Dennis Rader glaubte, unantastbar zu sein. Dreißig Jahre lang hatte der Serienmörder, bekannt als BTK, zehn Menschen in Wichita, Kansas, getötet und Polizei sowie Medien mit Briefen provoziert – während er gleichzeitig als Kirchenvorstand und Pfadfinderleiter lebte. Doch im Februar 2005 schickte er eine lilafarbene Diskette an einen lokalen Fernsehsender. Neun Tage später saß er in Handschellen. Die anschließende MetadatenDaten über Daten, die die Eigenschaften von Kommunikationen beschreiben, wie wer wen angerufen hat, wann und wie lange, ohne den tatsächlichen Gesprächsinhalt.-strafrechtliche Untersuchung wurde zum Meilenstein der digitalen Forensik.
Versteckt in einem gelöschten Microsoft-Word-Dokument auf der Diskette fanden sich Informationen, die Rader nie preisgeben wollte: Das Dokument war zuletzt von einem Nutzer namens „Dennis“ in der „Christ Lutheran Church“ bearbeitet worden.[s] Eine einfache Internetsuche verband diese Details mit dem Kirchenvorstand Dennis Rader. Während des Verhörs gestand Rader alle zehn Morde und räumte ein: „Die Diskette hat mich überführt.“
Was Metadaten verraten
Metadaten sind in digitale Dateien eingebettete Informationen, die beschreiben, wann, wo und von wem eine Datei erstellt oder verändert wurde.[s] Jedes Dokument, jedes Foto und jede E-Mail trägt diese versteckte Signatur. In der Metadaten-strafrechtlichen Untersuchung extrahieren Forensiker diese digitalen Fingerabdrücke, um Zeitlinien zu erstellen, Echtheit zu überprüfen und scheinbar unzusammenhängende Beweise zu verknüpfen.
Das Prinzip, das dieser Arbeit zugrunde liegt, reicht bis ins frühe 20. Jahrhundert zurück. Der Forensiker Edmond Locard postulierte, dass bei jedem Kontakt zweier Objekte ein Materialaustausch stattfindet.[s] Dasselbe Konzept gilt für digitale Beweise: Metadaten-Registereinträge und Protokolldateien funktionieren wie Fingerabdrücke und Faserspuren der digitalen Welt.
Der Hacker, der seine eigenen GPS-Koordinaten postete
2012 durchbrach ein Hacker unter dem Pseudonym „w0rmer“ mehrere Datenbanken von Strafverfolgungsbehörden und veröffentlichte sensible Informationen online. Um die Behörden zu provozieren, fügte er ein Foto einer Frau bei, die ein Schild mit einer Spottbotschaft hielt. Das Bild war mit einem iPhone 4 aufgenommen worden, und die EXIF-Metadaten enthielten die genauen GPS-Koordinaten des Aufnahmeorts: ein Haus in Wantirna South, Australien.[s]
FBI-Ermittler verfolgten weitere Online-Hinweise auf „w0rmer“ und fanden eine Website, auf der der Name Higinio Ochoa stand. Sein Facebook-Profil erwähnte, dass seine Freundin Australierin war. Zusammen mit den EXIF-Daten reichte dies aus, um Ochoa zu identifizieren und festzunehmen. Sein Fall einer Metadaten-strafrechtlichen Untersuchung wurde zur Warnung vor den Gefahren von Ortungsdiensten auf Smartphones.
Silk Road: Die digitale Spurensuche
Als das FBI Ross Ulbricht, den Drahtzieher des Darknet-MarktplatzesEine Online-Plattform, die in verschlüsselten Netzwerken operiert, wo Nutzer anonym illegale Waren und Dienstleistungen mit Kryptowährungen kaufen und verkaufen können. Silk Road, verfolgte, folgten die Ermittler einer anderen Art von digitaler Spur. 2011 entdeckte ein Steuerbeamter einen frühen Online-Beitrag über Silk Road. Acht Monate später postete derselbe Nutzer eine Stellenausschreibung, die Bewerber an eine E-Mail-Adresse verwies, die auf Ulbricht registriert war.[s]
Silk Road wickelte etwa eine Milliarde US-Dollar an illegalen Transaktionen ab, wobei Ulbricht an jedem Verkauf eine Provision erhielt.[s] Doch seine Sicherheitsvorkehrungen wiesen Lücken auf. Als FBI-Agenten ihn im Oktober 2013 in einer Bibliothek in San Francisco festnahmen, beschlagnahmten sie seinen Laptop, während er noch als Administrator der Seite eingeloggt war. Die Netzwerkprotokolle und Metadaten, die durch Gerichtsbeschlüsse gesichert wurden, führten die Ermittler direkt zu ihm.
Warum Kriminelle weiterhin gefasst werden
In der Metadaten-strafrechtlichen Untersuchung zeigt sich immer wieder: Kriminelle unterschätzen systematisch, was ihre digitalen Dateien preisgeben können. Rader fragte die Polizei über eine Zeitungsannonce, ob eine Diskette zurückverfolgt werden könne; die Ermittler logen und behaupteten, das sei nicht möglich.[s] Ochoa ging davon aus, dass soziale Medien Metadaten aus hochgeladenen Bildern entfernten. Ulbricht glaubte, das Tor-Netzwerk mache ihn anonym.
Moderne Methoden der Metadaten-strafrechtlichen Untersuchung sind seit diesen Fällen noch ausgefeilter geworden. Forensiker analysieren heute E-Mail-Header, um den Ursprung von Nachrichten zu verfolgen, Dokumenteigenschaften, um Autorenschaftsketten nachzuweisen, und Mobilgeräte-Metadaten, um Nutzerverhalten zu rekonstruieren. Die digitale Spur, die alltägliche Technologie hinterlässt, schafft einen Beweisstrang, der Ermittlern vor einer Generation unvorstellbar gewesen wäre.
Die Lehre für Strafverfolgungsbehörden ist klar: Metadaten verbinden die Punkte. Die Lehre für alle anderen ist noch einfacher. Jede Datei, die Sie erstellen, trägt Ihre Fingerabdrücke – ob Sie es merken oder nicht.
Am 16. Februar 2005 traf bei KSAS-TV in Wichita, Kansas, eine lilafarbene 1,44-Megabyte-Memorex-Diskette ein. Der Absender war BTK, der Serienmörder, der zwischen 1974 und 1991 zehn Menschen getötet und sich dann über ein Jahrzehnt lang ruhig verhalten hatte. Als Forensiker die Diskette untersuchten, stellten sie gelöschte Daten wieder her, die den Fall innerhalb von neun Tagen klären sollten. Die anschließende MetadatenDaten über Daten, die die Eigenschaften von Kommunikationen beschreiben, wie wer wen angerufen hat, wann und wie lange, ohne den tatsächlichen Gesprächsinhalt.-strafrechtliche Untersuchung zeigte exemplarisch, wie die digitale ForensikDie Praxis der Extraktion, Erhaltung und Analyse elektronischer Beweise. Bei Ermittlungen kann digitale Forensik gelöschte Dateien wiederherstellen, Kommunikation nachverfolgbar machen und digitale Materialien authentifizieren. die Aufklärung von Cold Cases revolutioniert hatte.
Mit forensischer Software extrahierte Officer Randy Stone Informationen aus den gelöschten Dateien und fand heraus, dass ein Microsoft-Word-Dokument auf der Diskette zuletzt von einem Nutzer namens „Dennis“ in der „Christ Lutheran Church“ bearbeitet worden war.[s] Auf der Website der Kirche wurde Dennis Rader als Kirchenvorstand aufgeführt. Ein schwarzer Jeep Cherokee vor Raders Haus passte zu Aufnahmen einer früheren Beweisübergabe. Eine DNA-Probe von Raders Tochter, die mit richterlicher Genehmigung aus einer medizinischen Probe gewonnen wurde, zeigte eine familiäre Übereinstimmung mit Beweisen von einem Opfer. Dennis Rader wurde am 25. Februar 2005 festgenommen und gestand später mit den Worten: „Die Diskette hat mich überführt.“
Die technische Anatomie von Metadaten
Metadaten umfassen in digitale Dateien eingebettete Informationen: Zeitstempel, Nutzerkennungen, Geräteinformationen, GPS-Koordinaten und Anwendungseigenschaften.[s] Das Windows-NTFS speichert diese Daten in Einträgen der Master File Table, während Apples Dateisystem Container und Volumes nutzt. Der forensische Wert liegt in der Nachweisbarkeit der Herkunft: wann eine Datei erstellt wurde, wer sie verändert hat und welches Gerät verwendet wurde.
Die digitale Forensik folgt demselben Prinzip wie die klassische Forensik. Edmond Locards Austauschregel besagt, dass bei jedem Kontakt zweier Objekte ein Materialaustausch stattfindet.[s] Bei Metadaten-strafrechtlichen Untersuchungen wird dieser „Austausch“ in Protokolldateien, Registry-Schlüsseln und eingebetteten Dokumenteigenschaften festgehalten, diese digitalen Artefakte fungieren als Fingerabdrücke und Faserspuren in der Beweiskette.
EXIF-Daten und die Verhaftung von CabinCr3w
Higinio Ochoa, Mitglied des mit Anonymous verbundenen Hackerkollektivs CabinCr3w, durchbrach Anfang 2012 mehrere Datenbanken von Strafverfolgungsbehörden. Unter dem Pseudonym „w0rmer“ veröffentlichte er gestohlene Daten online – zusammen mit einem provokanten Foto einer Frau, die ein Schild mit einer Spottbotschaft hielt. Das Bild war mit einem iPhone 4 aufgenommen worden, das standardmäßig GPS-Koordinaten in die EXIF-Metadaten (Exchangeable Image File Format) jedes Fotos einbettet.
FBI-Analysten extrahierten die EXIF-Daten und identifizierten die Koordinaten als 37°52’S, 145°14’E, was das Foto einem Wohnhaus in Wantirna South, Australien, zuordnete.[s] Durch Abgleich von Ochoas Online-Pseudonymen mit seinem Facebook-Profil, das eine australische Freundin erwähnte, konnte die Verbindung bestätigt werden. Die Metadaten-strafrechtliche Untersuchung zeigte, wie eine einzige übersehene Einstellung auf einem Smartphone eine ansonsten sorgfältige Sicherheitsstrategie zunichtemachen kann.
Netzwerkforensik und die Silk-Road-Ermittlungen
Die Untersuchung von Ross Ulbricht und dem Darknet-MarktplatzEine Online-Plattform, die in verschlüsselten Netzwerken operiert, wo Nutzer anonym illegale Waren und Dienstleistungen mit Kryptowährungen kaufen und verkaufen können. Silk Road erforderte andere forensische Methoden. Die Seite operierte im Tor-Netzwerk, das den Datenverkehr durch mehrere verschlüsselte Relays anonymisiert. Ulbricht glaubte, diese Architektur schütze seine Identität.
Der Durchbruch gelang durch klassische Ermittlungsarbeit in Kombination mit digitaler Forensik. Ein IRS-Beamter entdeckte einen Forumsbeitrag aus dem Januar 2011, der Silk Road beworben hatte. Acht Monate später postete derselbe Nutzer eine Stellenausschreibung mit einer Kontakt-E-Mail, die auf Ross Ulbricht registriert war.[s] Die Ermittler erhielten durch Gerichtsbeschlüsse Netzwerkprotokolle und verfolgten eine Server-Fehlkonfiguration, die die IP-Adresse der Seite preisgab – was zur Beschlagnahmung von Servern in Island führte.
Die Plattform generierte etwa eine Milliarde US-Dollar Umsatz, wobei Ulbricht Provisionen aus Transaktionen mit Drogen, Waffen und Hacking-Dienstleistungen erhielt.[s] Als FBI-Agenten Ulbricht am 1. Oktober 2013 in einer Bibliothek in San Francisco festnahmen, beschlagnahmten sie seinen Laptop, während das Administrator-Panel noch geöffnet war. Die Live-Forensik sicherte den Arbeitsspeicher und erfasste laufende Prozesse, Sitzungsdaten und Authentifizierungstoken.
Metadaten-strafrechtliche Untersuchung in der Praxis
Diese Fälle veranschaulichen die sich wandelnde Landschaft der digitalen Forensik. BTKs Fall wurde durch Dokumenten-Metadaten entschieden, die die meisten Nutzer nie zu Gesicht bekommen. Ochoas Festnahme resultierte aus standardmäßig eingebetteten GPS-Daten in Smartphone-Fotos. Ulbrichts Identifizierung erforderte die Korrelation von Netzwerkprotokollen, Forumsbeiträgen und E-Mail-Registrierungsdaten über mehrere Plattformen und Jahre hinweg.
Rader hatte die Polizei über eine Kleinanzeige in der Zeitung gefragt, ob eine Diskette zu einem Computer zurückverfolgt werden könne. Die Ermittler antworteten mit einer Nachricht, die ihm versicherte, das sei nicht möglich.[s] Die Verhaltensanalyseeinheit des FBI hatte BTK als extrem narzisstisch eingestuft und empfohlen, sein Bedürfnis nach Anerkennung auszunutzen – statt an sein Mitgefühl zu appellieren. Die Täuschung funktionierte.
Moderne Methoden der Metadaten-strafrechtlichen Untersuchung gehen über diese Grundlagenfälle hinaus. Die Analyse von E-Mail-Headern kann Nachrichten über mehrere Server hinweg verfolgen, um den ungefähren Standort des Absenders zu bestimmen. Die Forensik von Mobilgeräten extrahiert Anrufprotokolle, Standortverläufe und Anwendungsdaten. Die Untersuchung von Dokumenten-Metadaten erstellt Bearbeitungszeitlinien, die Autorenschaft beweisen oder widerlegen können. Die digitale Spur, die alltägliche Technologie hinterlässt, liefert Beweise, die allein durch physische Forensik nie möglich gewesen wären.
