Der 8. Anwendertag IT-Forensik fand am 26. September 2017 im Fraunhofer SIT in Darmstadt statt. Das zentrale Thema in diesem Jahr war das »Darknet« und die Referenten beleuchteten das Thema aus verschiedensten Perspektiven. Sie spannten einen Bogen von Forschungsfragen über Weiterbildungskonzepte bis hin zu konkreten Ermittlungen im Darknet.

In den Pausen nutzten die Besucher die Gelegenheiten zur Kontaktpflege und zum Erfahrungsaustausch. Ebenso nutzten sie die Gelegenheit, sich am Ausstellungsstand von Magnet Forensics zu deren Analysewerkzeugen zu informieren.

Zu den Vortragsfolien.

Aus der Wissenschaft

Paulina Pesch vom Karlsruher Institut für Technologie stellte technische und rechtliche Herausforderungen und Lösungsansätze bei der Bekämpfung von Straftaten mit Bitcoins vor. Sie legte dar, dass Bitcoin kein anonymes, sondern ein pseudonymes Geldsystem ist. Zusätzlich bietet die öffentliche Blockchain eine extreme Transparenz und eröffnet dadurch gute Ermittlungsmöglichkeiten. Ebenfalls ging Paulina Pesch auf die Rechtsnatur des virtuellen Geldes und die Ermächtigungsgrundlagen der Strafprozessordnung ein. Schließlich schlug sie vor, die Nutzung kriminell erworbener Bitcoins durch schwarze Listen zu erschweren und einen Missbrauch von Bitcoin für kriminelle Aktivitäten dadurch unattraktiv zu machen.

Kai Denker von der TU Darmstadt stellte das interdisziplinäre Projekt PANDA vor. Er motivierte das Projekt durch die technischen Schwierigkeiten und die implizierten Kollateralschäden, die bei dem Versuch, das Tor-Netz abzuschalten, entstehen würden. In dem Projekt arbeiten das Fraunhofer SIT und die TU Darmstadt an der Erforschung von »Parallelstrukturen, Aktivitätsformen und Nutzerverhalten im Darknet«, um technische und rechtliche Maßnahmen gegen kriminelle Aktivitäten im Darknet zu entwickeln. An dem Beispiel des Komplexbegriffs »Anonymität« zeigte Kai Denker, wie eine interdisziplinäre Behandlung des Darknets nötig und möglich ist.

Weiterbildung und Unterstützung für Ermittler

Martin Steinebach vom Fraunhofer SIT stellte das Lernlabor Cybersicherheit und darin insbesondere das Themenfeld IT-Forensik vor. In diesem Rahmen werden berufsbegleitende Schulungen zu verschiedenen Themen angeboten und entwickelt. Martin Steinebach lud dazu ein, Bedürfnisse aus der Praxis sowohl in die Entwicklung der Schulungen als auch in die Forschung am Fraunhofer SIT einzubringen.

Roman Povalej stellte das Ausbildungsprogramm der Polizeiakademie Niedersachsen für den Bereich Cybercrime vor. In der jüngsten Novelle des generischen Curriculums wurde dem Bereich Cybercrime mehr Unterrichtszeit eingeräumt. Zusätzlich werden Ermittler und Forensiker als Spezialisten für den Bereich Cybercrime ausgebildet. Roman Povalej machte deutlich, dass die Polizei stets mit dem technologischen Wandel Schritt halten muss und in naher Zukunft in Ermittlungen beispielsweise auch mit Smart Homes, IoT-Geräten und autonomen Fahrzeugen umgehen können muss.

Geoff MacGillivray von Magnet Forensics stellte Strategien für Ermittlungen gegen Täter im Dark Web vor. Auch wenn die Anonymisierung durch Tor gut funktioniert, gibt es verschiedene Möglichkeiten, beweisrelevante Daten zu sammeln. Auf beschlagnahmten Geräten sind etwa Bitcoin-Wallets wertvolle Informationsquellen. Aber auch bevor man einen Verdächtigen hat, können nützliche Informationen gewonnen werden, beispielsweise durch Nutzernamen, die bei verschiedenen Diensten im Dark Web und Clear Web auftreten und zusammengeführt werden können.

Praxis: Ermittlungen und Erfahrungen

Dirk Häger vom Bundesamt für Sicherheit in der Informationstechnik stellte ein breites Spektrum von Erfahrungen aus seiner Arbeit vor. Bei der Analyse von infizierten Systemen untersucht er die Logdaten ganz »handwerklich« mit Linux-Systemwerkzeugen statt lange Lade- und Vorverarbeitungszeiten von typischen Forensikwerkzeugen in Kauf zu nehmen. Auch von dem Erfolg der international koordinierten Abschaltung der Botnetz-Infrastruktur Avalanche berichtete er, ebenso wie von der Erkenntnis, dass auch mehr als ein halbes Jahr nach der Abschaltung ein Großteil der infizierten Bots von ihren Besitzern immer noch nicht bereinigt wurden.

Reinhard Tencz vom LKA Baden-Württemberg schilderte, welche Kompetenzen und Strukturen zur Bekämpfung von Cybercrime aufgebaut wurden – etwa die Cyberwehr und die Zentrale Ansprechstelle für Cybercrime (ZAC) – und wie die Sonderlaufbahn Cybercrime in der Polizei geschaffen wurde. Er zeigte, dass das LKA Baden-Württemberg gut vernetzt ist, aber forderte auch eine weitergehende Zusammenarbeit zwischen den verschiedenen Behörden und Ressorts bei Bund und Ländern sowie eine übergreifende Bündelung von Kompetenzen. Schließlich gab er einen Ausblick zu Technologien, mit denen sich die Polizei in den kommenden Jahren befassen muss.

Cai Rüffer von der Generalstaatsanwaltschaft Frankfurt und Jürgen Gause vom Bundeskriminalamt stellten verschiedene Ermittlungsmethoden gegen Täter, die das Darknet benutzen, vor. Sie erläuterten, dass die Ermittlung meist gelingt, wenn der Täter einen kleinen Fehler bei der Verschleierung seiner Identität in der digitalen oder realen Welt macht, und dass es nur eine Frage der Zeit ist, bis ein solcher Fehler passiert. Zum Abschluss präsentierten sie detailliert die spannenden Ermittlungen gegen den Waffenhändler zu dem Amoklauf vom Juli 2016 in München sowie gegen die Betreiber des Darknet-Marktplatzes Hansa Market.

Autor: Christian Winter

Vorträge

• »Ermittlungen in der Blockchain – Verfolgung von Straftaten mit Bitcoins und Alt-Coins« von Paulina Jo Pesch, Karlsruher Institut für Technologie (KIT)
• »PANDA: Ein neues interdisziplinäres Projekt in der zivilen Sicherheitsforschung« von Kai Denker, TU Darmstadt
• »Lernlabor Cybersicherheit – IT-Forensik« von Martin Steinebach, Fraunhofer SIT
• »Aus- und Fortbildung im Bereich Cybercrime: Herausforderungen der digitalen Welt effizient begegnen« von Roman Povalej, Polizeiakademie Niedersachsen
• »Shining a Light on Dark Web« von Geoff MacGillivray, Magnet Forensics
• »Erfahrungen aus Cyber-Angriffen und Anforderungen an die Netzsicherheit« von Dirk Häger, Bundesamt für Sicherheit in der Informationstechnik (BSI)
• »Cybercrime – Ein Bericht aus der polizeilichen Praxis« von Reinhard Tencz, LKA Baden-Württemberg
• »Ermittlungen im Darknet« von Cai Rüffer, Generalstaatsanwaltschaft Frankfurt am Main und Jürgen Gause, Bundeskriminalamt

Veranstaltungsort

Fraunhofer SIT in Darmstadt

Datum

26. September 2017