Wenn eine Datei von der Festplatte eines Computers entfernt wird, ist sie nicht endgültig verschwunden. Mit entsprechendem Aufwand und technischem Know-how ist es oft möglich, Dokumente und Fotos wiederherzustellen, die zuvor als gelöscht galten. Diese Art der Computerforensik ist ein wertvolles Instrument für Strafverfolgungsbehörden. Doch wie genau funktioniert sie?
Rechtliche Grundlagen für die digitale Spurensuche
Bevor wir uns in die technischen Details vertiefen, ist es wichtig, die rechtlichen und prozessualen Aspekte der Computerforensik im Zusammenhang mit Strafverfolgungsmaßnahmen zu betrachten.
Ein weitverbreiteter Irrtum ist, dass Polizeibeamte immer einen richterlichen Beschluss benötigen, um ein digitales Gerät wie ein Telefon oder einen Computer zu durchsuchen. Obwohl dies oft der Fall ist, gibt es im Rechtssystem zahlreiche Ausnahmen und Interpretationsspielräume.
Viele Rechtssysteme, beispielsweise in Großbritannien und den USA, erlauben Zoll- und Einwanderungsbeamten, elektronische Geräte ohne richterliche Genehmigung zu untersuchen. US-Grenzbeamte können den Inhalt von Geräten auch ohne richterlichen Beschluss überprüfen, wenn die Gefahr einer Beweismittelvernichtung besteht, wie ein Gerichtsurteil des 11. Bezirks aus dem Jahr 2018 bestätigt.
Britische Polizisten haben im Vergleich zu ihren amerikanischen Kollegen tendenziell mehr Freiheit bei der Beschlagnahme von Geräteinhalten, ohne einen Richter einzuschalten. Sie können beispielsweise den Inhalt eines Telefons unter Berufung auf das sogenannte Police and Criminal Evidence Act (PACE) herunterladen, selbst wenn keine formelle Anklage erhoben wird. Für eine detaillierte Analyse des Inhalts benötigen sie jedoch die Genehmigung eines Gerichts.
Die Gesetzgebung räumt der britischen Polizei unter bestimmten Umständen auch das Recht ein, Geräte ohne richterlichen Beschluss zu untersuchen, wenn Eile geboten ist – beispielsweise in Fällen von Terrorismus oder bei dringendem Verdacht auf sexuellen Missbrauch von Kindern.
Doch die Beschlagnahme eines Computers ist nur der erste Schritt in einem komplexen Prozess. Dieser beginnt damit, dass ein Laptop oder Telefon in einer manipulationssicheren Plastiktüte verwahrt wird, und endet oft mit der Vorlage von Beweismitteln vor Gericht.
Die Polizei muss eine Reihe von Regeln und Verfahren einhalten, um die Beweismittel vor Gericht verwenden zu können. Forensische Teams dokumentieren jeden ihrer Schritte, um die Möglichkeit einer Wiederholung und Überprüfung zu gewährleisten. Sie setzen spezielle Tools ein, um die Integrität der Dateien sicherzustellen. Ein Beispiel dafür ist ein sogenannter „Schreibblocker“, der es Forensikern ermöglicht, Informationen zu extrahieren, ohne die untersuchten Beweismittel zu verändern.
Der Erfolg einer computerforensischen Untersuchung hängt primär von dieser rechtlichen Basis und der Genauigkeit der Verfahren ab – und nicht von der technischen Expertise.
Festplatten und ihre Funktionsweise
Unabhängig von rechtlichen Aspekten ist es interessant, die Faktoren zu betrachten, die beeinflussen, wie einfach gelöschte Dateien für Strafverfolgungsbehörden wiederherstellbar sind. Dazu gehören der verwendete Datenträgertyp, die Verwendung von Verschlüsselung und das Dateisystem des Laufwerks.
Betrachten wir beispielsweise Festplatten. Obwohl sie von schnelleren Solid-State-Laufwerken (SSDs) zunehmend ersetzt werden, waren mechanische Festplatten (HDDs) über 30 Jahre lang das dominierende Speichermedium.
Festplatten verwenden magnetische Platten zur Datenspeicherung. Wer jemals eine Festplatte zerlegt hat, hat vielleicht bemerkt, dass sie CDs ähneln: rund und silbern.
Diese Platten rotieren im Betrieb mit sehr hohen Geschwindigkeiten – normalerweise entweder mit 5.400 oder 7.200 U/min, manchmal sogar bis zu 15.000 U/min. An den Platten sind spezielle „Köpfe“ angebracht, die Lese- und Schreibvorgänge durchführen. Wenn Sie eine Datei auf dem Laufwerk speichern, bewegt sich dieser „Kopf“ zu einem bestimmten Bereich der Platte und wandelt einen elektrischen Strom in ein Magnetfeld um, wodurch die Eigenschaften der Platte verändert werden.
Doch wie findet er den richtigen Bereich? Dies geschieht mithilfe einer Zuordnungstabelle, die eine Aufzeichnung aller auf einer Festplatte gespeicherten Dateien enthält. Was passiert aber, wenn eine Datei gelöscht wird?
Die kurze Antwort: Nicht viel.
Die ausführliche Antwort lautet: Der Eintrag für die Datei wird gelöscht, wodurch der von ihr belegte Speicherplatz auf der Festplatte zur späteren Überschreibung freigegeben wird. Die Daten selbst bleiben aber physisch auf den magnetischen Platten erhalten und werden erst dann endgültig gelöscht, wenn an derselben Stelle neue Daten geschrieben werden.
Das tatsächliche Löschen würde bedeuten, dass sich der Magnetkopf physisch zu diesem Bereich der Platte bewegen und ihn überschreiben müsste. Dies könnte andere Prozesse beeinträchtigen und die Computerleistung verlangsamen. Daher ist es bei Festplatten einfacher, so zu tun, als ob gelöschte Dateien nicht mehr existieren.
Das macht die Wiederherstellung gelöschter Dateien für die Strafverfolgungsbehörden deutlich einfacher. Sie müssen lediglich die fehlenden Einträge in der Zuordnungstabelle wiederherstellen. Dies ist mit kostenlosen Tools wie Recuva möglich.
Solid-State-Laufwerke (SSDs)
SSDs funktionieren anders. Sie haben keine beweglichen Teile. Stattdessen werden Dateien durch Elektronen repräsentiert, die in Billionen von mikroskopisch kleinen Floating-Gate-Transistoren gespeichert werden. Diese bilden zusammen NAND-Flash-Chips.
SSDs sind insofern mit HDDs vergleichbar, als Dateien erst durch Überschreiben gelöscht werden. Es gibt aber wesentliche Unterschiede, die die Arbeit von Computerforensikern erschweren. Wie HDDs organisieren SSDs Daten in Blöcken, wobei die Größe je nach Hersteller variieren kann.
Der Hauptunterschied besteht darin, dass ein Block vollständig leer sein muss, bevor eine SSD Daten schreiben kann. Um sicherzustellen, dass die SSD ständig über verfügbare Blöcke verfügt, sendet der Computer einen sogenannten „TRIM-Befehl“, der der SSD mitteilt, welche Blöcke nicht mehr benötigt werden.
Für Ermittler bedeutet dies, dass gelöschte Dateien auf einer SSD möglicherweise nicht wiederherstellbar sind, da das Laufwerk sie bereits außerhalb ihrer Reichweite entfernt hat.
SSDs können Dateien auch über mehrere Blöcke auf dem Laufwerk verteilen, um den Verschleiß durch den täglichen Gebrauch zu reduzieren. Da SSDs nur eine begrenzte Anzahl von Schreibzyklen aushalten, ist es wichtig, dass diese gleichmäßig über das Laufwerk verteilt und nicht auf einen kleinen Bereich konzentriert werden. Diese Technologie wird als Wear-Leveling bezeichnet und ist dafür bekannt, dass sie die Arbeit digitaler Forensiker erschwert.
Darüber hinaus ist es oft schwieriger, SSDs zu erfassen, da sie physisch nicht immer aus einem Gerät entfernt werden können.
Während Festplatten fast immer austauschbar sind und über Standardschnittstellen wie IDE oder SATA angeschlossen werden, sind die Speicherchips bei manchen Laptops direkt auf das Motherboard gelötet. Das macht es für Strafverfolgungsbehörden deutlich schwieriger, den Inhalt forensisch korrekt zu extrahieren.
Die wahren Herausforderungen
Zusammenfassend lässt sich sagen: Ja, Strafverfolgungsbehörden können gelöschte Dateien in vielen Fällen wiederherstellen. Die Fortschritte in der Speichertechnologie und die zunehmende Verbreitung der Verschlüsselung haben die Aufgabe jedoch komplexer gemacht.
Dennoch lassen sich technische Probleme oft überwinden. Im Bereich digitaler Ermittlungen liegen die größten Herausforderungen für die Strafverfolgungsbehörden nicht in den Mechanismen von SSDs, sondern in ihren begrenzten Ressourcen.
Es gibt nicht genügend ausgebildete Fachkräfte, um die anfallende Arbeit zu bewältigen. Das Ergebnis ist, dass viele Polizeibehörden weltweit mit einem enormen Rückstand an unverarbeiteten Telefonen, Laptops und Servern zu kämpfen haben.
Eine Anfrage der britischen Zeitung The Times im Rahmen des Informationsfreiheitsgesetzes ergab, dass die 32 Polizeibehörden in England und Wales mehr als 12.000 Geräte zur Auswertung haben. Die Bearbeitungszeit für ein Gerät kann zwischen einem Monat und über einem Jahr liegen.
Dies hat Konsequenzen. Ein faires Strafrechtssystem beruht darauf, dass den Angeklagten eine zügige Prozessführung gewährt wird. Wie ein Sprichwort sagt: Verzögerte Gerechtigkeit ist verweigerte Gerechtigkeit. Dieses Prinzip ist so grundlegend, dass es sogar im sechsten Zusatzartikel der US-Verfassung verankert ist.
Leider lässt sich dieses Problem nicht leicht beheben, ohne dass mehr Mittel für die Rekrutierung und Ausbildung des Personals bereitgestellt werden. Es ist nicht allein durch mehr Technologie zu lösen.