„Man muss schon hart im Nehmen sein“: Was macht ein IT-Forensiker?

Bonn. Rollladensteuerung aktivieren, Bewegungsmelder installieren, Alarmanlage scharf stellen? Das hilft bei Cyberkriminellen nicht. Denn sie wählen für ihre verbrecherischen Geschäfte digitale Wege. Beute machen sie überall dort, wo Computer, Smartphones und andere vernetzte Geräte im Einsatz sind. Auch an Landesgrenzen machen sie nicht halt.

Cyberkriminalität hat viele Facetten: „Unsere Aufgabe ist es herauszufinden, was genau passiert ist und wie es dazu kommen konnte“, erklärt Maximilian Winkler, Bundesamt für Sicherheit in der Informationstechnik, der mit seinem Team bei Cyberangriffen ermittelt. Zu seinen Kunden und Kundinnen gehören vor allem Bundes- und Landesverwaltungen sowie Organisationen und Einrichtungen, die zur kritischen In­frastruktur zählen – wie beispielsweise große Energieunternehmen. „Durch die zunehmende Digitalisierung gibt es auch immer wieder neue Sicherheitslücken und Schadsoftware“, sagt Winkler. „Da wächst der Bedarf an Fachkräften, die sich mit IT-Systemen und Computernetzwerken auskennen.“

Anderer Tatort, gleiche Herangehensweise

Wie bei den Kriminalistinnen und Kriminalisten, die vor Ort recherchieren, ist auch im Cyberteam Spürsinn gefragt, wenn es darum geht, den Tathergang zu rekons­truieren. „Wie bei einem Dieb, der in ein Haus eingebrochen ist, muss geklärt werden: Wie ist er reingekommen? Was hat er entwendet? Hat er sich ein Schlupfloch geschaffen, durch das er immer wieder einsteigen kann? Oder ist er eventuell sogar noch drin?“ Diese Informationen würden vom Team entsprechend ausgewertet, „um daraus zu lernen und unter Umständen andere Unternehmen zu warnen“, erklärt der Experte weiter.

„Wer gern rätselt und Verständnis für IT-Systeme hat, ist bei uns richtig“, wirbt der 41-Jährige, der in Bonn seinen Arbeitsplatz hat. 180 Kilometer entfernt arbeitet Mario Lämmerhirt. Auch er ist IT-Spezialist – im Polizeipräsidium Nordhessen, Abteilung digitaler Erkennungsdienst. Dort werden Handys und Navigationsgeräte ausgewertet, Alexa und Siri „befragt“, Festplatten und USB-Sticks durchsucht. „Man muss schon hart im Nehmen sein“, sagt der 43-Jährige, der als Quereinsteiger in die Digitalforensik gekommen ist. „Wir haben es hier nicht nur mit Diebstahl zu tun – auch Mord und Kinderpornografie gehören dazu.“

Extremfälle und Erfolge

Doch in der Regel ist auch Lämmerhirt bei seiner Arbeit nicht an einem Tatort, sondern recherchiert im World Wide Web: „Wir suchen die beweisrelevanten Daten im Netz. Schließlich hinterlässt ja heutzutage so gut wie jeder dort seine Spuren. Mitunter findet man auf dem Handy einen lückenlosen Lebenslauf“, erläutert der gelernte staatlich geprüfte Techniker für Informationstechnik. „Im Extremfall aber auch ein Propagandavideo, das zeigt, wie jemand enthauptet wird.“

Belastendes Material, das auch Lämmerhirt mitunter zusetzt. „Umso mehr freut es mich, wenn unser Team Spuren sichern oder sogar Beweise liefern kann, damit die Täter überführt werden“, sagt der IT-Spezialist, der auch sogenannte Trugspuren erkennt. „Trugspuren sind falsch gelegte Fährten. Zum Beispiel, wenn ein Mörder die Heizung voll aufdreht, um den Verwesungsprozess zu beschleunigen – und damit den Tatzeitpunkt verschleiern will.“ Oft dauern die Ermittlungen Wochen oder Monate. Das gehe nicht so flott wie im Sonntags-„Tatort“. Aber vieles, was in der Kriminalfilmreihe von seiner Arbeit gezeigt werde, sei schon „recht realistisch“, sagt Lämmerhirt.

Von Katrin Schreiter/RND