Original-URL des Artikels: https://www.golem.de/news/it-forensikerin-beweise-sichern-im-faradayschen-kaefig-1906-141203.html    Veröffentlicht: 04.06.2019 12:01    Kurz-URL: https://glm.io/141203

IT-Forensikerin

Beweise sichern im Faradayschen Käfig

IT-Forensiker bei der Bundeswehr sichern Beweise, wenn Soldaten Dienstvergehen oder gar Straftaten begehen, und sie jagen Viren auf Militärcomputern. Golem.de war zu Gast im Zentrum für Cybersicherheit, das ebenso wie die IT-Wirtschaft um guten Nachwuchs buhlt.

Es rummst einmal laut. Sandra Kirsch* hat die schwere Tür der Stahlbox hinter sich zugezogen. Neben einem Schreibtisch und dem Stuhl, auf dem sie sitzt, passt nur noch ein Regal in den Faradayschen Käfig. Auf ihrem Tisch stapelt sich durchsichtige Tupperware mit Smartphones, die allesamt mit schwarzen Kabeln am Strom hängen. Die IT-Forensikerin sucht darauf nach Beweisen für Straftaten. Die zehn Zentimeter dicken Metallwände der Box verhindern, dass jemand von außen per Signal Daten von den Smartphones löschen kann. Die Box steht wiederum in Kirschs gut abgeschirmten Büro. "Klaustrophobisch werde ich nicht", sagt die 23-Jährige. "Die Türe kann nicht von außen verschlossen werden, außerdem arbeite ich ja konzentriert."

Agiler sein, um mitzuhalten

Seit eineinhalb Jahren arbeitet Kirsch im Zentrum für Cyber-Sicherheit der Bundeswehr (ZCSBw) in Euskirchen bei Bonn, das auf dem weitläufigen Areal einer ehemaligen Feldjäger-Kaserne untergebracht ist. Dort sitzt auch das Cyber Security Operation Center, das unter anderem Angriffe von Terrororganisationen auf die Systeme abwehrt. Das Zentrum für Cyber-Sicherheit gehört zum Cyber- und Informationsraum, unter dem seit 2017 die komplette IT-Expertise der Bundeswehr gebündelt ist. Aktuell arbeiten dort 14.500 Menschen, doch es fehlt dringend weiterer IT-Nachwuchs wie Kirsch, um Systeme zu überwachen und schnell auf Angriffe zu reagieren. Sie beherrscht notwendige Skills wie Programmieren, Viren finden und beseitigen, Passwörter knacken, gelöschte Daten wiederherstellen, Datenbanken bedienen und Netzwerkmitschnitte analysieren.

Solche Fähigkeiten sind auch für die digitale Wirtschaft interessant, die eine große Konkurrenz im Kampf um Cybersecurity-Experten ist. Bei den Unternehmen verdient man in der Regel deutlich mehr als im öffentlichen Dienst. Eine Stelle, wie sie Sandra Kirsch innehat, ist in die Entgeltgruppe E11 gemäß des Tarifvertrages des öffentlichen Dienstes (TVöD) eingruppiert. Das sind zum Einstieg rund 41.500 Euro pro Jahr.

Ein weiterer Unterschied: Unternehmen bieten Flex-Zeiten und man kann sich Projekte und Arbeitsorte aussuchen. Die Bundeswehr bringt naturgemäß das genaue Gegenteil mit sich. Gerade das, also geregelte Verhältnisse, fand Kirsch attraktiv. Bezahlten Urlaub, Verbeamtung und einen sicheren Arbeitsplatz zog sie immer neuen Projekten und beruflicher Freiheit vor. Kirsch hat einen unbefristeten Arbeitsvertrag.

Auf einer Berufsmesse hat die junge Frau aus Sachsen zum ersten Mal von den Computer-Forensikern gehört. Sie studierte damals Digitale Forensik, eine Mischung aus Informatik und Spurensuche, und wurde zum Praktikum eingeladen. Anschließend hat sie direkt eine Stelle bei der Bundeswehr bekommen.

Dort gibt man sich mittlerweile große Mühe, agiler für die ITler zu werden. Ein Stück weit wurden Ton und Arbeitszeiten schon gelockert. Mittlerweile dürfen die Mitarbeiter im Cyber-Zentrum der Bundeswehr zumindest in der Theorie kommen und gehen, wann sie wollen - solange die Stunden abgearbeitet werden. Der IT-Service trägt Jeans und Hoodies, wie überall sonst auf der Welt. Und Sandra Kirsch geht immerhin zweimal die Woche während der Arbeitszeit schwimmen.

Zivilistin in der "Sperrzone 2"

Im Gegensatz zu zwei Dritteln ihrer Kollegen und Kolleginnen, die als Soldaten in Flecktarn an den Rechnern sitzen, trägt Sandra Kirsch Jeans mit Pullover im Büro. "Wir verstehen uns gut, auch wenn ich keine Soldatin bin und von außen komme", sagt sie. "ANin" steht in Bürokraten-Deutsch an der Türe, kurz für Arbeitnehmerin. Daneben klebt ein gelber Sticker mit schwarzer Schrift: "Sperrzone Klasse 2", also verschärfter militärischer Sicherheitsbereich. Auch diese Tür ist wieder aus schwerem, grauen Metall. Schließt sie sich nach 30 Sekunden nicht, laufen bewaffnete Soldaten auf. "Das passiert einem ab und zu schon mal, gerade am Anfang", lacht Kirsch. "Sie wollen schauen, ob Unbefugte sich Zutritt verschafften konnten."

In ihrem Job fällt Kirsch unter die höchste Sicherheitsstufe, weil sie mit sensiblen Daten arbeitet. Vor ihrer Einstellung wurden sie und ihr privates Umfeld monatelang überprüft und Freunde und Familie befragt. Um in ihrem Job zu arbeiten, darf man nicht vorbestraft sein oder bestimmte Länder mit gefährdendem Status, etwa Irak oder Afghanistan, besuchen. Außerdem wird die finanzielle Lage überprüft; wer verschuldet ist, könnte bestechlicher sein. Bei dieser sogenannten Ü3-Sicherheitsüberprüfung geht es darum herauszufinden, ob man einer Person die sensiblen und persönlichen Daten anvertrauen kann, die auf privaten Smartphones und Laptops liegen.

Sollte sie gegen einen Kollegen ermitteln müssen, den sie gut kennt, müsste sie den Fall abgeben. "Das könnte mir später zur Last gelegt werden", sagt sie. "Darum würde ich es nicht bearbeiten wollen." Weitere Besonderheiten ihres Arbeitsplatzes: Ihr eigenes Handy funktioniert nicht, weshalb sie den ganzen Tag nicht privat erreichbar ist. Außerdem darf sie nach Feierabend niemandem zu Hause von ihrem Job erzählen. "Das ist für mich aber nicht weiter anstrengend", sagt Kirsch. "Mein Freund macht das Gleiche, nur in einer anderen Abteilung. Da wird dann nach Feierabend gar nicht erst nachgefragt. Und meine Familie versteht nicht wirklich, was ich mache und stellt darum keine Fragen. Meine Großeltern haben sich 'IT-Forensik' sogar extra aufgeschrieben, falls einer fragt, was mein Job ist."

* Name aus Sicherheitsgründen geändert

100.000 Fotos nach verfassungsfeindlichen Symbolen durchsuchen

Zunächst muss Kirsch die Daten aufbereiten, damit sie sie analysieren kann. Die Festplatte wird über einen Writeblocker, also einen Schreibschutz, an einen Analyserechner angeschlossen, so dass man nur lesend darauf zugreifen kann. Dann erstellt Kirsch eine bitweise Kopie, um darauf die Daten aus dem Spiegelbild auszuwerten. Schaut man sich etwa Fotos auf einem Handy an, wird der Zeitstempel ein anderer - und nichts darf verändert werden. Das Abbild lässt sie durch Programme wie X-Ways Forensics laufen. Das Tool findet gelöschte Dateien, kopiert Datenträger und erstellt Disk-Images. "Es gibt aber auch Dinge, die man sich manuell heraussuchen muss", sagt Kirsch. "Man muss dann erst mal im Internet recherchieren oder sich ein Skript zusammenbauen, damit man auch alles ausgelesen bekommt."

Dazu nutzt sie Programmiersprachen wie Python. Damit schreibt sie ein Skript mit den Punkten, die sie braucht, und schickt es über die Daten, bis sie alles hat, was sie wissen will. Überprüft sie, ob sich etwa verfassungsfeindliche Bilder auf dem iPhone eines Soldaten befinden, muss sie so neutral wie möglich die Fakten zusammentragen. Konkret könnte das heißen: Sie ermittelt im Reichsbürger-Milieu. Dann muss sie nach genau solchen Beweisen suchen.

"Es gilt immer die Unschuldsvermutung; ich muss neutral rangehen und entweder belasten oder entlasten", sagt sie. Parallel dazu wird ein Digital-Durchsuchungsbeschluss erlassen. Daraufhin kommt die Militärpolizei, also Feldjäger, bei dem Beschuldigten vorbei. Sie nehmen sein privates Smartphone, Laptop und Computer mit, die nach Euskirchen zur IT-Forensikerin gebracht werden. Dort werden alle Beweismittel fotografiert und dokumentiert, damit niemand sagen kann, dass es sich um ein anderes Gerät handelte. Dann sucht Sandra Kirsch nach Bildern, Liedern, Videos, Apps und Chatverläufen. Eine Liste des Verfassungsschutzes gibt ihr dabei eine Orientierung, worauf sie achten muss. "Das muss man manuell alles durchsuchen", sagt die Forensikerin. "Manchmal sind das 100.000 Bilder. Damit ist man schon eine Weile beschäftigt."

Was mit dem Verdächtigen geschieht, erfährt sie nicht

Mittlerweile weiß die Expertin genau, wo sie nach Informationen suchen muss. Bei Windows nutzt sie etwa die Hives, worüber geloggt wird, wer zuletzt am System angemeldet war, welche USB-Sticks angesteckt wurden oder was für Verbindungen es gibt. Dafür gibt es spezielle Speicherlocations, die sie absucht. "Für jeden Dienst, der gelaufen ist, gibt es Verbindungsprotokolle", sagt sie. "Man kann alles nachvollziehen." Auch Whatsapp-Chats sind kein Problem. Bis alles durchsucht und ausgewertet ist, dauert es je nach Datenmenge mehrere Wochen oder sogar Monate. "Bei schwierigen Fällen freut man sich schon, wenn man etwas Verwertbares schaffen konnte", sagt sie. "Man feiert aber keine großen Erfolge."

Ob die Person, mit deren Chats und Handybildern sie sich monatelang beschäftigt hat, bestraft wird, erfährt Sandra Kirsch am Ende nicht. Auch wenn sie mal härtere Dinge gefunden hat, denkt sie ab diesem Moment nicht länger darüber nach. "Das hat viel mit meiner persönlichen Einstellung zu tun", sagt die Forensikerin. "Ich lasse das nicht an mich heran. Wenn man nach Dienstschluss noch weiter darüber nachdenkt, ist man meiner Meinung nach für so einen Beruf nicht gemacht."

Für Kirsch ist die Arbeit beendet, wenn sie ihren Bericht zur Bewertung an das Militärgericht oder die IT-Sicherheitsdienste zurückschickt. Jeder ihrer Schritte ist darin feinsäuberlich dokumentiert worden. Dokumentieren ist bei der Bundeswehr ein mindestens genauso großer Anteil der Arbeit wie die eigentliche Beweissicherung. Diese Bürokratie ist notwendig und gleichzeitig wohl ein weiterer großer Unterschied zur agilen IT- Wirtschaft mit ihren kurzen Wegen.

Auslandseinsatz könnte kommen

Der vielleicht größte Unterschied zum Startup: Wenn Computer der Truppen im Ausland von Schadsoftware befallen sind, müssen IT-Forensiker der Bundeswehr anrücken. Sandra Kirsch musste zwar noch nicht nach Afghanistan oder Mali, hat sich aber theoretisch schon dazu bereit erklärt. Zivilisten können nicht wie Soldaten dazu verpflichtet werden, doch ihre Verbeamtung ist an diese Bereitschaft geknüpft.

Sandra Kirsch kann sich zumindest einen kurzen Auslandseinsatz vorstellen: "Mich würde das sehr interessieren. Wir arbeiten hier viel für die internationalen Einsatzgebiete und ich würde gerne mal sehen, wie es dort wirklich abläuft." Das ist wahrscheinlich einer der Hauptpunkte, warum es für die Bundeswehr so schwer ist, IT-Absolventen für sich zu gewinnen: In der freien Wirtschaft muss man sich über Dinge wie Einsätze in Krisengebieten normalerweise keine Gedanken machen.

Auch zu diesem Thema:

 (maj)


© 1997–2019 Golem.de, https://www.golem.de/