Was heute durch die Auswertung von Handy und Co. möglich ist ​

  • 7 Minuten Lesezeit
Die moderne IT-Forensik ist ein unverzichtbares Element in strafrechtlichen Ermittlungen geworden, das die Auswertung digitaler Daten ermöglicht und entscheidend zur Aufklärung beiträgt. Als Fachanwalt für Strafrecht mit über 19 Jahren Erfahrung zeigt der Artikel auf, inwiefern die IT-Forensik genutzt wird, um gelöschte Daten wiederherzustellen, Bewegungsprofile und GPS-Daten zu analysieren, Zugriffsprotokolle und Systemaktivitäten auszuwerten, verschlüsselte Daten zu entschlüsseln und Chat- sowie Messenger-Verläufe als Beweismittel zu sichern. Es wird deutlich gemacht, dass trotz der fortschrittlichen Möglichkeiten der IT-Forensik eine kritische Überprüfung der Ermittlungsergebnisse essenziell ist, da Daten nicht immer eindeutig sind und Schwächen in der Methodik die Verteidigung stärken können. Der Artikel betont die Bedeutung einer fundierten Verteidigungsstrategie, die die speziellen Methoden der digitalen Ermittlungen berücksichtigt und hebt hervor, wie der Autor Mandanten in diesem komplexen Bereich unterstützt und berät.

Was heute durch die moderne IT-Forensik durch Polizei, Staatsanwaltschaften und Ermittlungsbehörden möglich ist 


Die moderne IT-Forensik hat in den letzten Jahren riesige Fortschritte gemacht und spielt eine zunehmend wichtige Rolle in strafrechtlichen Ermittlungen. Viele Mandanten, die mit Vorwürfen konfrontiert sind, die auf digitale Spuren oder Daten beruhen, fragen sich, was die IT-Forensik tatsächlich leisten kann und wie diese Ergebnisse in ihrem Fall verwendet werden könnten. Hier ist ein Überblick, was heute durch die IT-Forensik möglich ist und welche Bedeutung sie für strafrechtliche Verfahren hat. Diese Aufstellung kann nur ein Schlaglicht sein, da auch Ermittlungsbehörden und private Dienstleister auf der Seite der Ermittler nur selten einen Einblick in die Möglichkeiten der digitalen Verbrechensbekämpfung geben. 


Die IT-Forensik ist heute ein zentrales Element vieler strafrechtlicher Ermittlungen und gewinnt zunehmend an Bedeutung. Sie ermöglicht den Strafverfolgungsbehörden, digitale Spuren und Daten umfassend auszuwerten und als Beweise zu nutzen. Dieses erfolgt nicht nur bei Mord und Totschlag. Der Gesetzgeber hat die Möglichkeiten der digitalen Ermittlungen in den letzten Jahren massiv ausgedehnt, um den veränderten Straftaten im Internet Rechnung zu tragen, aber auch um die heutigen Möglichkeiten der digitalen Welt zur Aufklärung von Verbrechen aktiv zu nutzen. Doch was bedeutet das für Sie als Mandant? Welche Daten können heute ausgewertet werden, wie verlässlich sind diese Informationen und welche Möglichkeiten bestehen, um diese Beweise kritisch zu hinterfragen? Als Fachanwalt für Strafrecht mit über 19 Jahren Erfahrung unterstütze ich Sie dabei, den Überblick zu behalten und Ihre Verteidigungsstrategie auf diese speziellen Ermittlungsmethoden abzustimmen.


Hier eine kurze Übersicht, was heute durch die IT-Forensik sicher möglich ist und wie dies in Ihrem Fall angewendet werden könnte.


1. Wiederherstellung gelöschter Daten: Mehr bleibt erhalten als Sie denken


Ein häufiger Anwendungsbereich der IT-Forensik ist die Auswertung vorhandener Daten und die Wiederherstellung von vermeintlich gelöschten Daten auf Computern, Smartphones und anderen Geräten. Daten, die gelöscht oder sogar mehrfach überschrieben wurden, sind für Experten oft dennoch wiederherstellbar. Das bedeutet, dass Ermittler auch auf Inhalte zugreifen können, die Sie möglicherweise längst als gelöscht betrachteten.


Beispiel:

In einem Fall, in dem es um den Vorwurf der Steuerhinterziehung ging, konnte die IT-Forensik auf einem beschlagnahmten Computer gelöschte E-Mails und Tabellen wiederherstellen, die als Indizien für angeblich nicht gemeldete Einnahmen dienten. Die Verteidigung prüfte, ob diese E-Mails tatsächlich dem Mandanten zugeordnet werden konnten und ob sie aus der Zeit des vermeintlichen Vergehens stammten. In vielen Fällen muss genau analysiert werden, wann und wie die Daten tatsächlich gespeichert wurden und ob sich hier Unklarheiten zeigen.


Gleiches gilt für angeblich gelöschte kinderpornografische Dateien auf mobilen Endgeräte. Auch diese lassen sich heute meist recht problemlos wiederherstellen. Löschen ist eben nicht löschen in der digitalen Welt. Es haben sich gerade in diesem Bereich auch private Unternehmen zur IT-Forensik angesiedelt, die einen erheblichen Preis für die Auswertung z.B. eines Mobiltelefon erhalten. Diese Kosten liegen schnell über 1.000 Euro pro Mobiltelefon und sind im Falle der Verurteilung zumeist vom Angeklagten der Justiz zu erstatten. 


2. Bewegungsprofile und die Analyse von GPS-Daten: Digitale Fußabdrücke


Moderne Smartphones und vernetzte Geräte hinterlassen bei jeder Nutzung Spuren – von den besuchten Orten bis hin zu den genutzten Apps und Websites. Diese Informationen werden in Form von GPS-Daten, Zeitstempeln und anderen Metadaten gespeichert und können dazu verwendet werden, ein Bewegungsprofil zu erstellen.


Beispiel:

In einem Verfahren wegen des Verdachts des bandenmäßigen Wohnungseinbruchsdiebstahls war das Bewegungsprofil des Mandanten entscheidend. Die Ermittler konnten mithilfe der GPS-Daten nachweisen, dass sich das Smartphone des Mandanten zur Tatzeit in der Nähe des Tatorts befunden haben soll. Gemeinsam mit einem IT-Forensik-Sachverständigen konnte die Verteidigung zeigen, dass das Gerät zwar vor Ort war, der Mandant aber in der fraglichen Zeit in einer anderen Gegend beobachtet wurde. Dies half, die Glaubwürdigkeit der Bewegungsdaten kritisch zu hinterfragen und dem Mandanten eine Entlastung zu verschaffen. In diesen Fällen werden Fragen zur Funkzellenauswertung relevant. Nicht jeder Aufenthalt in der sog. Tatortfunkzelle führt bei einer kritischen Betrachtung zur Überführung des Mandanten. 


3. Zugriffsprotokolle und Systemaktivitäten: Wer hat wann was gemacht?


Die IT-Forensik kann auch Einblick in die Aktivität auf einem System geben – wann wurden Dateien erstellt, verändert oder gelöscht, und welche Nutzerkonten waren zu einem bestimmten Zeitpunkt aktiv? Diese Informationen sind besonders bei Vorwürfen wie Hackerangriffen, Datenmissbrauch oder anderen IT-bezogenen Straftaten relevant.


Beispiel:

In einem Fall, in dem einem Mandanten vorgeworfen wurde, vertrauliche Unternehmensdaten entwendet zu haben, prüfte die IT-Forensik, zu welchen Zeitpunkten auf bestimmte Dateien zugegriffen wurde. Die Verteidigung argumentierte, dass es zwar Zugriffe auf die Daten gab, jedoch nicht nachweisbar war, dass diese von dem Mandanten selbst ausgeführt wurden. Durch die Analyse der Systemprotokolle konnte gezeigt werden, dass auch andere Nutzer Zugriff auf die Daten hatten und der Tatverdacht somit nicht eindeutig dem Mandanten zugeordnet werden konnte.


Bei der Aufklärung schwerer Verkehrsunfälle werden eine Vielzahl von Daten durch die Ermittlungsbehörden aus den modernen Fahrzeugen ausgelesen. In vielen Fahrzeugen finden sich Ereignisdatenspeicher (Event-Data-Recorder) "EDR" deren Auswertung ein enorm genaues Bild für die Unfallrekonstruktion zulässt. In dem EDR erfasst alle für die Rekonstruktion maßgeblichen Daten. Aus hiesiger Sicht muss man an der Stelle von einem gläsernen Fahrer" sprechen. Das Fahrverhalten lässt sich vielfach bis in das kleinste Detail nachbilden. Die Einlassung des Beschuldigten sollte unbedingt dem Datenbild entsprechen bzw. diese Daten kritisch hinterfragt werden.


4. Entschlüsselung und Wiederherstellung verschlüsselter Daten: Zugang zu versteckten Informationen


Verschlüsselte Dateien oder Nachrichten können oft entschlüsselt werden, auch wenn sie ursprünglich für Unbefugte unzugänglich gemacht wurden. Forensiker verfügen über spezielle Software und Methoden, um Verschlüsselungen zu umgehen und verschlüsselte Inhalte lesbar zu machen. An dieser Stelle kommt es vielfach zu einem Wettlauf zwischen Beschuldigten und Ermittlern. Natürlich arbeiten Ermittlungsbehörden fieberhaft an der Entschlüsselung von möglicherweise inkriminierten Datenträgern. Eine Sicherheit gibt es in diesem Zusammenhang kaum, wenn auch einige kryptografische Verschlüsselung nach unserer Erfahrung ziemlich sicher sind, um den Zugang fremder Personen abzuhalten. 


Beispiel:

In einem Verfahren wegen Verdachts auf Drogenhandel wurden Nachrichten in einem verschlüsselten Messenger-Dienst als Beweis herangezogen. Die IT-Forensik konnte zwar auf den Nachrichtenverlauf zugreifen, jedoch wies die Verteidigung darauf hin, dass die Entschlüsselung nicht vollständig war und daher möglicherweise Kontext fehlt. Zudem musste geklärt werden, ob der Mandant tatsächlich der Absender dieser Nachrichten war oder ob sein Gerät fremdgenutzt wurde. Zu beachten ist die Problematik der Kryptohandyanbieter ANOM, EncroChat und SkyECC. In diesen Fällen musste sich die Rechtssprechung intensiv mit der Frage der Verwertbarkeit der durch die Ermittlungsbehörden erlangten Daten auseinandersetzen. Vielfach leider mit einem negativen Ausgang für die Mandanten. Dieses führt direkt zum weiteren Feld der IT-Forensik: 


5. Chat- und Messenger-Verläufe: Gelöschte Nachrichten als Beweismittel


In vielen Ermittlungen sind Messenger-Nachrichten oder Chat-Verläufe eine wichtige Quelle, gerade weil heute fast jede Kommunikation digital stattfindet. Die IT-Forensik kann oft nicht nur aktuelle, sondern auch bereits gelöschte Nachrichten wiederherstellen, um so einen Überblick über frühere Konversationen zu gewinnen.


Beispiel:

Ein Mandant wurde in einem umfangreichen Betrugsverfahren beschuldigt, aufgrund von Nachrichtenverläufen, die angeblich eine Absprache über die betrügerischen Aktivitäten zeigen sollten. Die Forensik konnte einen Großteil der Konversation wiederherstellen. Bei der Analyse stellte sich heraus, dass Nachrichten aus dem Zusammenhang gerissen wurden. Durch eine vollständige Aufarbeitung aller Nachrichten konnte die Verteidigung zeigen, dass die Inhalte des Chats allein keinen belastenden Charakter hatten, sondern missverstanden wurden. Diese Konstellation trifft sich auch häufig in Betäubungsmittelverfahren. Es werden durch die Ermittler einzelne Nachrichten isoliert betrachtet, um einen Tatvorwurf zu konstruieren. 


IT-Forensik und Strafverteidigung – Kritische Überprüfung als Schlüssel


Die Möglichkeiten der IT-Forensik sind vielfältig und ermöglichen eine tiefgehende Analyse von Daten und Aktivitäten. Doch gerade in Strafverfahren ist es entscheidend, die Ergebnisse dieser Untersuchungen kritisch zu hinterfragen. Die erhobenen Daten sind nicht immer eindeutig, und oft gibt es alternative Erklärungen oder Schwächen in der Methodik, die der Verteidigung zugutekommen können.


In meiner Tätigkeit als Fachanwalt für Strafrecht setze ich mich für eine präzise und umfassende Prüfung der forensischen Beweismittel ein. Gemeinsam mit Ihnen und gegebenenfalls mit Unterstützung von IT-Forensikern entwickeln wir eine Verteidigungsstrategie, die alle Möglichkeiten ausschöpft und Ihre Interessen wahrt.


Wenn Sie Fragen zu digitalen Beweisen oder zur IT-Forensik in Ihrem Verfahren haben, stehe ich Ihnen gerne zur Verfügung, um Ihre rechtlichen Möglichkeiten zu besprechen und eine individuell angepasste Verteidigungsstrategie zu entwickeln. Kontaktieren Sie mich unter mail@rechtsanwalt-scharrmann.de. Weitere Informationen finden Sie auf meiner Webseite

Foto(s): RA Scharrmann

Rechtstipp aus den Rechtsgebieten

Artikel teilen:


Sie haben Fragen? Jetzt Kontakt aufnehmen!

Weitere Rechtstipps von Rechtsanwalt Timo Scharrmann

Beiträge zum Thema