Cybercrime bildlich darzustellen, ist schwer. Wer nach Symbolbildern sucht, findet zumeist einen vermummten Mann mit Brechstange, der vor einem leuchtenden Bildschirm mit vielen grünen Zahlen sitzt. Diese Bilder zeigen, wie abstrakt für viele dieser Bereich der digitalen Kriminalität noch ist. Und das erklärt auch, wieso IT-Forensiker:in als Beruf bisher noch kaum in den Fokus gerückt ist. Dabei wird er in den kommenden Jahren wohl wichtiger werden, als viele heute ahnen – und als manchen lieb sein mag.
„Polizeiliche Ermittlungsarbeit ist heute kaum noch ohne IT vorstellbar“, sagt Johannes Lohmann, Referent im Bereich IT-Forensik des Bundeskriminalamts. „Wir leben immer mehr im Digitalen und hinterlassen da digitale Spuren. Das kann missbraucht werden“, sagt er. Das BKA sucht daher verstärkt nach IT-Forensiker:innen – doch noch fehlen oft die Bewerber:innen.
Doch was macht eigentlich jemand, der in der IT-Forensik arbeitet? Dazu kann Antje Raab-Düsterhöft einiges sagen. Sie ist Professorin für Elektrotechnik und Informatik an der Hochschule Wismar und lehrt im Wings-Fernstudium Bachelor und Master den Schwerpunkt IT-Forensik. „Grundsätzlich geht es um die Aufklärung von Straftaten im Internet, aber auch darum, Computer sicherer zu machen“, sagt sie. Man müsse Löcher in Systemen finden und sie dann schließen.
IT-Erfahrung ist wichtig
In aller Regel richten sich die IT-Forensik-Fernstudiengänge an Berufstätige mit IT-Erfahrung. Im grundlegenden Studiengang werden drei Grundlagen gelehrt: Juristik, Kriminalistik und Informatik. Letzteres liegt auf der Hand. Ein:e IT-Forensiker:in muss sich mit Informationstechnik auskennen, um die Sicherheit von Systemen und deren Angriffspunkte durchdringen zu können. Auch Kenntnisse von künstlicher Intelligenz oder Datenanalyse können wichtig sein. „Man kann sich dabei die Nische suchen, in die man gehen möchte“, sagt Raab-Düsterhöft. So sei es etwa schon vorgekommen, dass ein Kfz-Techniker das Studium absolviert hat, um dann in einer Wirtschaftsprüfergesellschaft im Bereich Automotive anzufangen.
Das Grundlagenwissen in Juristik und Kriminalistik hingegen ist für die Zusammenarbeit mit polizeilichen Behörden und Gerichten von großer Bedeutung. „Alles muss juristisch konform geschehen. In der Aufklärung von Straffällen dürfen von vornherein keine Fehler passieren.“ Sonst seien die Daten vor Gericht nicht verwendbar. Dazu zählt etwa die Kenntnis von gerichtlichen Fristen. Oder dass Daten korrekt aufbereitet werden müssen und dabei nicht verändert werden dürfen.
In der IT-Forensik geht es nicht nur um schwere Verbrechen. Auch kleinere Vergehen könnten schon juristische Konsequenzen haben. „Wenn ein Administrator gekündigt wurde und er Daten an die Konkurrenz weitergibt“, nennt Raab-Düsterhöft als Beispiel für einen sogenannten Innentäterfall.
Die Bandbreite an Einsatzgebieten ist groß: von privaten Wirtschaftsunternehmen, die sich vor Angriffen schützen wollen, über Firmen, die etwa an Verschlüsselungen arbeiten, bis zur Bundeswehr, die sich für hybride Kriegsführung wappnet. Oder eben das Bundeskriminalamt, das Menschen sucht, die die Polizei in der Ermittlungsarbeit unterstützen. „Bei uns arbeiten sie direkt mit polizeilichen Ermittler:innen zusammen. Es geht um die Sicherung, Aufbereitung und Bereitstellung digitaler Spuren“, sagt Johannes Lohmann vom BKA. Das könne auf stationären Computersystemen sein. Etwa die Suchverläufe oder Dateien, die von Beweiswert sind. Oder GPS-Daten, die Sicherung von Text- oder Sprachnachrichten, bis hin zu Darknet-Plattformen, für die ganze Systeme auf Servern gesichert werden müssen.
Wenn die Daten beschlagnahmt sind, geht es um die Aufbereitung. „Dabei kommt es auf spezifische Fragestellungen an. Wird etwa das Adressbuch eines Drogenmarktplatzes gesichert, muss das in eine strukturierte und nachvollziehbare Darstellung gebracht werden.“ Kurzum, es muss lesbar für die Ermittler:innen gemacht werden, die an dem Fall arbeiten. Daher sei das Schreiben von Analyseberichten ein wichtiger Bestandteil der Arbeit beim BKA.
Nichts für reine Schreibtischtäter
Die Arbeit findet aber nicht nur am Schreibtisch statt. „Man muss Flexibilität mitbringen. Wir begleiten Ermittler:innen da, wo sie sind“, sagt Johannes Lohmann. Das bedeutet: arbeiten an Tatorten. Das kann ein Rechenzentrum sein, eine Firma – aber eben auch Privaträume. „Man muss sich klar machen, dass das kein rein cleaner Bürojob ist.“ Lohmann spricht von vier Entwicklungen, die den Bedarf an IT-Forensiker:innen erhöhen werden: Zum einen wird es darum gehen, Inhalte von künstlicher Intelligenz zu erkennen und von menschlichen Inhalten zu differenzieren. Also etwa Deepfakes, mit denen die Identität von Menschen gestohlen wird und andere getäuscht werden können.
Hinzu kommt eine stärkere Auslagerung von Daten auf Cloud-Servern. Es braucht Verständnis von der Technologie und wie man an die Daten kommt. Hersteller setzen immer stärker auf Verschlüsselung – die zu umgehen immer komplizierter wird. In diesem Fall ist Kenntnis von Kryptografie wichtig. Und schließlich die Internationalisierung der digitalen Zusammenarbeit. Das Internet hat keine Staatsgrenzen und es braucht gemeinsame Standards. Daraus zeichnet sich eine Welt ab, die immer mehr im Virtuellen stattfindet. Egal ob als Firma oder Privatperson. IT-Forensiker:innen sollen für die Sicherheit darin sorgen. Dennoch fliegt der Beruf noch etwas unterm Radar – zumindest beim BKA, das selbst Ausbildungsplätze anbietet.
„IT-Forensik wird oft von Leuten als Berufsweg entdeckt, die vorher schon Jahre in anderen Bereichen gearbeitet haben“, sagt Johannes Lohmann. Weniger seien es Menschen, die sich auf dem ersten Berufsweg, direkt aus der Schule oder der Uni kommend, dafür entscheiden. Womöglich, so Lohmann, weil viele denken, dass es sich dabei um die Verwaltung der polizeilichen EDV handelt und nicht um die Mitarbeit an Verfahren.
An den Branchen, aus denen viele Menschen zur IT-Forensik wechseln, lässt sich ablesen, welche Kompetenzen besonders wichtig und gefragt sind. „Bei uns sind das etwa Elektrotechnik, Programmierung, Software- und Spieleentwicklung oder IT-Support“, so Johannes Lohmann. Wer zum BKA kommt, durchläuft eine zweijährige Sachverständigenausbildung, in denen auch hier wichtige Grundlagen der Juristik und Kriminalistik beigebracht werden. „Die Öffentlichkeit und die Gerichte haben hohe Maßstäbe an die IT-Forensik. Schließlich geht es oft um Freiheit oder Nicht-Freiheit“, so Lohmann.
Ein sicherer Arbeitsplatz
Zurück an der Hochschule Wismar. „Wir brauchen nicht viel werben, haben steigende Zahlen an Studierenden“, sagt Antje Raab-Düsterhöft. Da aber sehr praktisch ausgebildet werde und man viel Technik für die Studierenden vorhalten müsse, seien die Plätze begrenzt. Das Bachelor-Fernstudium IT-Forensik kostet beispielsweise 1.950 Euro im Semester. „Das rentiert sich aber, da Unternehmen gut zahlen, damit die Leute zu ihnen kommen“, sagt sie. Dabei kommt es freilich darauf an, in welchem Bereich man nach dem Studium arbeitet.
Die Bezahlung beim BKA richtet sich nach Tarifvertrag. Mit Ausbildung und Vorerfahrung oder Bachelor-Abschluss bedeutet das Besoldungsgruppe A12 oder Entgeltgruppe E12 – je nachdem ob verbeamtet oder nicht. Das sind, je nach Dauer der Einstellung, circa 3.700 bis 5.900 Euro im Monat. Für Personen mit Masterabschluss, die Verwaltungsaufgaben übernehmen, sind es mit A14 oder E14 hingegen circa 4.500 bis
6.500 Euro. Die Hochschule Wismar gibt einen Gesamtdurchschnitt für IT-Expert:innen von etwa 5.200 Euro im Monat an. Große Privatunternehmen, die viel Geld in ihre Sicherheitssysteme stecken, werden jedoch deutlich mehr zahlen. „Firmen nehmen mehr und mehr Geld in die Hand, um ihre Systeme abzusichern und forensische Vorfälle aufzuklären“, so Antje Raab-Düsterhöft. Es ist ein Hochrüsten zwischen Attackierenden und Attackierten. Aber auch zwischen verschiedenen Unternehmen, Behörden oder Ländern. IT-Forensiker:innen haben also einen sicheren Arbeitsplatz – auf viele Jahre.
Jobsuche: Diese KI-Apps erstellen deine Bewerbungsmappe
