Warum muss in der IT-Forensik/ bei Cyberkriminalität immer möglichst schnell gehandelt werden?
Es heißt ja immer, dass man besonders im Falle von Internetbetrug o.Ä. beim Erstatten von Anzeige auf keinen Fall zu lange warten darf und am besten so schnell wie möglich zur Polizei gehen sollte. Warum genau ist das so? Hat das irgendwelche spezifischen Gründe und z.B. was mit dieser Löschfrist zu tun, wie etwa das IP-Logs nur 7 Tage (?) gespeichert werden und man dann nicht mehr korrekt ermitteln kann, wer welche IP wann benutzt hat etc. oder hat das eher allgemeine Gründe, wie dass der Täter dann nicht schon über alle Berge ist und ich mein Geld dann sowieso nie wieder sehe??
Ein Kumpel von mir sagte auch, dass es ggf. im Zuge von organisierter Kriminalität/gewerbsmäßigem Betrug auch sehr gut sein kann, dass da richtige Profis am Werk sind, die dann wahrscheinlich sowieso auf VPN oder "Proxy Chain" zurückgreifen, was das alles natürlich nicht einfacher macht. Er meinte die Polizei würde sich da dann niemals die Mühe machen, wenn es nur um ein paar hundert Euro geht, sondern vielmehr bei wirklich extremen Fällen wie z.B. Kindesentführung oder Mord.
4 Antworten
besonders im Falle von Internetbetrug o.Ä. beim Erstatten von Anzeige auf keinen Fall zu lange warten darf und am besten so schnell wie möglich zur Polizei gehen sollte. Warum genau ist das so?
Naje Webserver protokollieren jede einzelne Datei und URL die abgerufen wird. Das können daher schon einige Millionen Einträge / Tag oder noch viel mehr sein...
Daher werden derartige Dinge nicht Monatelang archiviert und nach einigen Wochen oder Monaten gelöscht. Damit sind dann zB diese Spuren verlohren.
Generell gilt, dass Spuren verloren gehen können - wenn ein Verdächtiger Daten nicht sicher löscht sind diese noch wiederherstellbar aber nur bis diese von neuen Daten überschrieben werden. Auch hier ist die Zeit nicht auf der Seite der Ermittler.
Gleiches gilt für viele andere Daten.
die dann wahrscheinlich sowieso auf VPN oder "Proxy Chain" zurückgreifen
Ja das stimmt wobei kein Provider derartiger Dienste die Suppe für diese Leute auslöffeln wird. Daher loggen die meiste trotzdem aber oftmals nicht so ausführlich und Sie behalten die Daten nicht so lange.
Hierbei muss man auch bedenken, dass Ansuchen um Rechtshilfe in anderen Staaten auch etwas dauern und allein diese schon Zeit kosten.
Daher zählt hier auch jeder Tag.
Er meinte die Polizei würde sich da dann niemals die Mühe machen, wenn es nur um ein paar hundert Euro geht,
Es kommt drauf an wie aufwendig es ist - auch Staatsanwaltschaften müssen Kosten und Nutzen in Relation stellen. Gibt es hunderte Anzeigen wegen Betrug gegen den oder die gleichen Täter wird auch bei kleinen Summen wie 100 EUR ermittelt.
Bei schwereren Straftaten wie Mord, Drogendelikten, etc. natürlich auch.
Wenn jemand bei einem Onlinespiel um einen paar EUR betrogen wird oder sich jemand Gutscheine oder ähnliches erschleicht, mit irgend einer Abzockmasche und dies eher ein Einzelfall ist, wird der Staatsanwalt kaum Ermittlungskosten in der Größenordnung eines fabrikneuen Mittelklasse-Mercedes rechtfertigen können!
Schau dir zB den Beispiel-Report einer Software an mit der man Mobiltelefone auswertet: https://static1.squarespace.com/static/574d60aef85082d3b6cb20d2/t/5e5634f309132e2873f56cfb/1582707979347/MOBILedit+Forensic+Express+Demo+Report_7.1.0.pdf
Wenn du dir das Inhaltsverzeichnis ansiehst dann wirst du merken, dass dieser Report mehr als 2500 Seiten hat (das PDF ist stark gekürzt worden und von jedem Bereich sind nur wenige Seiten enthalten).
Diese Seiten muss jemand mehrfach alle durcharbeiten und darin nach Beweisen suchen und diese Informationen dann wieder in einem entsprechenden Untersuchungsbericht aufbereiten. Da sind schnell mal 100+ Stunden verbraucht und bei einem Satz von 125 EUR (laut JVEG) für IT-Forensiker sprechen wir dabei dann von Kosten um die 12.500 EUR oder mehr (je nach Aufwand).
Falls es nicht extern gemacht wird, bleiben immer noch Kosten für entsprechende Mitarbeiter, deren Fortbildung und Zertifizierung und die entsprechenden Tools - zB: https://www.detective-store.com/ufed-touch2-ultimate-professional-cell-phone-analyzer-with-an-annual-licence-454.html
Dazu kommen zig tausend Pro Jahr für die Wartung + zig tausend pro Schulung und das für jeden Mitarbeiter! Also gibt es nicht so viele Mitarbeiter in diesem Bereich und diejenigen die es gibt, gilt es für die wichtigeren Dinge einzusetzen und nicht für Bagatellen.
Nachtrag: Außerdem arten derartige Untersuchungen gern aus - dazu ein kleines Beispiel...
Nehmen wir zB an bei einem Reisebüro in Berlin fällt auf, dass das deren Datenbank geknackt wurde und das tausende gespeicherte Kreditkartendaten der Kunden gestohlen und missbraucht wurden.
Die Untersuchung der Rechner führt zu einer IP von der der Hack ausging. Leider ist die IP von der Telekom Austria. Nach dem Anfragen um Rechtshilfe in AT wird ermittelt, dass diese IP dem Autohaus Müller in Wien gehört.
Nachdem dort ermittelt wurde und wiederum zig Rechner untersucht wurden stellt man fest, dass ein Mitarbeiter durch einen Email-Anhang seinen PC mit Schadware infiziert hat und diese Schadware wurde von einer Webseite aus gesteuert.
Leider liegt diese Webseite bei einem spanischen Provider und der Betreiber der Seite wusste nichts davon aber scheinbar wurde die Seite ebenfalls gehackt. Leider reichen die Logs aber nicht mehr bis zu dem Vorfall zurück und so steckt man dann in einer Sackgasse.
Oder man muss dann wieder mit russischen Proxy- oder VPN-Anbietern weiter ermitteln oder kommt dann auf eine TOR-Adresse.
Was ist da also passiert - ein krimineller hat sich im Darknet Zugangsdaten zu einer gehackten Webseite besorgt, diese dann dazu verwendet um SPAM-Mails zu versenden und Rechner mit Schadware zu infizieren.
Über die Infizierten Rechner hat er dann weitere Straftaten begangen.
Oftmals führen Ermittlungen zu solchen Ketten und dauern dann nicht nur extrem lange sondern sind auch entsprechend teuer!
Dieser Zeitfaktor allein kann schon dafür sorgen, dass Beweise wie Logdateien gelöscht werden. Daher zählt jeder Tag - nicht nur bei dir bis zur Anzeige sondern auch bei den IT-Forensikern wenn diese Daten auswerten.
Einfach deswegen, das existierende Beweise zerstörbar sind.
Generell: Zeit löscht Spuren. Das fängt bei simplen Sachen wie Logdateien an, die nach x Tagen gelöscht werden. Die provider speichern IP Adressen auch nur bestimmte Zeit (abhängig vom provider).
Auch andere Spuren können durch Reinigungsdienste gelöscht werden, oder Speicherbereiche neu beschrieben werden.
Ja, ip adressen sind als Beweise immer eine sache. Du weißt gesichert nur, von welchem 1. Schritt die Anfragen kommen. Du kannst im Normalfall nicht beweisen, dass diese IP nicht nur als Proxy diente. Wenn du Glück hast findest du spuren, die zu einer anderen IP führen - aber auch das können falsche Spuren sein.
Aus diesem Grund ist bei hackerangriffen es eigentlich unmöglich zu sagen, Land XY oder Gruppe AB hat den Angriff durchgeführt.
1. Natürlich gilt allgemein ein "Bevor sich der Täter über alle Berge macht".
2. Ja, löschfristen sind böse. Sind die Daten mal gelöscht kann sowieso nichts mehr ermitteln. Logs etc werden bei vielen ohnehin irgendwann gelöscht - auch wenn es nicht unbedingt gesetzliche Fristen gibt. Das gilt sowohl für Dienste als auch für Einzelpersonen.
3. Dein Freund hat auch recht. Professionelle Täter werden wahrscheinlich niemals ermittelt. Das ist viel zu kompliziert, selbst wenn es im Hunderttausende von Euros geht. Das wird irgendwann technisch nahezu unmöglich und man müsste global mit zig Staaten zusammenarbeiten.