Abo

Ermittlungen nach Mord oder TerrorAuch digital gibt es das „perfekte Verbrechen”

Lesezeit 4 Minuten
13082019_kra_polizeiIT020

Der Arbeitsplatz der Computerforensiker erinnert an eine Tüftlerwerkstatt.

  • Ob nach Mordfällen, Einbrüchen oder bei Terrorverdacht: Elektronische Daten auf Computern und Smartphones liefern oft wichtige Anhaltspunkte.
  • Es ist Job der Computerforensiker der Polizei, genau an diese heranzukommen. Doch das ist nicht immer ganz einfach.
  • Wie gehen die IT-Spezialisten vor?

Köln – Der Täter schießt, als Carmen W. (Name geändert) gerade telefoniert. Glas splittert, das Display bricht. Die Kugel hat ihren Kopf durchbohrt, sie ist am Ohr wieder ausgetreten und im Handy steckengeblieben. Carmen W. sackt zusammen und stirbt kurz darauf an ihren schweren Verletzungen.

Der Polizei stellen sich viele Fragen, unter anderem: Mit wem hat W. telefoniert? Der- oder diejenige könnte ein wichtiger Zeuge sein. Haben auch Täter und Opfer vor dem Schuss noch über Handy kommuniziert, vielleicht einen Streit via Whatsapp ausgetragen? Welche Informationen über den Täter befinden sich überhaupt auf W.’s Smartphone? Das Problem: Durch den Einschlag der Kugel ist das Handy schwer beschädigt worden, aber eben nicht komplett zerstört – ein Fall für die Computerforensiker des Kriminalkommissariats 35.

Seit 15 Jahren gibt es diese Dienststelle bei der Polizei Köln. Geleitet wird sie vom Ersten Kriminalhauptkommissar Michael Radke. Die Experten – derzeit fünf Polizeibeamte und fünf Informatiker – sind immer dann gefragt, wenn es gilt, elektronische Daten auf Festplatten, PCs, Navigationsgeräten, Tablets oder Handys zu sichern und so aufzubereiten, dass die Ermittler aus den verschiedenen Kommissariaten sie auswerten können.

Alles zum Thema Polizei Köln

Allein in diesem Jahr haben die IT-Spezialisten des KK35 in 664 Fällen insgesamt 1366 Handys untersucht und 193 Terabyte an Daten von PC-Systemen gesichert – eine enorme Menge. Während PC-Daten immer weniger werden, wächst die Masse an Daten auf mobilen Geräten. Daher soll das Kommissariat demnächst personell aufgestockt werden. Zurzeit hat die Polizei fünf zusätzliche Stellen für Informatiker ausgeschrieben. „Wir freuen uns auf die Bewerbungen“, sagt Michael Radke. Zwei weitere Polizeibeamte sollen das Team außerdem noch verstärken.

Greifarme helfen beim Auslesen

Im Fall des zerschossenen iPhones waren die IT-Fahnder erfolgreich: Sie besorgten sich ein neues, baugleiches Modell, tauschten die kaputten Bauteile gegen neue aus, brachten das Smartphone so wieder ans Laufen – und konnten sogar Daten aus den zerstörten Bereichen des Handy-Innenlebens rekonstruieren. Das gelingt nicht selten. Dabei hilft den Ermittlern spezielle Software und der „VR Table“: ein Gerät mit Greifarmen, das die Speicherchips direkt auf der Smartphone-Platine auslesen kann, ohne dass die Chips dafür aufwendig von der Platte gelöst werden müssten.

Bei der Polizei gibt es wahrscheinlich keine Dienststelle, die mit derart vielen unterschiedlichen Straftaten in Berührung kommt wie die Spezialisten des KK35. „Elektronische Daten werden ja in fast allen Bereichen gesichert“, sagt Michael Radke – die meisten im Bereich Kinderpornografie.

Aber auch nach Einbrüchen, wenn es zum Beispiel darum geht, den Tätern anhand von Daten aus Navigationsgeräten nachzuweisen, wo sie unterwegs waren. Nach Unfällen, wenn der Verdacht besteht, dass der verunglückte Autofahrer auf seinem Handy herumgespielt hat. Oder wenn sich zwei Autofahrer mutmaßlich ein illegales Rennen geliefert haben und geprüft werden soll, ob sie sich vorher via Handy dazu verabredet haben. Die IT-Ermittler werden auch zu Rate gezogen, wenn es darauf ankommt, anhand von GPS-Daten auf Smartphones Standorte von Tätern oder Opfern zu rekonstruieren. Aber auch bei Betrug, Wirtschaftskriminalität und Terrorverdacht ist das KK35 gefragt – wie zuletzt, als in Düren mutmaßliche islamistische Terroristen vorübergehend in Gewahrsam genommen worden waren.

Trial and Error beim Passwortknacken

Schwierig sind Fälle, in denen Computer oder mobile Geräte mit Passwörtern gesichert sind. „Wir haben die Daten zwar vorliegen, können sie aber nicht auswerten“, sagt Radke. Oft könnten die Tatverdächtigen überredet werden, die Passwörter herauszurücken. Manchmal gelingt es auch, ein Gerät auf anderem Wege hochzufahren (zu „booten“) und die Verschlüsselung so zu umgehen.

Aber oft genug bleibt auch nur die Methode „Trial and Error“. Die Experten sprechen von „bruteforcen“. Radke erklärt: „Wir probieren einfach denkbare Passwörter aus.“ Viele Nutzer machen es den Ermittlern einfach: Sie wählen schlicht ihr Geburtsdatum, den Namen des eigenen Kindes oder den des Hautieres. Andere – zum Beispiel Rocker – verwenden gerne szenetypische Begriffe.

Hilft all das nicht weiter, schreiben die Informatiker ein Programm, das den Pin Code entschlüsseln soll: Dabei füttern sie die Software mit einer Liste von Wörtern, die mit dem Tatverdächtigen in Zusammenhang stehen – zum Beispiel Wörter und Begriffe, die sich auf anderen elektronischen Geräten wie Festplatten oder PCs desjenigen befinden – vorausgesetzt, die Ermittler haben Zugriff darauf. „Intelligentes bruteforcen“ nennt Michael Radke diese Methode. „Manchmal scheitern wir aber auch damit“, räumt Radke ein. „Wenn ein Täter seine Daten fehlerlos verschlüsselt, kommen wir nicht dran. Das ist dann wie das perfekte Verbrechen.“

KStA abonnieren