Zum Inhalt springen
Zwei Männern arbeiten an Laptops.
Legende: IT-Forensik gehört für die Polizei zur täglichen Arbeit. Colourbox

IT-Forensik «Wir suchen eigentlich immer die Nadel im Heuhaufen»

Die Polizei auf digitaler Spurensuche: Hans-Rudolf Flury von der Bundeskriminalpolizei erzählt über aufschlussreiche Daten.

Zur Person

Box aufklappen Box zuklappen

Hans-Rudolf Flury ist Leiter der Bundeskriminalpolizei, die beim «fedpol», dem Bundesamt für Polizei, in Bern angesiedelt ist.

SRF: Wie fängt eine Ermittlung im digitalen Raum an?

Hans-Rudolf Flury: Ein Weg ist, dass in einem Ermittlungsverfahren der Staatsanwalt Durchsuchungen oder Zwangsmassnahmen verfügt. Wir stellen alle elektronischen Geräte sicher, Smartphones, Laptops, Speicher-Sticks und so weiter. Dann beginnen wir mit der Auswertung der Daten auf diesen Geräten.

Wir können auch gewisse Internetseiten anschauen und finden Seiten mit strafbaren Handlungen oder Inhalten. Oder wir bekommen Hinweise von Drittpersonen, Bürgern oder anderen Polizeidienststellen.

Wir können sehr, sehr viel feststellen.

Die Datenmengen sind riesig. Wo fangen Sie an, wenn Sie die beschlagnahmten elektronischen Geräte auswerten?

Die Datenmengen sind eine grosse Herausforderung. Aber wir führen diese Zwangsmassnahmen aufgrund von Hinweisen durch. Die Daten auf den Laptops, Sticks, Tablets und Handys werden zuerst forensisch gesichert.

Das bedeutet: Wir müssen sie so sichern, dass man eindeutig sieht, dass es die Originaldaten sind, an denen die Polizei nichts verändert hat. Dann sind sie gerichtsrelevant. Mit diesen Daten können wir arbeiten.

Was kann ein Ermittler damit herausfinden?

Sehr viel. Es ist möglich, im Internet Spuren zu verfolgen, ein Persönlichkeitsbild oder sogar ein Profil einer Person zu erstellen, die wir genauer betrachten wollen.

Die ganze Palette ist möglich: Wir können die Kontakte feststellen, die Telefongespräche, SMS, die Inhalte, Bilder, Dokumente, die gespeichert sind. Wir suchen eigentlich immer die Nadel im Heuhaufen. Aber wir können sehr, sehr viel feststellen.

Werten Sie beispielsweise die Suchmaschinenanfragen einer Person aus, um herauszufinden, wofür sich jemand interessiert?

Genau. Man kann so wirklich Durchbrüche schaffen.

Sichten der Polizist, die Polizistin auch Kommentare in sozialen Medien?

Das kann es bedeuten, ja. Muss es wohl, damit wir die nötigen Hinweise bekommen. Wenn Seiten zu Gewalt aufrufen oder Gewalt zeigen, haben wir auch die Möglichkeit, sie sperren zu lassen. Gerade im Terrorismusbereich funktioniert das unkompliziert.

Gibt es für diese «Suche nach der Nadel im Heuhaufen» ein Standardprozedere, bestimmte Begriffe und Muster, nach denen Sie vorgehen?

Standardmässige Software ja, aber nicht Standard-Suchbegriffe. Jeder Fall muss anders betrachtet werden. Dafür braucht es den Ermittler, nicht nur den IT-Ermittler, sondern auch den ursprünglichen, klassischen, der die Fakten aufarbeitet und die Suchbegriffe aufgrund seiner Erkenntnisse festlegen kann.

Im Terrorismusbereich sind wir im Internet sehr aktiv.

Auf welchen Delikten liegt der Fokus der Bundeskriminalpolizei?

Mit den Kantonen sind alle Deliktsgruppen zu bearbeiten. In unsere, also die Bundes-Zuständigkeit fallen vor allem Terrorismus, Menschenhandel und Menschenschmuggel, die schweren Delikte der Wirtschaftskriminalität wie Geldwäscherei.

Im Terrorismusbereich sind wir im Internet sehr aktiv. Und auch in der Zusammenarbeit mit den Kantonen: Am Fall des vermissten Jungen Paul im Kanton Solothurn haben wir auch gearbeitet.

Dort waren die gelöschten Daten für Sie von besonderem Interesse.

Ja. Im Fall Paul war das der Durchbruch für das Finden des entführten Jungen. Zuerst wusste man ja nicht: Wurde er entführt oder ist er weggelaufen?

Er hat mit seinem PC gespielt. Unsere Spezialisten und die des Kantons haben sich diesen PC genau angeschaut und im digitalen Papierkorb Hinweise gefunden, die den Ausschlag für sein Auffinden gaben.

Wir haben gesehen, dass er Kontakte nach Deutschland hatte und über das Spiel aufgefordert wurde, die Spielplattform zu verlassen und in ein anderes System zu wechseln.

Dann hat man festgestellt, mit wem er unter Pseudonym gespielt und welches Pseudonym die Gegenseite verwendet hat. Aufgrund von deren IP-Adresse konnten wir ermitteln, wo in Deutschland er sich aufhielt. Das war ausschlaggebend dafür, dass wir den Jungen noch finden konnten.

Das Gespräch führte Raphael Zehnder.

Sendung: Radio SRF 2 Kultur, Kontext, 27.9.2017, 9 Uhr.

Meistgelesene Artikel