Missbrauchsfall von Münster: Die schwierige Arbeit der IT-Forensiker

Schon im Mai 2019 geriet der Hauptverdächtige unter Verdacht, Ermittler durchsuchten seine Wohnung, beschlagnahmten Laptops und Datenträger. Doch selbst die Spezialisten der Polizei brauchten ein Jahr, um die Verschlüsselung zu knacken.

Er soll beruflich Biogasanlagen gesteuert haben: Der Hauptverdächtige des Missbrauchsskandals von Münster war Systemadministrator in einem landwirtschaftlichen Betrieb im benachbarten Kreis Coesfeld. Ein Fachmann für IT-Systeme, vertraut mit Verschlüsselung von Daten und digitaler Kommunikation. Ein Fachmann, dem aber offenbar ein Fehler unterlief, der die Ermittler der Kriminalpolizei Münster im April 2019 auf seine Spur brachte.

Bereits seit 2018 ermittelten die Beamten gegen eine unbekannte Person, die kinderpornografisches Material zum Download im Internet angeboten hatte. Die Dateien tauchten in einem Austausch-Netzwerk namens "e-Donkey2000" auf, das technisch eher als antiquiert gilt. Nach aufwendigen Ermittlungen stießen die Beamten auf eine IP-Adresse, die sie dem landwirtschaftlichen Betrieb zuordnen konnten. Schnell fiel der Verdacht auf den Administrator. Die Polizei durchsuchte Anfang Mai 2019 seine Wohnung und beschlagnahmte Datenträger und Laptops.

Festgenommene kommunizierten mit verschlüsselten Smartphones

Vor welchen Schwierigkeiten die Ermittler in Fällen wie diesen stehen, verdeutlicht der Zeitraum, den die IT-Spezialisten der Polizei benötigten, um die beschlagnahmten Datenträger zu entschlüsseln. Erst ein Jahr später, am 12. Mai 2020, gelang es den Beamten, auf die Inhalte auf einem der Notebooks zuzugreifen. "Diese Daten waren so verschlüsselt, dass wir bis heute noch nicht alle entschlüsseln konnten", sagte der leitende Ermittler, Joachim Poll. Auf dem Gerät habe man dann "unfassbar viele kinderpornografische Dateien" gefunden.

Immer wieder betonen im Internet ermittelnde Beamte, dass ein überraschender Zugriff bei Tatverdächtigen entscheidend sei, um die technischen Geräte unverschlüsselt vorzufinden. Schon die kürzeste Zeit gebe den Verdächtigten die Möglichkeit, Geräte und Datenträger unzugänglich zu machen oder gar zu löschen.

Auch dies hatte der Tatverdächtige aus Münster versucht. Als die Polizei einen Tag nach seiner Verhaftung jene Gartenhütte durchsuchte, in der Missbrauchshandlungen stattgefunden haben sollen, fanden sie eine gelöschte Festplatte. IT-Forensikern gelang es jedoch, Videomaterial wiederherzustellen, das weitere Straftaten belegte und zur Inobhutnahme eines Opfers und zur Verhaftung weiterer dringend Tatverdächtiger führte.

Wenige Hundert Meter von der Gartenhütte entfernt fanden Ermittler in der Wohnung der Mutter des 27-Jährigen zudem einen professionell betriebenen, klimatisierten Serverraum. Die Polizei geht davon aus, dass die vorgefundenen Beweismittel ein Speichervolumen von mehr als 500 Terabyte füllen. Handelsübliche Computer arbeiten ungefähr mit einem Tausendstel dieser Speichermenge.

Das professionelle Handeln der Tatverdächtigen belegen laut Polizei auch die verschlüsselten Smartphones, die sie zur Kommunikation untereinander genutzt hätten. Man habe das Telefon des Hauptverdächtigen nur auswerten können, weil man ihn überrascht habe. "In einem solchen Fall stellen wir beim Blick in die kriminalpolizeiliche Praxis fest, dass wir über unsere Grenzen hinaus kommen", sagte Sebastian Fiedler vom Bund Deutscher Kriminalbeamter. Man brauche nun "ein Plus an Experten wie IT-Techniker für Verschlüsselungstechnik".