IT-Forensik: Digitale Spurenjäger

Direkt zur Kontaktinformation
Festplatte

Bild: Polizei Berlin

Bei der Aufklärung von Straftaten spielen der Tatort und seine Spuren eine wichtige Rolle. Doch nicht nur Fingerabdrücke, Faserrückstände & Co. überführen Straftäter. Auch digitale Spuren helfen, Täterinnen oder Täter zu fassen.

Die IT-Forensik des LKA Berlin ist darauf spezialisiert, digitale Daten auf Handys, Notebooks, Chipkarten, Drohnen, etc. zu sichern. Sie selbst führen keine Ermittlungen durch, leisten aber wertvolle Ermittlungsunterstützung für andere Dienststellen.

"Wir bearbeiten alles, von Beleidigung bis Mord."

Der Arbeitsbereich gliedert sich in vier Kommissariate mit 39 Mitarbeitenden. Das Spektrum der Aufgaben und der zu bearbeiteten Delikte ist groß. Mal gilt es eine Serie an Brandstiftungen aufzuklären, in anderen Fällen drehen sich die Ermittlungen um Wirtschaftskriminalität, Kindesmissbrauch oder Clan-Kriminalität. „Wir bearbeiten alles“, so Gero Gebert, Leiter des Bereichs IT-Forensik, „von Beleidigung bis Mord“.

Ein Beispiel aus der Praxis: Ein Radiomanager wird von einem unbekannten Mann attackiert und schwer verletzt. So schwer, dass er nur knapp überlebt. Das Landeskriminalamt findet heraus, dass das Opfer mit einer Frau liiert war, die zugleich ein Verhältnis mit einem Anderen hatte. Dieser Mann gilt als tatverdächtig. Die Polizei kann zunächst nicht nachweisen, dass er am Tatort war. Die IT-Forensik wird eingeschaltet.

Welche Webseiten wurden aufgerufen? Wo war der Tatverdächtige?

Die Computer-Spezialisten ermitteln, dass jemand auf das Notebook der Frau zugegriffen hat, als diese im Urlaub war. Jemand hat dort die Adresse des Opfers recherchiert. Das Forensik-Team gräbt weiter und durchforsten den Rechner des mutmaßlichen Täters. Dort lässt sich nachweisen, dass er den BVG-Planer aufgerufen hat. Eingegebenes Ziel: die Privatadresse des Opfers, Tag und Uhrzeit stimmen mit der Tatzeit überein. Die IT-Forensik hat das fehlende Puzzle-Teil gefunden.

In einem anderen Fall konnte ein Serienbrandstifter dank der IT-Fachleute gestellt werden. Der Verdächtige hatte behauptet, zur Tatzeit nicht am Tatort gewesen zu sein. Die Bewegungsdaten des Mannes ließen sich über die Google-Cloud rekonstruieren und bewiesen das Gegenteil. Der Lüge überführt, gestand er schließlich.

Bildvergrößerung: Gero Gebert (li) mit einem seiner Windows-Forensiker

Teamleiter Gero Gebert (li) mit einem Windows-Forensiker

Bild: Polizei Berlin

Tatort oder Büro: „Man weiß nie, was einen erwartet“

„Der Job ist spannend“, so Teamchef Gebert, „man weiß nie, was einen erwartet“. Bei der Arbeit ist ein hohes Maß an Gründlichkeit gefragt. Denn am Ende müssen die ermittelten Daten vor Gericht Bestand haben.

IT-Forensiker/innen treten vor Gericht auch als sachverständige Zeugen oder als Sachverständige auf. Bei aller erforderlichen Hartnäckigkeit „muss man aber auch wissen, wann Schluss ist“, meint Gebert. „Manchmal gibt es einfach keine verwertbaren Daten“ und es gilt, sich dem nächsten Fall zu widmen.

Regelmäßig sind die IT-Spezialisten auch direkt am Tatort dabei. Sie helfen z. B. bei Tötungsdelikten den Todeszeitpunkt zu bestimmen, indem sie feststellen, wann der Smart-TV das letzte Mal genutzt oder wann mit wem per Handy gechattet wurde. Hilfreich kann ihre Anwesenheit auch sein, wenn ein Rechner am Tatort noch eingeschaltet ist. Sie setzen dann einen so genannten „Mouse-Jiggler“ ein. Dieses Gerät imitiert die Mausbewegung der Hand und verhindert so, dass eine Bildschirmsperre greift. Sind die Daten erst einmal gesperrt oder sogar verschlüsselt wird es kompliziert.

Große Bandbreite an Softwaretools und Werkzeugen

Innerhalb des Teams gibt es Spezialisierungen wie die Mobilfunk- oder Windowsforensik. Die genutzte Software ist anspruchsvoll in der Nutzung, wurde teilweise selbst entwickelt. Um die Daten zu extrahieren ist der „Writeblocker“ das wichtigste Werkzeug. Über dieses Gerät lassen sich Informationen auslesen, ohne dass Daten beim Anschließen überschrieben werden. Damit bleiben wichtige Inhalte unberührt, z. B. die Information, wann das Gerät das letzte Mal eingeschaltet wurde.

Die genutzten Tools reichen von Miniaturwerkzeugen für Handys bis hin zu Lötkolben oder überdimensionierten Spezialfräsen. Mit diesen Werkzeugen geht es an das so genannte „Chip-Off-Verfahren“. Mit großer Präzision werden hier die Speicherchips mechanisch aus den Geräten gelöst, um sie später auszuwerten.

  • Handyfund am Tatort

    Handyfund am Tatort – Verdacht eines Tötungsdelikts

    Bild: Polizei Berlin

  • Sichergestelltes Mobiltelefon

    Forensischen Datensicherung zur Feststellung der Personalien

    Bild: Polizei Berlin

  • Writeblocker

    Datenträger werden zunächst an einen Writeblocker angeschlossen

    Bild: Polizei Berlin

  • Mobilfunkforensiker bei der Arbeit

    Mobilfunkforensiker bei der Arbeit

    Bild: Polizei Berlin

  • Große Maschine, kleiner Chip

    Große Maschine, kleiner Chip

    Bild: Polizei Berlin

  • Chip Makroaufnahme

    Datenextraktion mit Spezial-Fräsmaschine

    Bild: Polizei Berlin

  • Datenträger werden vorsichtig mit Schutzhandschuhen untersucht

    Datenträger werden vorsichtig mit Schutzhandschuhen untersucht

    Bild: Polizei Berlin

  • HDD-Inhalte werden gesichert

    HDD-Inhalte werden gesichert

    Bild: Polizei Berlin

  • Entfernen eines Speicherchips im Lötverfahren

    Entfernen eines Speicherchips im Lötverfahren

    Bild: Polizei Berlin

  • Datenextraktion

    Die Datenextraktion war erfolgreich

    Bild: Polizei Berlin

  • Bohrung an Festplatte

    Leiterplatte eines Navis wird kontaktiert

    Bild: Polizei Berlin

  • Polizeiabschnitt in Schöneberg

    Arbeitsstelle in Berlin Schöneberg

    Bild: Polizei Berlin

Die IT-Forensik hat ein hohes Arbeitspensum zu bewältigen. Im letzten Jahr wurden allein 5.672 Untersuchungsobjekte bearbeitet. Das entspricht einer Datenmenge von 1.361 Terabyte. Der Begriff „Tera“ geht zurück auf das griechische Wort „Ungeheuer“ – und das nicht ohne Grund. Die Datenmenge ist immens. Zum Vergleich: Ein einziges Terabyte entspricht 6,5 Millionen beschriebenen Din-A4-Seiten oder auch 1.300 prall gefüllten Aktenschränken.

Was muss man mitbringen, um Teil des Teams zu werden?

Das Kommissariat sucht regelmäßig neue Mitarbeiterinnen und Mitarbeiter mit abgeschlossenem Studium im Bereich IT. „Keiner wird hier ins kalte Wasser geschubst“, ermutigt Teamleiter Gebert. Wer neu einsteigt, wird systematisch an die neuen Aufgaben herangeführt. Auch die rechtlichen Rahmenbedingungen werden im Zuge der praktischen Arbeit vermittelt. Derzeit ist die IT-Forensik eine reine Männerdienststelle. Bewerbungen von qualifizierten Frauen sind daher besonders gern gesehen und ausdrücklich erwünscht.

Wichtig für den Einstieg sind:
  • die Fähigkeit, genau zu arbeiten,
  • eine hohe IT-Affinität,
  • ein ausgeprägtes analytisches und technisches Verständnis,
  • Neugier, Lernbereitschaft und Engagement.

„Keiner ist Experte für alles“, so der Leiter des Kommissariats. „Vieles kann man lernen, manchmal ist es aber auch wichtig, andere um Hilfe zu bitten.“ Teamfähigkeit ist daher auch hier unverzichtbar.

Offene Stellenangebote sind im Berliner Karriereportal zu finden. Interessierte können sich auch gern direkt per E-Mail an Herrn Gebert wenden: LKA71@polizei.berlin.de. Weitere Information zum LKA 7 erhalten Sie auf unseren Internetseiten.

Weitere Informationen zu diesem Auftritt

zum Seitenanfang