Künstliche Intelligenz im Rahmen von Ermittlungsarbeit

Im August 2019 startete ein Programm zur Nutzung künstlicher Intelligenz in NRW. Ziel der Forschungszusammenarbeit, an der neben Wissenschaftlern (unter anderem der Universität des Saarlandes, und der LYTiQ GmbH sowie dem Deutschen EDV Ge-richtstag e. V.) auch Microsoft beteiligt ist, soll sein, die Erkennung und Auswertung von kinderpornographischem Bildmaterial deutlich zu beschleunigen.

Hintergrund ist, dass die Auswertung von beschlagnahmten Datenträgern extrem zeitintensiv ist, teilweise bereits – auch in von mir geführten Verfahren – abgebrochen wird weil man gar nicht alles auswerten kann und die automatisierte Auswertung bestenfalls ein Ansatzpunkt ist. Ein neuronales Netzwerk, das mit entsprechenden Daten trainiert wurde, dürfte hier brauchbare Ergebnisse in einem Bruchteil der Zeit bringen; allerdings dürfte die Arbeit für Strafverteidiger & Gerichte hier erst Recht die Kontrolle der gelieferten Ergebnisse sein, die für das Verfahren erst einmal in nicht weiter verifizierten Listen erstellt werden dürften.

„Künstliche Intelligenz im Rahmen von Ermittlungsarbeit“ weiterlesen


Sind (verdeckte) Ermittler im Darknet aktiv?

Die Frage sollte man sich selbst beantworten können: Selbstverständlich sind Ermittler im Darknet aktiv. Es gibt dort Kontaktaufnahmen und Scheinkäufe, letzteres war auch schon Teil der medialen Berichterstattung. Ich hatte auch schon berichtet, dass insbesondere das FBI teilweise unter eigener Ägide hochgenommene Plattformen weiterlaufen lässt um hieraus Ermittlungsansätze zu gewinnen, die dann bei Berührungspunkten in Deutschland dem BKA zur weiteren Bearbeitung gemeldet werden. Aus meinen eigenen Fällen mit Berührung zum Darknet weiss ich ebenso, dass es – nochmals: Selbstverständlich! – Ermittler im Internet und Darknet gibt, die auf eigene Veranlassung ermitteln.

Spannender wäre die Frage, in welchem Umfang dies geschieht – hierzu scheint es bisher keine verlässlichen Zahlen zu geben. Einer kleinen Anfrage im Bundestag ist zu entnehmen, dass es in der Tat derartige Einsätze geben müsste, aber die Bundesregierung weigert sich, den Umfang irgendwie konkret zu fassen, sei es hinsichtlich des BKA oder auch hinsichtlich BND. Auch aus den Antworten lässt sich wenig erkennen, alleine die Erklärung “Stellt sich ein anfänglicher Verdacht gegen eine Person als unzutreffend dar, erfolgt die Löschung aller personenbezogenen Daten” deutet auf tatsächlich erhobene Daten hin.



Cybercrime beim BKA

Das Bundeskriminalamt (BKA) widmet sich in seiner Abteilung “Schwere und Organisierte Kriminalität” dem Bereich Cybercrime, wobei man dann verschiedene Arbeitsbereiche abdeckt. Besonders bekannt sind hier insbesondere:

  • Die Zentrale Ansprechstelle Cybercrime (ZAC) beim BKA arbeitet als Vermittler und Berater für die Wirtschaft, um im Schadensfall die polizeilichen Ermittlungen zu koordinieren. Dabei steht die ZAC BKA quasi im Zentrum der verschiedenen ZAC der Länder.
  • Im Rahmen der Operativen Auswertung Cybercrime werden Ermittlungsverfahren koordiniert oder initiiert, hier ist auch eine Ansprechstelle für laufende ausländische Ermittlungen.
  • Weiterhin gibt es den Bereich “Ermittlungsunterstützung/Internetrecherche”.
  • Zentralstelle Sexualdelikte zum Nachteil von Kindern – Diese beschreibt das BKA wie folgt: “Die Zentralstelle Sexualdelikte zum Nachteil von Kindern und Jugendlichen nimmt die Aufgaben eines Bindeglieds zwischen in- und ausländischen Strafverfolgungsbehörden sowie einer nationalen zentralen Auswerte- und Koordinierungsstelle für diese Behörden wahr.”


Cybercrime bei EUROPOL

Auch EUROPOL widmet sich dem Thema Cybercrime, dabei sind vor allem der Bereiche zu nennen:

  • Bereits im Jahr 2013 wurde das unter dem Kürzel EC3 geführte European Cybercrime Centre (EC3) gegründet. Es handelt sich hier mangels originärer Kompetenz in den eigenen Staaten vorwiegend um koordinative Tätigkeiten, die und er Vergangenheit auch zu beachtlichen Erfolgen führte. Abzugrenzen ist das EC3 von ENISA.
  • Jährlich wird in Form des “Internet Organised Crime Threat Assessment (IOCTA)” ein Bericht zu den aktuellen Aktivitäten und Bedrohungen im Internet veröffentlich, der gerade bei der Ausrichtung der Polizeibehörden aber auch in politischer Hinsicht nicht zu unterschätzen ist.
  • Im Jahr 2014 wurde die Joint Cybercrime Action Taskforce (J-CAT) gegründet. Mittels die J-CAT sollen grenzüberschreitende Ermittlungen initiiert und organisierte Kriminalitätsstrukturen zerschlagen werden. Hieran u.a. beteiligt aus Deutschland ist das BKA.


Cyberagentur

In Deutschland wurde bereits im August 2018 die Gründung einer ressortübergreifenden “Cyberagentur” beschlossen. Auf dem Weg will die Regierung Forschungs- und Innovationsvorhaben im Bereich der Cybersicherheit anstoßen, fördern und finanzieren. Die Aufgabe der Agentur ist es laut den führenden Ministerien im Innern und der Verteidigung, “den gesamten Forschungsprozess von der Idee bis zum Produkt zu koordinieren. Es geht darum, deutliche Geschwindigkeitsvorteile gegenüber den bisherigen Beschaffungsverfahren zu erzielen”. Das Verteidigungsministerium führte hierzu aus:

Die Cyberagentur wird als Inhousegesellschaft, als GmbH gegründet. Sie ist eigenständig, um wissenschaftlich frei arbeiten zu können. Kurze Innovationszyklen, hohe Dynamik in der Technik-Entwicklung und wechselnde Cyber-Bedrohungen erfordern flexible Strukturen. Im Zeitraum von 2019 bis 2023 ist ein Budget von rund 200 Millionen „Startkapital“ vorgesehen. Ziel ist, dass 80 Prozent der Finanzmittel direkt in Forschungs- und Innovationsvorhaben fließen. Die Agentur wird mit allen Cyberstellen der Bundeswehr zusammenarbeiten: dem Kommando Cyber- und Informationsraum, dem Studiengang Cyber-Sicherheit an der Münchener Bundeswehruniversität und dem Cyber-Innovation Hub in Berlin. Originär orientiert sich die Agentur am Vorbild der DARPA, der Forschungsagentur des US-Verteidigungsministeriums.



Cybercrime in NRW: Ermittler rüsten auf

Manchmal ist es die Wortwahl, die zeigt, woher der Wind weht: Wenn etwa in einer Pressemitteilung des Justizministeriums NRW von einer “Gefechtslage Cybercrime” gesprochen wird, dann wird deutlich, dass die Politik sich im Kampf, wenn nicht gar im Krieg, sieht wenn es um das IT-Strafrecht geht. Und tatsächlich wird zumindest auf Seiten der Ermittler aufgerüstet, wie der Pressemitteilung zu entnehmen ist:

Die ZAC NRW ist zum Mai 2018 erheblich personell verstärkt und vollständig neu organisiert worden. Bald werden 21 spezialisierte Staatsanwältinnen und Staatsanwälte in sechs thematisch differenzierten Dezernaten Cybercrime Verfahren bearbeiten. Unterstützt werden die Juristen durch ein Team aus Wirtschaftswissenschaftlern, Rechtspflegern und Justizbeschäftigten. 2017 wurden rund 270 neue Verfahrenskomplexe eingeleitet. Seit Januar 2018 sind es bis heute 563 neue Verfahrenskomplexe.

Diese Zahlen machen deutlich, dass die Angebote von Waffen, Rauschgift, Sprengstoff, Falschgeld und Kinderpornografie, aber auch kriminelle Dienstleistungen („Cybercrime-as-a-Service“) im Darknet weiter wachsen. Dem will Nordrhein-Westfalen entsprechend begegnen.

Tatsächlich entwickelt sich seit längerem die Zentral- und Ansprechstelle Cybercrime Nordrhein-Westfalen (ZAC NRW) immer weiter, Ermittlungsverfahren können zielgerichtet und effektiv von Fachleuten im Bereich Cybercrime geführt werden – während die Strafgerichte weder spezialisiert sind noch spezialisierte Kammern bereit halten.



IT-Forensic: osTriage 2

Ich konnte erstmals beim Live-Einsatz der von Ermittlungsbehörden genutzten Software “osTriage” im Rahmen einer Durchsuchungsmaßnahme dabei sein. Die Software ist praktisch auf einem USB-Stick installiert, kann von dort gestartet werden und analysiert ein laufendes Windows-System. In Österreich gab es hinsichtlich dieser Software eine gewisse Aufregung.

In der praktischen Verwendung stellt sich die Software recht unaufgeregt dar: Es scheint sich in erster Linie um ein Reporting-Tool zu handeln, das auf vorhandene Systeminformationen zurückgreift und diese strukturiert aufbereitet. So beispielsweise in einem Windows-System die Prefetch-Dateien, aus denen die Ermittler dann versuchen Rückschlüsse auf ausgeführte Software zu ziehen. Die Software soweit ich sie erlebt habe war übrigens nicht dazu bestimmt ein Image des Systems zu erstellen, sondern am Ende wird ein “Report” erstellt, der dann gespeichert wird. Insgesamt stellte es sich mir als Werkzeug dar, dass die vorhandenen Informationen sehr mächtig sammelt und äusserst transparent aufbereitet, letztlich aber ganz erheblich von dem Wissen lebt, dass sein Anwender mitbringt. Die Arbeitsgeschwindigkeit war dabei durchaus beeindruckend, auf einem Standard-System dauerte das Starten der Software und Auswerten des Systems wenige Minuten, insgesamt machte es den Eindruck eines für den mobilen Einsatz vor Ort durchaus sehr tauglichen Tools, das aber jedenfalls nach erstem Eindruck keinen Verdacht hinsichtlich rechtswidriger Möglichkeiten geweckt hat.



Zentrale Ansprechstelle Cybercrime der Polizei

Die Bedeutung des IT-Strafrechts nimmt immer weiter zu, auch die Ermittlungsbehörden fokussieren sich: Im Bundeskriminalamt wurde eine “Nationale Kooperationsstelle Cybercrime” eingerichtet, auch in jedem Bundesland wurde eine zentrale Ansprechstelle Cybercrime geschaffen. Die Aufgaben beschreibt das BKA so:

Die Komplexität der Angriffsvektoren, das hohe Schadenspotenzial und die gesamtgesellschaftliche Auswirkungen in Fällen von Cybercrime erfordern eine vertrauensvolle Kooperation zwischen betroffenen Unternehmen und Strafverfolgungsbehörden.
Auf die Bedarfslage wurde von Seiten der Polizei in Bund und Ländern durch die Einrichtung zentraler Ansprechstellen Cybercrime (ZAC) beim BKA und den Länderpolizeien reagiert.
Die ZAC des BKA als Bestandteil der Nationalen Kooperationsstelle Cybercrime fungiert dabei als Vermittler und Berater für die Wirtschaft, um im Schadensfall die polizeilichen Ermittlungen zu koordinieren.

Welche Ansprechstellen es jeweils gibt wurde unter Polizei.de zusammen gefasst, die Auflistung findet sich auch am Ende dieses Beitrags als PDF.

In NRW etwa wurde nun bei der Staatsanwaltschaft Köln ein ZAC eingerichtet, wobei die StA Köln bereits seit einiger Zeit eine spezielle Abteilung mit entsprechender Kompetenz bereit gehalten hatte. In den Aachener Nachrichten findet sich hierzu auch ein Interview.

Die Bündelung ist ebenso wie der Fokus dringend geboten: In IT-Strafsachen hat sich zunehmend fehlende Kompetenz in der Sache als erheblicher Hemmschuh erwiesen. Erste Überlegungen, dass fehlendes Wissen sich eher zu Gunsten von Beschuldigten auswirken könnte, haben sich als fatale Fehleinschätzung erwiesen. Auf der anderen Seite ist zu sehen, dass gerade Unternehmen zunehmend mit Straftaten konfrontiert sind, etwa Angriffen auf die eigene Infrastruktur oder wirtschaftlich bedeutsame Daten; aber auch zielgerichtet auf das Unternehmen in Form von digitaler Erpressung oder Betrug. Hier erwies sich für Betroffene Unternehmen mangelnde Kompetenz und viel zu lange Arbeitszeit als grösstes Problem bei der Suche nach Tätern – eine Kompetenzbündelung kann hier durchaus hilfreich sein.