Matthias Berg, Hessisches Landeskriminalamt

► Matthias Berg, Leiter des Bereichs Digitalforensik im Hessischen Landeskriminalamt (HLKA)

Computer, Smartphones, Fitness-Tracker, intelligente Häuser und Fahrzeuge – die Digitalisierung schreitet in sämtlichen Lebensbereichen voran. Die Datenbank „Statista“ prognostiziert, dass sich die Zahl der Geräte, die mit dem Internet verbunden sind („Internet of Things“), weltweit von 11,3 Milliarden im Jahr 2020 auf 29,4 Milliarden im Jahr 2030 vervielfachen wird. Jedes dieser Geräte sammelt digitale Informationen, speichert sie oder gibt sie weiter – autark und vollautomatisiert. Für die Polizei ergeben sich daraus Chancen und Herausforderungen zugleich: Smarte Geräte können Unmengen an digitalen

Spuren verursachen. Tatorte, die früher ausschließlich analog betrachtet wurden, müssen aus digitaler Sicht bewertet werden, denn die Beweiskraft digitaler Spuren wächst. Im Rahmen polizeilicher Ermittlungen werden sie identifiziert, gesichert, analysiert und ausgewertet. Die Digitalforensik im Hessischen Landeskriminalamt (HLKA) umfasst die Bereiche Computer- und Mobilfunkforensik, Netzwerkforensik sowie den Digitalen Erkennungsdienst (DED). Die Forensik-Mitarbeiterinnen und Mitarbeiter stehen ihren Kolleginnen und Kollegen aus den Präsidien mit fachlicher Expertise zur Seite – vor, während und nach operativen Durchsuchungsmaßnahmen mit IT-Bezug. Die forensische Sicherung digitaler Spuren verschiedenster Quellen sowie deren Aufbereitung für die sich anschließende Bearbeitung gehören zu den Serviceaufgaben, die das HLKA für die hessischen Polizeipräsidien und andere Behörden erbringt. Zudem fertigen die Mitarbeiterinnen und Mitarbeiter Auswertungsberichte und Sachverständigengutachten für andere Fachdienststellen, für Staatsanwaltschaften und Gerichte an.

Systeme analysieren, Einbruchsversuche in Netzwerke erkennen Kernaufgabe der Digitalforensik ist die Auswertung von Computern und Mobilfunkgeräten. Darüber hinaus wurde bereits vor über zehn Jahren im HLKA der Bereich der Netzwerkforensik eingerichtet.

Aufgaben sind die Überwachung und Analyse laufender Systeme und Netzwerke. Ziel ist es, Informationen zu gewinnen und Beweise – etwa für Einbrüche oder Einbruchsversuche in Netzwerke – für die Strafverfolgung zu sichern. Auch werden Daten aus DSL- und Server-Überwachungen analysiert. Die Menge der digitalen Spuren und der dafür auszuwertenden Daten nimmt, wie bereits eingangs geschildert, kontinuierlich zu. Das stellt die Polizei ebenso vor Herausforderungen wie der vermehrte Einsatz von Verschlüsselungstechniken, der sich auf Dateien, ganze Datenträger und Netzwerke erstrecken kann. Das Entschlüsseln gewinnt daher an Bedeutung. Viele Rechner sind trotz starker Prozessoren und der damit einhergehenden großen Rechenleistung „Tatorte, die früher ausschließlich nicht in der Lage, moderne Verschlüsselungsanalog betrachtet wurden, müssen aus methoden in angemessener Zeit zu überwinden. digitaler Sicht bewertet werden, denn die Für solche Dekryptierungsaufgaben werden soge-

Beweiskraft digitaler Spuren wächst.“ nannte GPU-Cluster betrieben – Prozessoren mit mehreren hundert Kernen, die in der Lage sind, komplexe parallele Berechnungen durchzuführen. Die Mitarbeiterinnen und Mitarbeiter der Netzwerkforensik des HLKA unterstützen darüber hinaus beim Auffinden und Sichern von Krypto-Währungen und bei der Untersuchung und Begutachtung sogenannter Skimming-Geräte, mit denen beispielsweise Daten von Bank- und Kreditkarten ausgespäht werden können. Die Netzwerkforensiker beschäftigen sich unter anderem mit von Privatpersonen angeschafften Drohnen. Die Fluggeräte, die eigentlich zum Fertigen von Bild- und Videoaufnahmen bestimmt sind, enthalten digitale Daten, beispielsweise aufgezeichnete Flugrouten. Schwerpunkt auf Kfz-Forensik gelegt Auch der DED ist ein Teil der Digitalforensik. Bereits 2020 wurden im HLKA und in jedem der sieben hessischen Polizeipräsidien DED-Einheiten eingerichtet. Hessen war damit eines der ersten Bundesländer, das sich diesem Thema widmete. Zielrichtung des DED ist der polizeiliche Kompetenzaufbau im Bereich Smart Home, der Gebäudeautomatisierung, Bild- und Videoforensik sowie der Kfz-Forensik. Für Letzteres wurde im HLKA eine Schwerpunktdienststelle eingerichtet. Die dortigen Mitarbeiterinnen und Mitarbeiter beschäftigen sich mit der Sicherung, Aufbereitung und Interpretation von Daten, die in verbauten technischen Geräten (z. B. Infotainment-Systemen, Navigationsfesteinbauten und Steuergeräten) in Fahrzeugen gespeichert werden. Weitere DED-Schwerpunktdienststellen wurden im Polizeipräsidium

Nordhessen für den Bereich Smart Home sowie im Polizeipräsidium Frankfurt für den Bereich Bild- und Videoforensik eingerichtet. Die DED-Einheiten arbeiten eng zusammen. Zu den einzelnen Themen werden bei den Schwerpunktdienststellen Methodenentwicklungen betrieben, die dem Verbund im Anschluss bereitgestellt werden. Der DED kooperiert eng mit den klassischen Erkennungsdiensten und orientiert sich dabei an deren etablierten Abläufen und bestehenden Verfahren.

Studium zum Cyber-Kriminalisten in Hessen möglich

Um mit der rasanten technischen Entwicklung Schritt zu halten, kommt der internen und externen Fortbildung sowie der nationalen und internationalen Vernetzung in diesen Themenbereichen eine hohe Bedeutung zu. Der wachsenden Bedeutung der Digitalforensik wurde auch im Bereich der Aus- und Fortbildung in der hessischen Polizei Rechnung getragen: Angehende Polizeibeamtinnen und -beamte können bereits in ihrem Studium den Schwerpunkt Cyber-Kriminalistin beziehungsweise Cyber-Kriminalist wählen und somit Grundlagen für eine spätere mögliche Tätigkeit in der Digitalforensik legen.

Erster Kriminalhauptkommissar Matthias Berg leitet im Hessischen Landeskriminalamt den Bereich der Digitalforensik.

Foto: BS/HLKA

Software-Innovationen vom Schweizer Marktführer im Polizeibereich

Neu

Prozess-orientiert - intelligent - modern - flexibel - integriert - sicher - performant Hoher Automationsgrad - erlaubt komplexe Sachverhalte - Auswertungen/Berichte Voll Web-basiert - Multimedia-fähig - flexible Mobile Apps (z.B. für Fahndung)

LogObject – Zürich, Pisa, München, Oberhausen – www.logobject.com