In der modernen Strafverfolgung ist das Dateisystem längst nicht mehr der verlässlichste Zeuge. Wer Spuren verwischen will, löscht Dateien, formatiert Speicher oder verschlüsselt ganze Datenträger. Doch selbst dann bleiben Fragmente zurück – Datenreste, die in den ungenutzten Sektoren einer Festplatte auf ihre Wiederentdeckung warten. File Carving ist die forensische Methode, genau diese digitalen Fossilien auszugraben. Mit Künstlicher Intelligenz wird dieses Puzzlen nun intelligenter – und effizienter. Aber vielleicht auch rechtlich problematischer.

Was ist File Carving?

Anders als klassische Datenwiederherstellung, die sich auf Dateisystem-Metadaten stützt, rekonstruiert File Carving Dateien allein anhand ihrer charakteristischen Inhalte. Es ist die digitale Variante archäologischer Ausgrabung: Gesucht wird nach bekannten Signaturen – etwa typischen Header/Footer-Kombinationen von JPEGs oder PDFs – und dann versucht man, aus den gefundenen Rohdaten vollständige Dateien zu rekonstruieren. Das gelingt besonders gut, wenn die Dateien nicht fragmentiert sind. Doch gerade in der Realität – etwa bei forensischen Sicherstellungen aus kriminellen Infrastrukturen – ist Fragmentierung die Regel, nicht die Ausnahme.

Die Grenzen klassischer Tools

Tools wie Foremost oder Scalpel haben sich im Bereich der Open-Source-Forensik bewährt. Sie erkennen Muster und schneiden passende Blöcke aus Speicherabbildern heraus. Doch bei fragmentierten Dateien, bei denen etwa ein JPEG-Bild in mehreren nicht zusammenhängenden Speicherbereichen liegt, versagen diese Werkzeuge oft – die Dateien bleiben unvollständig oder werden gar nicht erkannt. Hier setzt moderne KI an: mit maschinellem Lernen und neuronalen Netzen.

CARVE-DL: Der KI-Schub für die Forensik

Ein Paradebeispiel ist das deutsche Forschungsprojekt CARVE-DL, gefördert vom Bundesministerium für Bildung und Forschung. Gemeinsam mit dem LKA Rheinland-Pfalz, dem BKA, der Firma Binary Impact und dem Deutschen Forschungszentrum für Künstliche Intelligenz (DFKI) wird hier daran gearbeitet, File Carving auf ein neues Level zu heben.

Der Clou: Mittels Deep Learning sollen nicht nur klassische Dateisignaturen erkannt, sondern auch fragmentierte Dateien intelligent rekonstruiert werden – etwa indem ein KI-Modell verschiedene Bruchstücke einer Datei als zusammengehörig erkennt, auch wenn sie verstreut auf dem Datenträger liegen.

Ein praktisches Ziel ist, Daten aus riesigen Mengen beschlagnahmter Speicherträger schneller auszuwerten – wie im Fall des „Cyberbunkers“ in Traben-Trarbach, wo mehrere Petabyte Daten untersucht werden mussten. CARVE-DL verspricht hier eine signifikante Beschleunigung – und damit auch eine effektivere Beweisführung im Strafprozess.

Mehr bei uns zu digitalen Beweismitteln:

GPU und Hashes: Wenn Hardware hilft

Auch jenseits neuronaler Netze wird intensiv geforscht: Der Einsatz von GPUs – also Grafikprozessoren – hat das sogenannte „hash-basierte Carving“ massiv beschleunigt. Dabei werden Dateifragmente anhand vorab berechneter Hash-Werte erkannt – zum Beispiel von bekannten illegalen Bilddateien. Die parallele Verarbeitung auf modernen GPUs erlaubt dabei das Scannen großer Datenmengen in Echtzeit – etwa an Flughäfen oder Grenzübergängen, wo wenig Zeit für eine vollständige Analyse bleibt.

Erklärbare KI: Vertrauen durch Nachvollziehbarkeit

Ein noch relativ neuer, aber vielversprechender Ansatz stammt aus dem Bereich der „Explainable AI“ (XAI). In der Studie SIFT wurde gezeigt, dass erklärbare Modelle – etwa basierend auf LIME und SHAP – genutzt werden können, um Fragmente anhand ihrer statistischen Signifikanz zu klassifizieren und zu rekonstruieren. Gerade in der forensischen Praxis, wo es um gerichtsfeste Beweise geht, ist Transparenz in der Entscheidungsfindung von KI-Modellen essenziell.

Rechtsanwalt Jens Ferner, TOP-Strafverteidiger und IT-Rechts-Experte - Fachanwalt für Strafrecht und Fachanwalt für IT-Recht

File Carving war schon immer ein Wettlauf mit der Zeit – und mit der Technik. Mit KI halten nun mächtige Werkzeuge Einzug, die diesen Wettlauf zumindest verlangsamen könnten – zugunsten der Aufklärung. Und auch wenn nicht jeder digitale Schatten zu Licht wird: Die Wahrscheinlichkeit, dass wichtige Fragmente wieder ein Bild ergeben, steigt mit jedem intelligenten Byte. Aber es ergeben sich auch rechtliche Fragestellungen, wenn Ermittler damit immer tiefer in gelöschte Inhalte einsteigen können.

Rechtliche Probleme beim KI-File-Carving

Der Einsatz KI-gestützter File-Carving-Verfahren wie „Carve-DL“ in der Strafverfolgung bringt erhebliche rechtliche Probleme mit sich, insbesondere im Hinblick auf die Anforderungen an die Gerichtsfestigkeit digitaler Beweismittel, Grundrechtsschutz und Nachvollziehbarkeit der Beweisgewinnung.

Grundsatzproblem: Nachvollziehbarkeit & Transparenz

Nach deutschem Strafprozessrecht müssen digitale Beweismittel so erhoben und präsentiert werden, dass sie für das Gericht nachvollziehbar und überprüfbar sind. KI-basierte Verfahren – insbesondere solche, die auf neuronalen Netzen basieren – stellen dieses Prinzip in Frage. Der Bundesdatenschutzbeauftragte und Fachliteratur weisen bereits darauf hin, dass eine klassische Nachvollziehbarkeit bei solchen Systemen oft technisch nicht möglich ist. Das schafft Raum für eine erhebliche Beweiswertproblematik, da etwaige „Black-Box“-Modelle keine transparente Rechenlogik liefern.

Gefahr rechtsstaatswidriger Ermittlungsketten

Eine KI rekonstruiert aus digitalen Spuren verdachtsgenerierende Datenpunkte, erzeugt so Ermittlungsansätze, die zu Hausdurchsuchungen führen – deren Ergebnisse wiederum unabhängig von der eigentlichen Rechtmäßigkeit der KI-Auswertung verwertet werden. Das führt zu einer faktischen Umgehung rechtsstaatlicher Kontrollmechanismen.

Verstoß gegen Beweiserhebungsgrundsätze

Die deutsche Strafprozessordnung erlaubt nur Beweismittel, die rechtmäßig erlangt wurden und deren Herkunft sowie Integrität überprüfbar sind (Stichworte: Chain of Custody, Dokumentationspflichten). Wird File Carving mittels KI durchgeführt, ohne diese Standards sicherzustellen (z. B. durch nachvollziehbares Hashing, Metadatenanalysen, Vier-Augen-Prinzip), droht ein Beweisverwertungsverbot.

Diskriminierungsrisiken und Bias

KI kann Verzerrungen enthalten, etwa bei der Bewertung von Inhalten oder bei der „Identifikation“ von Personen. Solche Biases sind schwer kontrollierbar und könnten diskriminierend wirken. In der Praxis muss der Mensch daher weiterhin das letzte Wort haben – das fordert auch die Forschung ausdrücklich.

Verletzung des IT-Grundrechts

Gemäß dem Bundesverfassungsgericht sind besonders strenge Anforderungen an Maßnahmen zu stellen, die tief in die Privatsphäre durch digitale Analysen eingreifen. KI-gestützte Carving-Prozesse können eine solche Intensität erreichen – etwa wenn Inhalte rekonstruiert werden, die ursprünglich verschlüsselt oder absichtlich gelöscht wurden. Solche Maßnahmen können ohne verfassungsgemäße Ermächtigung unzulässig sein.

Ausblick: Was bedeutet das für die IT-forensische Praxis?

Für IT-Forensiker und Ermittlungsbehörden eröffnen sich durch KI-gestütztes File Carving erst einmal neue Möglichkeiten, die auch zu verbesserten Ermittlungsergebnissen führen:

Schneller: Milliarden Fragmente in kurzer Zeit analysierbar.
Präziser: Höhere Wiederherstellungsrate auch bei fragmentierten Dateien.
Skalierbarer: Auch große Datenmengen – etwa bei Serverfarmen oder Ransomware-Kampagnen – werden bearbeitbar.
Rechtssicherer: Erklärbare KI kann nachvollziehbare, gerichtsfeste Ergebnisse liefern.

Aber es bleibt eine Herausforderung: Die eingesetzten Modelle müssen trainiert, validiert und laufend angepasst werden – die Technologie ist jung, ihre Ergebnisse beeindruckend, aber noch nicht narrensicher. Der Einsatz KI-gestützter File-Carving-Tools ist zudem aus strafprozessualer Sicht derzeit nur dann rechtlich unproblematisch, wenn folgende Bedingungen erfüllt sind:

Lückenlose Dokumentation der eingesetzten KI-Modelle und ihrer Entscheidungen.
Verifikation der Ergebnisse durch menschliche Sachverständige.
Sicherung der Nachvollziehbarkeit für Gericht und Verteidigung.
Strikte Prüfung der gesetzlichen Ermächtigungsgrundlagen und des Verhältnismäßigkeitsgrundsatzes bei tiefgreifenden Eingriffen.

Fehlen diese Voraussetzungen, sind erhebliche Bedenken hinsichtlich der Verwertbarkeit und Rechtmäßigkeit der auf diesem Weg gewonnenen Beweismittel geboten.

Über
Letzte Artikel

Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht - zertifizierter Experte in Krisenkommunikation & Cybersecurity)

Fachanwalt für Strafrecht & IT-Recht bei Anwaltskanzlei Ferner Alsdorf

Ich bin Fachanwalt für Strafrecht + Fachanwalt für IT-Recht und widme mich beruflich ganz der Tätigkeit als Strafverteidiger und dem IT-Recht mit Schwerpunkt Cybersecurity & Softwarerecht. Ich bin zertifizierter Experte für Krisenkommunikation & Cybersecurity; zudem Autor sowohl in Fachzeitschriften als auch in einem renommierten StPO-Kommentar zum IT-Strafprozessrecht und zur EU-Staatsanwaltschaft.Als Softwareentwickler bin ich in Python zertifiziert und habe IT-Handbücher geschrieben.

Erreichbarkeit: Per Mail, Rückruf, Threema oder Whatsapp.

Unsere Kanzlei ist spezialisiert auf Starke Strafverteidigung, seriöses Wirtschaftsstrafrecht und anspruchsvolles IT-Recht inkl. IT-Sicherheitsrecht - ergänzt um Arbeitsrecht mit Fokus auf Managerhaftung.

Letzte Artikel von Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht - zertifizierter Experte in Krisenkommunikation & Cybersecurity) (Alle anzeigen)

Die Einziehung von Taterträgen beim untauglichen Versuch - 22. Mai 2025
Russische Cyberangriffe auf westliche Logistik- und Technologieunternehmen 2025 - 22. Mai 2025
Keine Schweigepflicht im Maßregelvollzug - 21. Mai 2025