„War das Smartphone in der Mordnacht am Ladegerät?”

Für die rund 140 Mitarbeiter der Abteilung „Cybercrime und Digitale Spuren“ ist sie ein Schmelztiegel verschiedener Disziplinen: ExpertInnen aus den Bereichen der Polizei, Verwaltung, Informatik, Mathematik und weiteren Fachrichtungen arbeiten zusammen, um Cybercrime zu bekämpfen. Wir treffen uns mit Angelina Reimann (27), Studium der allgemeinen und digitalen Forensik an der Hochschule Mittweida und Dietmar Fackelmann (45), Diplom Informatiker.

Frau Reimann, Herr Fackelmann, mit welchen Delikten haben Sie zu tun?
Fackelmann: Da das Internet inzwischen Bestandteil des täglichen Lebens ist, kommt es bei allen möglichen De­likten zum Tragen. Wir haben es hauptsächlich mit Schwerstkriminalität zu tun. Wir widmen uns dieser in unterschiedlichsten Arbeitsbereichen: Wir analysieren unter anderem Telekommunikations-Logs, Da­tenbanken und Netzwerk-Logs für mehrere Verfahren. Dabei reicht die Verfahrensbandbreite von Internetkriminalität, wie Er­pressungen mit Ransomware, über Kapital­delikte, wie Mord, bis hin zu Staatsschutzdelikten, also Extremismus und Terrorismus. Bei der Analyse der verschiedenen Daten und enormen Datenmengen ist Kreativität gefragt.

Reimann: Vermutlich erinnert sich der eine oder andere an die Studentin in Freiburg, die vergewaltigt und ermordet wurde: Da haben unsere Multimedia-Forensiker Bilder einer Überwachungskamera so verbes­sert, dass der Täter identifiziert und gefasst werden konnte.

Fackelmann: Aus dem Bereich Ermittlungen weiß ich, dass uns Kryptowährungen zunehmend beschäftigen, Bitcoin ist hier wohl die Bekannteste. Dabei geht es zum einen um monetär geprägte Cyberkriminalität, also Betrug.

Seit 2018 ist das so­genan­nte Krypto-Mining sehr beliebt, also die direkte Übernahme von Rechnerleistung, um damit Kryptowährungen zu generieren. Aber neben diesen Betrugsedliketen geht es in unserer Arbeit auch um Themen wie die Cyberspionage und -sabotage, wo Informationen gezielt zusammengetragen oder Systeme sabotiert werden.

Spannend! Welches sind denn die Faktoren, die einen bei der Bekämpfung von Cyber-Kriminalität erfolgreich machen? 
Fackelmann: Technisches Wissen, Bauchgefühl und Erfahrung sind meines Erachtens die entscheidenden Faktoren. Und man muss Zusammenhänge erkennen können; das kann keine Maschine. Gängige Fragen dabei sind: Was geht mit welchen Programmen? Welche weiterführenden Hinweise helfen dem Ermittler vielleicht auf eine neue Spur? Was könnte fallrelevant sein? 
Man muss übrigens neue Technologien auch selbst verwenden, um sie zu verstehen und so beurteilen zu können.

Sie sprechen das Thema Erfahrung an. Frau Reimann, Sie kommen frisch von der Hochschule. Inwieweit können sie denn heute das im Studium erworbene Wissen anwenden? 
Reimann: Mein Studium hat eine gute Grundlage geschaffen, auf die ich sehr gut aufbauen kann. Aber natürlich muss man sich einarbeiten, wobei mir von Anfang an viel Vertrauen geschenkt wurde. Während der Einarbeitung hatte ich einen Mentor an meiner Seite und damit konnte ich auch als Berufseinsteigerin von Beginn an bei Einsätzen dabei sein und so einerseits mein Wissen mit einbringen, andererseits aber auch viel lernen. Weil meine Kollegen einen guten Job gemacht haben bei der Erklärung von Fallbearbeitungen, konnte ich schon nach kurzer Zeit eigenständig arbeiten.

Was sind denn aktuell Ihre Aufgaben?
Fackelmann: Ich analysiere bei der Mo­bilforensik gerade hauptsächlich Apps, sichere aber auch Geräte, analysiere Be­triebssysteme und bin als Gutachter unterwegs. 
Dazu stellen wir die Szenarien mit Testgeräten nach und rätseln, was wie hätte sein können. Beispiel: Der Tatverdächtige behauptet, sein Smartphone war in der Mordnacht am Ladegerät. Stimmt das auch? Oder war er damit unterwegs und hat es verwendet? Mit Standardtools können wir das nicht verifizieren. 
Also analysieren wir die Dateien, die den Ladezustand darstellen. Dadurch bekommen wir Hinweise, ob und wann der Tatverdächtige das Gerät verwendet hat. So können wir sein Alibi widerlegen oder eben bestätigen. Oder die Frage: Wurde eine WhatsApp-Nachricht tatsächlich nicht gelesen?

Dazu muss man schon auch in die Produkte einsteigen: Wenn ich nicht verstehe, was eine App macht und was sie kann, ziehe ich womöglich falsche Schlüsse. 
Bei den digitalen Spuren handelt es sich immer um Daten, die sich auf einem Speichermedium befinden? Fackelmann: Richtig. Unsere Aufgabe besteht darin, die Daten möglichst gut zu sichern, aufzubereiten und dann zu untersuchen. Betrachtet man ein einzelnes IT-System, beispielsweise ein Smartphone, so können diese Schritte schon hier sehr komplex und aufwendig sein. Forensik-Software bereitet längst nicht alle gesicherten Daten auf. Sie dient lediglich der ersten Sichtung. Dies ist der Punkt, wo die kreative Arbeit des IT-Forensikers beginnt: Welche Eckdaten können in diesem Fall weiterhelfen, die nicht aufbereitet wurden? Wo befinden sich diese Daten? Wie können sie sichtbar gemacht werden?

Reimann: Ich beschäftige mich mit ganz vielen verschiedene Sachen (lacht). Also natürlich musste ich auch erst mal reinkommen, aber durch die Einarbeitung bin ich an viele verschiedene Fälle rangekommen und weiß mittlerweile, wie die Kollegen arbeiten und sich strukturieren. Irgendwann habe ich meinen eigenen Rhythmus gefunden.


Einstieg in die Abteilung „Cybercrime/ Digitale Spuren“ des LKA BW 

Voraussetzung ist ein Informatikstudium oder eine entsprechende Ausbildung und drei Jahre Berufserfahrung. Mit einem Master-Studium kann man im hö­heren Dienst und mit einem Bachelor Ab­schluss im gehobenen Dienst als Tarifbeschäftigte/-r einsteigen.
Möchte man Polizeibeamter/-beamtin werden, kann man sich jeweils auf April für die Sonderlaufbahn Cybercrime bewerben. Liegen die Voraussetzungen vor, hierzu gehört auch die Bescheinigung der Polizeidiensttauglichkeit, folgt ein einjähriger Vorbereitungsdienst am Institut für Fortbildung der Hochschule für Polizei in Lahr oder Bi­berach. Dieser beinhaltet Theorie an der HfPol und Praktika auf den Polizeidienststellen und besteht aus mehreren Modulen, an deren Ende jeweils eine Leis­tungskontrolle durchgeführt wird. Da­nach beginnt man als Kriminalkommissar/-in. Themen- und Einsatzgebiete könnten dabei sein:

Multimedia-Forensik:
Wir unterstützen die Ermittler durch Aufbereitung von Bild-, Video- und Audio­dateien, analysieren deren Authentizität und stellen Manipulationen fest. Außerdem entwickeln wir methodische und technische Standards.

Internetrecherche:
Hier gehen wir sozusagen im Internet auf Streife. Wir suchen systematisch nach strafbaren Inhalten  und sichern die strafrechtlich relevanten Beweismittel. Außerdem entwickeln wir Auswerte- und Internetrecherchetools.

Operative IT:
Die Operative IT ist das Pendant zu den Spezialeinheiten des Landes im Cyberspace. Sie unterstützt herausragende Ermittlungsverfahren mit besonderer Expertise sowie innovativen und kreativen Sonderlösungen im Bereich der Internet- und Telekommunikationsüberwachung.

Führungsgruppe:
Wir bewegen keine Bits und Bytes in der Technik, sondern erstellen übergreifende Konzeptionen, geben quasi die Richtung für den Bereich Cybercrime/Digitale Spuren vor, halten Kontakt zu unseren Kooperationspartnern in anderen Bundesländern sowie im Ausland und beraten in der zentralen Ansprechstelle Cybercrime geschädigte Wirtschaftsunternehmen.

Weitere Informationen zur Sonderlaufbahn Cyberkriminalist unter https://sonderlaufbahnen.polizei-bw.de


Haben Sie eigentlich bis jetzt jeden Spezialisierungsbereich kennengelernt?
Reimann: Ja, ich habe überall mal reingeschnuppert: Mobilforensik, Mac, Win­dows, Malware, Embedded Sys­tems und so weiter. Aber mein Hauptthema wird zukünftig die allgemeine IT-Beweissicherung sein. 
Jetzt bin ich aber erst mal Generalist und eher zuständig für Dinge wie USB-Sticks. Um ihren Lesern ein Beispiel zu geben: Im vorletzten Jahr begannen die Ermittlungen zu diesem schweren sexuellen Missbrauch von Kindern in Staufen bei Freiburg. Da konnten wir einen USB-Stick entschlüsseln und aufbereiten. Das führte zur Festnahme von vier weiteren Tätern. So etwas ist immer wieder ein wichtiger Erfolg.

Was macht den Beruf für Sie so interessant?
Reimann: Ich finde es extrem spannend, dass ich mich in vielen Aspekten mit den einzelnen Fällen befassen muss und die Arbeit wirklich sehr abwechslungsreich ist. Das hat man nicht in jedem Job. Bei uns ist es mehr als einfach nur Informatik: Wir basteln auch, bauen Sachen auseinander, wieder zusammen und gehen natürlich auch vor Ort an die Stellen, an denen Verbrechen begangeng worden sind. Und das ist natürlich eine besondere und jedes Mal neue Situation. Wer diese Vielfalt und Abwechslung zu schätzen weiß, ist bei uns richtig.

Fackelmann: Ja, das stimmt. Lass mich dazu noch etwas ergänzen: Die technologische Entwicklung geht rasant vorwärts. Es gibt eine große Dynamik am Markt. Für neue Produkte gibt es dann allerdings meist keine Standardwerkzeuge. Wir entwickeln deshalb häufig auch selbst neue Me­thoden und Tools, stellen diese landesweit zur Verfügung und unterstützen die Kolleginnen und Kollegen mit Rat und Tat.

Wenn wir selbst nicht weiterkommen und noch speziellere Auswertungen brauchen, kontaktieren wir das BKA. Die Arbeit an sich ist vergleichbar mit einem Kreuzworträtsel: Wenn du das nötige Fachwissen hast, kannst du es lösen. Wenn nicht, musst du dir das Fachwissen aneignen. Als Ergebnis erarbeitest du dir ein weiteres Puzzle-Teil, das zur Aufklärung des Falles dienen kann. Dazu gibt es Schulungen, um up to date zu bleiben. Wir stellen Hypothesen auf und versuchen, diese auf Basis der vorhandenen digitalen Spuren zu verifizieren. Hierbei ist unglaublich viel Kreativität gefordert, Standardlösungen gibt es da nicht. Es wird wirklich nie langweilig und man kann sich – abhängig vom eigenen Können – immer neue Herausforderungen suchen.

Digitale Forensik gegen Cybercrime

Im Gespräch: Angelina Reimann und Dietmar Fackelmann berichten aus der Praxis.

Ist das nicht manchmal wie ein Kampf gegen Windmühlen?
Fackelmann: In bestimmten Situationen kann schon Frust aufkommen, weil wir wissen, dass wir nicht alles können. Sicherlich: Manchmal habe ich das Gefühl, nicht wirklich voranzukommen, aber in der Gesamtschau sehe ich, dass wir sehr gute Ergebnisse erzielen und auch komplexe Fälle lösen. Wichtig ist die Unterscheidung, was für den Fall relevant ist und was nicht. Wir müssen Grenzen ziehen, sonst verlieren wir uns im Detail.

Was war ausschlaggebend für die Wahl, bei der Polizei beziehungsweise im Öffentlichen Dienst zu arbeiten? 
Reimann: Es ist ja auch möglich, im Nichtvollzug Beamtin zu werden, aber das interessiert mich nicht so sehr. Durch meine Familie habe ich schon früh die Polizei kennengelernt, dementsprechend hab ich schon immer Interesse daran gehabt, im Polizeivollzug zu sein. Jetzt als Quereinsteigerin ist die Sonderlaufbahn Cybercrime die perfekte Lösung. Die Ausbildung ist begrenzt auf ein Jahr und ich denke, dass ich so trotzdem viel von der Polizeiarbeit mitkriege und gut in den Job starte. Hinzu kommen dann noch Benefits wie Arbeitsplatzsicherheit, Versicherung, Arbeitszeiten und eine hohe Flexibilität.

Fackelmann: Ich war früher in einem Unternehmen, das seinen Standort in ein anderes Bundesland verlagert hat. Deshalb die Suche nach einem neuen Arbeitgeber hier im „Ländle“. Außerdem war da die Idee, für den Staat zu arbeiten und zu helfen – also auch Idealismus. Ich habe schon immer eine gewisse Hartnäckigkeit gehabt und gerne Sachen ergründet. Als Kind habe ich beispielsweise den Dachboden meiner Eltern durchforstet oder auch stundenlang nach verlorenen Kontaktlinsen gefahndet. Deshalb die Polizei (lacht).

Das Landeskriminalamt hat mich gereizt, weil es einfach interessanter klingt als nur Polizei. Von den Krimis hatte ich die Vorstellung, dass bei einem LKA Spezialisten sind und bei der Behörde viel Spezialwissen gebündelt ist. Als ich dann hier angefangen habe, war klar, dass ich bleiben möchte und deshalb auch der Wechsel in den Beamtenstatus.


Unterschiede: Angestellter oder Beamter?

Zunächst einmal haben Tarifbeschäftigte und Beamte beim LKA BW viel gemeinsam: 30 Tage Urlaub p.a., Gleitzeitrahmen von 6 bis 20 Uhr und das Gehalt ist je nach Tarifvertrag oder Stufe geregelt und nicht verhandelbar.

Beamte sind privat versichert und erhalten die Heilfürsorge für Polizeibeamte oder Beihilfe, während Tarifbeschäftigte ge­setz­lich krankenversichert sind. Letz­tere haben ihr Arbeitsverhältnis durch einen Vertrag begründet, während Be­amte dieses durch einen Treueeid schließen. So kann einem Tarifbeschäf­tigten auch gekündigt werden, bei einem Beamten ist dies in der Regel nicht mö­g­lich. Am Ende muss jeder selbst ent­scheiden, was ihm wichtiger ist – Flexi­bilität oder Sicherheit.


Frau Reimann, der Job ist ja sehr männerlastig. Wie geht es Ihnen als eine der wenigen Frauen in dieser Männerdomäne?
Reimann: Also ich muss sagen, ich hatte trotzdem damit gerechnet, dass mehr Frauen hier sind. In meinem Studiengang hatten wir einen Frauenanteil von über 60 Prozent. Das hat mich damals überrascht, jetzt ist es wieder andersrum. Ich finde es ganz gut so, wie es ist. Das Team hat mich sehr gut aufgenommen. Ich fühle mich akzeptiert und arbeite mit netten Menschen zusammen.


Mehr Infos zum Thema Cybercrime auf dieser Übersichtsseite! 

Share.