Non Disclosure Agreement – Seite 4 – Digitale Beweismittel

Digitale Beweismittel: Schlichte Vorlage von Excel-Datenblättern

Dass die schlichte Vorlage von Excel-Ausdrucken kein geeigneter Beweis sein kann hat das Landesarbeitsgericht Köln, 6 Sa 723/20, einem Unternehmen ins Stammbuch geschrieben. Hier ging es darum, ob ein gekündigter Mitarbeiter – der sich gegen die Kündigung wehrte – Fake-Kunden angelegt hat, um darüber in die eigene Tasche zu wirtschaften. Das beklagte Unternehmen wollte nun, auf Basis ausgedruckter Excel-Datenblätter und mittels selbst angefertigter Screenshots die Täterschaft des Mitarbeiters nachweisen. Was vorhersehbar scheiterte.

Der BGH zum “Lügendetektor”

Die deutsche Rechtsprechung mag den Polygraphen (so genannter “Lügendetektor”) nicht – aus gutem Grund: Entgegen dem, was einem in amerikanischen Filmen und zweifelhaften Talkshows vermittelt wird, gibt es erhebliche Zweifel an der Beweiseignung des “Lügendetektors”, der letztlich gerade nicht feststellt, ob jemand lügt, sondern körperliche Entwicklungen aufzuzeichenn versucht, die ihrerseits von einem “Experten” gedeutet werden. Der Fehlerhaftigkeit und Willkür ist hier Tür und Tor geöffnet.

Insofern sollte es nicht verwundern, dass der Bundesgerichtshof in der Vergangenheit (1954 und 1998) den “Lügendetektor” als Beweismittel abgelehnt hat. Da die Entscheidungen schon älter sind, liegt es nahe, zu fragen, ob aktuelle Entwicklungen eine neue Sicht der Dinge fordern. Der BGH (1 StR 509/10) hat sich nun erneut mit dem Thema beschäftigt – und kommt zu keinem neuen Ergebnis. Man sieht weiterhin kein geeignetes wissenschaftliches Fundament, um Polygraphen als geeignetes Beweismittel heranzuziehen – auch nicht über den Umweg, dass man denjenigen, der die Daten des Polygraphen “auswertet” als Sachverständigen anhört.

Im Fazit bleibt es dabei: Der so genannte “Lügendetektor” ist kritisch zu sehen, sicherlich auch wegen der auf der Hand liegenden Manipulationsmöglichkeiten bereits im Meßvorgang, von den Fehlerquellen bei der “deutung” ganz zu schweigen. Umso kritischer muss man sehen, wie dem – naiven – Fernsehkonsumenten im Nachmittags-Talk-Programm demonstriert wird, dass sich anhand solcher “Tests” absolute und über alle Zweifel erhabene Wahrheiten ermitteln lassen. So einfach ist es nicht – und wird es auf absehbare Zeit auch nicht sein.

Zum Thema:

Auf der Suche nach absoluter Wahrheit geht man auch (zweifelhafte) neue Wege – etwa über Gehirnscanner, die in der Tat auch in mindestens einem Fall schon zu einer Verurteilung führten, wie u.a. bei der SZ zu lesen war. Auch hier sollte man sich vom Wissenschaftlichen Schein nicht verführen lassen – letzten Endes ist die Auswertung eine Deutung die einem Ratespiel gleich kommt. Wer in solchen Methoden die Lösung aller Probleme sucht, betreibt letzten Endes nichts anderes als digitales Voodoo.

Einziehung von Festplatte

Die Einziehung von Festplatten ist ein Dauerbrenner im Bereich des Cybercrime. Ich konnte nun endlich im Rahmen einer Revision beim Bundesgerichtshof (2 StR 461/20) eine Auseinandersetzung mit der letzten Rechtsprechung des 6. Senats herbeiführen – wo man bestätigte dass für die Einziehung ausreichend ist, dass die Möglichkeit dauerhafter Löschung nicht ersichtlich ist.

Dazu auch bei uns:

X-Ways Forensics

Die Software “X-Ways Forensics” ist jedenfalls nach meiner Wahrnehmung der de-Facto -Standard bei digitalen Ermittlungsmaßnahmen der Polizei. Hierbei handelt es sich um ein “forensisches Datensicherungstool”, das in der Praxis so verwendet wird: Die Festplatte wird mit einem “Writeblocker” versehen und dann an den Polizeirechner angeschlossen, so dass ein vollständiges Image erstellt werden kann, dieses kann dann später mit XWAYS analysiert werden.

Europäische e-Evidence-Verordnung: Grenzüberschreitender Zugang zu elektronischen Beweismitteln

Europäische e-Evidence-Verordnung (auch: Europäische Herausgabeanordnung): Die EU hat Schritte zur Verbesserung des grenzüberschreitenden Zugangs zu elektronischen Beweismitteln unternommen, indem sie die rechtlichen Rahmenbedingungen dafür schafft, dass gerichtliche Anordnungen direkt an Diensteanbieter in anderen Mitgliedstaaten gerichtet werden können.

Hinweis: Die rechtlichen Hintergründe erschließen sich am ehesten über das zweite Zusatzprotokoll zur Budapest-Konvention

IT-Forensic: osTriage 2

Ich konnte erstmals beim Live-Einsatz der von Ermittlungsbehörden genutzten Software “osTriage” im Rahmen einer Durchsuchungsmaßnahme dabei sein. Die Software ist praktisch auf einem USB-Stick installiert, kann von dort gestartet werden und analysiert ein laufendes Windows-System. In Österreich gab es hinsichtlich dieser Software eine gewisse Aufregung.

In der praktischen Verwendung stellt sich die Software recht unaufgeregt dar: Es scheint sich in erster Linie um ein Reporting-Tool zu handeln, das auf vorhandene Systeminformationen zurückgreift und diese strukturiert aufbereitet. So beispielsweise in einem Windows-System die Prefetch-Dateien, aus denen die Ermittler dann versuchen Rückschlüsse auf ausgeführte Software zu ziehen. Die Software soweit ich sie erlebt habe war übrigens nicht dazu bestimmt ein Image des Systems zu erstellen, sondern am Ende wird ein “Report” erstellt, der dann gespeichert wird. Insgesamt stellte es sich mir als Werkzeug dar, dass die vorhandenen Informationen sehr mächtig sammelt und äusserst transparent aufbereitet, letztlich aber ganz erheblich von dem Wissen lebt, dass sein Anwender mitbringt. Die Arbeitsgeschwindigkeit war dabei durchaus beeindruckend, auf einem Standard-System dauerte das Starten der Software und Auswerten des Systems wenige Minuten, insgesamt machte es den Eindruck eines für den mobilen Einsatz vor Ort durchaus sehr tauglichen Tools, das aber jedenfalls nach erstem Eindruck keinen Verdacht hinsichtlich rechtswidriger Möglichkeiten geweckt hat.

Zunehmende Dauer bei der Auswertung von Hardware

Seit einiger Zeit muss ich feststellen, dass die ohnehin recht lange zeitliche Dauer bei der Auswertung von beschlagnahmter Hardware durch Ermittlungsbehörden noch weiter angestiegen ist. Während man früher von 6 Monaten bis zu 12 Monaten ausgehen konnte, hat sich dies rapide verschlechtert:

In einem sehr einfachen Fall, der keine Haftsache ist, wo es aber u.a. um Kinderpornographie geht, dauert die Auswertung eines Mobiltelefons aktuell 2 Jahre – und ein Abschluss ist nicht in Sicht.
In einem weiteren Fall dauerte das einfache analysieren einer Festplatte ein gutes Jahr, in einem weiteren Fall gar 1,5 Jahre. Beides war zwar keine Haftsache, allerdings wurde am Ende nur die übliche Analyse mit forensischer Software ohne Sichtprüfung durchgeführt.
Zum Vergleich: Selbst in einer Serie von Kapitalverbrechen, wo jemand in Haft ist und es lediglich um den Abgleich von 5 DNA-Funden geht, dauert die Analyse bereits 5 Monate an.

Es zeigt sich im gesamtbild, dass man aktuell bei der Auswertung von Hardware ganz erhebliche Zeit einplanen muss. Jedenfalls wo der Mandant nicht in Haft ist, läuft die Uhr insoweit eher für als gegen den Mandanten je länger es dauert. Dabei muss bei unberechtigter Beschlagnahme dann geprüft werden, ob eine Entschädigung für veraltete zurückgegebene Hardware zu leisten ist.

Technische Kompetenz im Strafverfahren: Zeitstempel bei Anrufen

Im Rahmen eines Betäubungsmittelverfahrens wurde plötzlich relevant, wann von einem Handy Anrufe (in die Niederlande) getätigt wurden. Bei solchen Fragen wird dann gerne auf einen von der Polizei bzw. dem Zoll angefertigten “Datensicherungsbericht” zurückgegriffen. Zum Einsatz kommt dabei gerne die forensische Software “XRY” von MSAB, mit der eine vollständige Kopie von Handy und SIM Karte erzeugt und sodann ausgewertet wird. Das Problem nur in diesem Fall: Die ausgewertete Zeit des Handys wich vermutlich von der tatsächlichen Zeit ab – und es war sodann fraglich, ob zum relevanten Tatzeitpunkt wirklich ein telefonischer Kontakt stattgefunden hat. Wie so oft war der Verfasser des Berichts nicht vom Gericht geladen, er wurde sodann kurzerhand telefonisch dazu befragt, wie es sich mit den Zeitangaben im Bericht handelt (prozessual war das Vorgehen nicht tragbar, ich lasse das hier dahin gestellt).

Von diesem war dann zu vernehmen, dass er mitteilte, die Systemzeit des Handys spiele keine Rolle, da sich die Zeitangaben in der Anrufliste des Telefons an Zeitstempeln des Providers orientieren und somit unabhängig von der Systemzeit des Telefons sind. Dass das schlichtweg Unsinn ist kann jeder mit seinem Handy/Smartphone im Handumdrehen nachprüfen – das Gericht übernahm diese Auskunft gleichwohl. Die Berufungsinstanz darf sich nun mit dem Thema “Technische Kompetenz im Strafverfahren” beschäftigen.

Hinweis: Es ist ein häufiges Problem bei Strafverfahren mit IT-Fragen, dass Ermittler auf der einen Seite Standard-Software verwenden, um deren Ergebnisse dann schlicht wiederzugeben; auf der anderen Seite werden bei Detailfragen dann aber auch noch falsche Informationen gegeben, die selbst bei Offenkundigkeit von Gerichten gerne übernommen werden.

Dashcams: Zu Zulässigkeit und Beweisverwertungsverbot bei Dashcam-Aufnahmen

Dashcam-Kameras erlaubt: Die Frage taucht immer häufiger auf: Sind eingebaute Kameras und damit erzeugte Aufnahmen in PKWs – so genannte Dashcams – zulässig? Oder darf man das vielleicht gar nicht? Erste Datenschützer haben schnell verkünden lassen, dass derartige Technik datenschutzrechtlich unzulässig ist. Nun mag man in der Tat fragen, wie sinnvoll oder auch anspruchsvoll es ist, wenn zunehmend durch solche Aufnahmen das “Hilfsheriff-Tum” wieder Einzug hält. Andererseits wird es Situationen geben, in denen man schlicht dankbar ist, wenn solche Aufnahmen vorliegen (etwa bei einem streitigen Unfallhergang oder wenn man schlicht genötigt wird im Strassenverkehr).

Dazu bei uns:

Im Folgenden einige rechtliche Überlegungen zur Zulässigkeit derartiger Dashcams.
Dashcams: Zu Zulässigkeit und Beweisverwertungsverbot bei Dashcam-Aufnahmen weiterlesen