da Übereinstimmungen finden lassen, ob also die gefundenen Fotos oder anderen Dateien auf dem Stick diesem Smartphone-Besitzer zuzuschreiben sind und nicht dem Besitzer des Sticks. Das ist sehr aufwendig und klappt in der Praxis noch nicht wirklich befriedigend.
Einige Prozesse müssen wohl neu aufgerollt werden
Uli Blumenthal: Welche Konsequenzen müssen Staatsanwälte und Polizeibeamte daraus ziehen?
Peter Welchering: Künftig müssen sie zusätzliche forensische Analysen beauftragen. Aber die Justiz wird auch in einigen Fällen Prozesse neu aufrollen müssen, wenn der Verurteilte für seinen Fall Gründe vorbringen kann, dass die bisherige Beweiskette, die vom Fund auf dem Stick auf den Besitz des Materials geschlossen hat, so eben in seinem Fall nicht mehr gilt. Erstaunlicherweise gehen die Informatiker und digitalen Forensiker mit solchen Beweisketten sehr viel kritischer um, als etwa Staatsanwälte und andere Juristen. Da gibt es offensichtlich noch Nachholbedarf.