Steven Broschart
DE·EN
Kontakt
DFVA

Digital-forensische Verhaltens­analyse — digitale Spuren der Täter sichtbar machen.

Anwendungs­bereiche: Raub, organisierte Kriminalität, Attentate & Terror­anschläge, Bedrohung & Erpressung, Tötungs­delikte, Entführung & Vermissten­fälle, unklare Sachlage.

Hinweis

Bei den im Folgenden gezeigten Beispielen können wir aus Gründen des Umfangs und des Datenschutzes nicht alle Erkenntnisse präsentieren.

Referenzfälle

Auswahl bekannter Verfahren

Thomas Drach

Thomas Drach

  • Unterstützung der Ermittlungen zu den Überfällen auf die IKEA-Filialen in Köln und Frankfurt sowie auf den Flughafen Köln/Bonn
  • Presseartikel (bild.de) →
Phasen

Vor, während und nach der Tat

Vor der Tat

In Abhängigkeit vom Verhältnis zwischen Täter und Opfer lassen sich typische, aber auch sehr spezielle Suchvorgänge zur Informations­beschaffung finden. Die Art und Weise, welche Suchvorgänge wann von wo aus abgesetzt wurden — aber auch welche eben nicht — können wichtige Ermittlungs­ansätze liefern oder bisherige Hypothesen stützen oder entkräften.

Während der Tat

Nicht selten werden selbst während einer Tat aktuelle Informationen zur Nachrichtenlage abgerufen. Alleine dieser Umstand kann viel über die Umstände vor Ort, aber auch über die Anzahl der Täter aussagen. Von besonderer Bedeutung ist hier, dass mobile Endgeräte zum Einsatz kommen, die auch als Navigations­assistent bei der Fahrt zum Tatort, aber auch bei der Flucht verwendet werden.

Nach der Tat

Suchvorgänge, die vor und während der Tat abgesetzt wurden, lassen sich deutlich leichter isolieren als solche, die nach dem Bekanntwerden einer breiteren Öffentlichkeit formuliert werden. Dennoch können Täter auch nach der Straftat durch ihr spezifisches Wissen auffallen und sich dadurch zu erkennen geben.

Beispiel
Eingeweihte & Auffälligkeiten nach Bekanntwerden

Cora A. — vorgetäuschter Suizid im Wattenmeer

Am 14. Oktober 2019 täuschte Cora A. einen erweiterten Suizid im Wattenmeer vor. Im Kampf um das Sorgerecht für ihren Sohn wollte sie damit die Flucht ins Ausland verdecken. Eine Bekannte erinnerte sich, dass Cora A. erwähnte, nach Spanien auswandern zu wollen, obwohl nicht bekannt war, dass dort Freunde oder Verwandte leben, die sie unterstützen würden.

Suchaktivität rund um den 14.10.2019

In der Tat lassen sich kurz vor dem 14.10.2019 auffällig viele Suchanfragen aus Madrid zu „Brunsbüttel", dem Wohnort von Cora A., finden. Dies legt den Verdacht nahe, dass Eingeweihte die Nachrichtenlage zu den erwarteten Entwicklungen überprüfen wollten.

Suchanfragen aus Madrid zu Brunsbüttel

Nach dem Verschwinden von Cora A. lassen sich aus Madrid viele unterschiedliche Suchvorgänge zum Sorgerecht in deutscher Sprache finden. Diese Beobachtung legt den Schluss nahe, dass Cora A. tatsächlich in Madrid mit ihrem Sohn untertauchte.

Suchvorgänge zum Sorgerecht aus Madrid
Rekonstruktion

Die Rekonstruktion in drei Schritten

Informationsbedarf der Täter

Die Informations­beschaffung beginnt in den meisten Fällen mit der Nutzung der Suchmaschine, die zum Besuch mindestens einer Website führt. Die Täter hinterlassen dadurch bei der Suchmaschine, aber auch auf dem Website-Server eine verfolgbare Spur.

Daten erfassen & analysieren

Nun ermitteln wir, welche Suchanfragen im Kontext der Tat abgesetzt wurden und rekonstruieren, welche Suchergebnisse zu dieser Zeit ausgespielt und damit potenziell aufgerufen wurden. Sobald diese bekannt sind, können diese über eingebundene Trackingsysteme wie Google Analytics, aber auch über die Logfiles analysiert werden.

Hypothese & Attribution

Aus den ermittelten Daten kann oftmals ein Verhaltensprofil abgeleitet sowie Hypothesen zum Tathergang und zur Täterschaft entwickelt werden. Durch die Analyse der Logfiles und Trackingdaten der aufgerufenen Quellen ist es sogar möglich, konkrete personen­bezogene Daten — etwa die IP-Adresse — zu ermitteln.

Schematische Darstellung des Rekonstruktions­prozesses
Interpretation

Sechs Dimensionen der Datenauswertung

Assoziative Cluster

In der Regel lässt sich eine Vielzahl an unterschiedlichen Suchvorgängen finden, die aber alle in einem gemeinsamen Kontext stehen. Die betreffenden Suchvorgänge werden auf Basis der bis dato bekannten Faktenlage ermittelt und über geeignete laterale Denkmodelle rollenspielartig ergänzt.

Plausibilitätsanalyse

Zu Beginn der Ermittlungs­arbeit drängen sich oftmals konkrete Hypothesen zum Tathergang, zur Herkunft der Täter und zur Täter-Opfer-Beziehung auf. Diese Hypothesen können mit Hilfe der Analyse des Suchprofils untermauert, aber auch entkräftet werden. So lässt sich beispielsweise ein scheinbarer Raubmord als geplanter Mord enttarnen.

Chronologie

Suchvorgänge dürfen nie isoliert, sondern müssen immer im zeitlichen Kontext betrachtet werden. Oftmals erklärt sich erst so die Bedeutung einzelner Suchvorgänge. Deshalb wird im Rahmen der Analyse immer auf eine chronologische Zusammen­stellung der Informations­beschaffung hingearbeitet.

Bewegungsprofile

Je nach Organisationsprofil der Tat lassen sich oft auch Bewegungs­profile ermitteln. Diese liefern geographische Hinweise zur Anfahrt zum Tatort hin, aber auch zum Ziel bei der Flucht. In einem zeitlichen Kontext bewertet, lässt sich so ein Minimal- und Maximalradius in Kilometern formulieren, aus dem die Täter stammen. Im Idealfall finden wir sogar konkrete personen­bezogene Daten.

Organisationsmerkmale

Der Planungsgrad einer Tat lässt sich ebenfalls sehr gut über eine Analyse der Informations­beschaffung abschätzen. So kann ermittelt werden, wie viele Personen von der Tat wussten bzw. in ihre Planung eingebunden wurden — und oft auch, wo diese Personen herkommen. Auch der Gebrauch von Verschleierungs­techniken wird erkennbar, der auf eine höhere Professionalisierung hindeutet.

OSINT & Social Media

Es gibt Täter und Tätergruppen, die aus unterschiedlichen Gründen die Kommunikation über Social-Media-Kanäle wie Facebook oder Telegram suchen. Deshalb werden diese Kanäle, aber auch alle weiteren Open-Source-Intelligence-Datenlieferanten ebenfalls in die Analyse einbezogen.

Beispiel
Bewegungsprofile & Organisationsstrukturen

Vohburg — gesprengter Bankautomat

Am 22. Oktober 2019 wurde in Vohburg, eine Autostunde nördlich von München, gegen 3 Uhr nachts ein Bankautomat gesprengt.

Übersichtsdaten zum Tatort Vohburg

Kurz vor Mitternacht finden wir eine auffallend hohe Anzahl an Suchanfragen zur Vohburger Postleitzahl 85088. Zumindest ein großer Anteil stammt scheinbar aus München, beziehungsweise einem dort zugeordneten Knotenpunkt.

Suchanfragen zur Postleitzahl 85088 vor Mitternacht

Unmittelbar nach der Tat lassen sich Suchanfragen zu einer Postleitzahl in München finden. Diese Beobachtung impliziert eine physische Bewegung der Täter von München nach Vohburg und zurück. Auch der zeitliche Rahmen scheint plausibel.

Suchanfragen zu Münchner Postleitzahl nach der Tat

Mit der ermittelten Postleitzahl 80803 können wir eine Hypothese zur Herkunft der Täter ableiten.

Hypothese zur Herkunft der Täter — Postleitzahl 80803

Interessant ist hier auch die Beobachtung, dass bei der Suche nach „Vohburg" scheinbar Verschleierungs­techniken zum Einsatz kamen. Es scheint doch relativ unwahrscheinlich, dass der beschauliche Ort so häufig in Russland, Vietnam oder Indien nachgefragt wurde. Dieser Umstand kann auf ein strukturiertes, organisiertes Vorgehen hinweisen.

Geographische Verteilung der „Vohburg
Zeitfaktor

Zeit als kritischer Faktor

FENSTER 1

4 bis 24 Stunden

Die höchste Datenqualität erhalten wir in einem Zeitfenster bis 4 Stunden nach der Tat — minutengenaue zeitliche Auflösung. Praxisnäher dürfte ein Fenster bis 24 Stunden sein, in dem Suchvorgänge noch auf 8 Minuten genau bestimmt werden können. Zu bedenken ist, dass auch die Planung — also die Zeit vor der Tat — einen besonderen Untersuchungs­zeitraum darstellt.

FENSTER 2

7 Tage

Bei einer Überschreitung von 24 Stunden, aber innerhalb von 7 Tagen nach der Tat, liefert Google die Daten zum Suchvolumen in einem auf die Stunde gerundeten Zeitraster. Auch dieses reicht für viele Untersuchungen aus, da die Vollständigkeit und Qualität der Daten hier noch nicht signifikant abnimmt. In diesem Fenster sind außerdem Logfiles aufgerufener Quellen verfügbar.

FENSTER 3

Zurück bis 2004

Nach Ablauf eines Zeitfensters von einer Woche sind die Möglichkeiten zur Rekonstruktion deutlich eingeschränkt. Trotzdem lassen sich oft noch Ermittlungs­ansätze und Informations­fragmente nutzen, etwa aus auf der Website installierten Tracking­systemen. Der Fall der 2007 entführten Madeleine McCann zeigt, dass auch nach langer Zeit markante Informationen gesichert werden können. Insgesamt reichen die Daten bis ins Jahr 2004 zurück.

Beispiel
Wert zeitnaher Untersuchung

Beirut — Explosion am 4. August 2020

Am 4. August 2020 wurde Beirut gegen 18 Uhr (17 Uhr deutsche Zeit) von einer sehr starken Explosion erschüttert.

Beirut — Übersichtskarte des Geschehens

Scheinbar hatten Schweißarbeiten zu Funkenflug geführt, wodurch die Explosion ausgelöst wurde (Quelle: Wikipedia).

Beirut — offizielle Erklärung

Ermittelte Daten, die unmittelbar nach den Geschehnissen gesichert wurden, zeigen jedoch bereits Tage vorher auffällige Suchanfragen zur gelagerten Substanz, die für die Explosion verantwortlich war. Diese Beobachtung könnte in Frage stellen, ob es sich hier wirklich um einen Unfall, oder doch vielmehr um einen Anschlag handelte.

Auffällige Suchanfragen Tage vor der Explosion

Beobachten wir das exakt gleiche Zeitfenster ein paar Monate später, so lassen sich die auffälligen Suchanfragen nicht mehr finden. Die Qualität der Daten hat deutlich abgenommen. Eine Analyse, die sich nur auf diese stützen würde, käme damit zu völlig anderen Ergebnissen.

Gleiches Zeitfenster nach Monaten — abgenommene Datenqualität
Kontakt

Bereit für ein Gespräch?
Ich freue mich auf Ihre Nachricht.

Kontaktaufnahme