Mit Häme sparten die Kollegen nicht, als Markus Klemen gestand, dass er den Angriff auf ein soziales Netzwerk nur simuliert hatte. Wie solle er dann wissen, fragten seine auch nur angeblich hartgesottenen "Hackerfreunde", ob der forensische Baukasten überhaupt funktioniert, wenn er nicht einmal richtig damit spielt.
Gewisse Grenzen kann und will der Koordinator des Fit-IT-Projekts "Inform", das die Computerforensik auf den Stand der Zeit bringen soll, dennoch nicht überschreiten. Zur Überprüfung der eigenen Methode, die im sechsköpfigen Team des Konsortiums rund um die Security Research Sicherheitsforschung GmbH entwickelt wird, müssen oft theoretische Beweisführungen genügen. Da geht es den Zweitplatzierten in der Fit-IT-Kategorie "Trust in IT Systems" nämlich nicht anders als jenen Polizisten, die bei computerbasierten Verbrechen immer nur versuchen können, mit großem Aufwand eine Indizienkette herzustellen. Ihnen möchte das Team helfen bei dieser Arbeit, die zusehends komplexer wird.
Schwieriger ist das Aufspüren von Verbrechen, die mit oder zumindest mithilfe eines Computers begangen werden - vom Betrug bis hin zur Kinderpornografie - nicht zuletzt dadurch geworden, dass Daten dezentral, also auf Servern und nicht am eigenen PC gespeichert werden. Auch Fälle von Stalking in einer "nur" virtuellen Welt, also vor allem in sozialen Netzwerken, haben zugenommen. Hat die Polizei ein Delikt erst einmal festgestellt, muss sie quasi rückwärts ermitteln, das heißt, sie führt erst nachträglich forensische Untersuchungen auf Computern oder in Netzwerken durch. Etwa um zu klären, wie hoch die Wahrscheinlichkeit ist, dass ein Verdächtigter zu einem bestimmten Zeitpunkt eine Handlung über ein bestimmtes Netzwerk gesetzt haben kann. Der Zeitaufwand dafür ist enorm, denn derzeit ist die automatisierte Evaluierung von Informationen in verteilten Daten noch unmöglich.
Markus Klemen glaubt nun, dass die Lösung dieses Problems in einer Art Werkzeugkasten aus unterschiedlicher Software liegt, der auf semantischer Ebene Informationen auf Servern "verstehen" kann. In einem ersten Schritt würde nach vielversprechenden Quellen für Indizien gesucht und erst im zweiten, deutlich forschungsintensiveren, nach dem Sinngehalt dieser Spuren. (saum, DER STANDARD, Print-Ausgabe, 23. Juni 2010)