Om criminaliteit aan te pakken is, naast onder andere tactische en forensische expertise, tegenwoordig steeds vaker digitale deskundigheid nodig. Plaatselijke en regionale onderzoeksteams schakelen hiervoor rechercheurs in met ICT als specialisatie. Ze hebben een driejarige opleiding tot Recherchekundige Digitaal ('reku') gevolgd aan de Politieacademie in Apeldoorn, waar alleen kandidaten met een hbo-diploma op ICT-gebied worden toegelaten.

Een Recherchekundige Digitaal is niet zomaar een ICT'er - alle reku's krijgen behalve trainingen in digitale recherche ook opleidingen in het reguliere politiewerk, inclusief politie-uniform en uitrusting. Reku's zitten niet alleen op kantoor achter pc's, maar hebben geweld- en aanhoudingsbevoegdheid. Behalve een scherp analytisch en conceptueel vermogen, zelfinzicht en integriteit, wordt van hen ook een ijzersterke conditie verwacht - niet alleen om opgewassen te zijn tegen fysiek veldwerk, maar ook omdat het werk emotioneel zwaar kan zijn.

Schimmige wereld

Een van de plaatsen waar de reku's na hun opleiding kunnen worden ingezet is het Team High Tech Crime (THTC), dat zich richt op geavanceerde cybercriminaliteit met een grote maatschappelijke impact of onderzoeken waar meerdere verdachten bij betrokken zijn. THTC staat internationaal in hoog aanzien en werkt samen met opsporingsinstanties in andere landen. Ze ontvangen en dienen ook zelf rechtshulpverzoeken in. Dat kan ook niet anders. In de digitale wereld ben je immers zo de grens over.

Michiel Kok is tactisch coördinator bij THTC. Na tien jaar in de automatisering te hebben gewerkt en succesvol een HEAO-opleiding te hebben afgerond, hakte hij de knoop door en maakte de overstap naar de politie. Iets wat hij altijd al wilde doen.

"Ik kwam bij THTC terecht om een rol te vervullen bij een onderzoek rondom Robert M. (de beruchte Amsterdamse zedenzaak uit 2010 - red.)," vertelt hij ons. "Robert M. had veel connecties met andere verdachten, legde daar ook dingen over vast, maar het is een schimmige wereld, met valse namen, afgeschermde ip-adressen en websites vol kinderporno op het TOR-netwerk. Wij hebben intensief onderzoek gedaan om zijn medeplichtigen op te sporen. Er waren uiteraard wel eerder zedenzaken geweest, maar nog nooit op deze schaal. Daarin heeft THTC de politieteams ondersteund die het onderzoek waren gestart."

Kansrijke sporen

Een forensisch expert is tegenwoordig een vast onderdeel van een onderzoeksteam, maar een digitale expert zit er nog niet altijd bij. Toch wordt de Recherchekundige Digitaal wel steeds vaker ingezet bij onderzoeken. Michiel Kok: "Net als bij een normale bedrijfsvoering, gebruiken ook criminelen computertechnologie. Om hun communicatie af te schermen, of concurrenten in de gaten te houden bijvoorbeeld. Het begint met een laptop, dan een netwerk en dat willen ze natuurlijk afschermen tegen hackers.

"ICT is voor criminelen belangrijk en dat biedt belangrijke kansen voor de politie. Wat wij op digitaal gebied kunnen doen is zeer uiteenlopend. Zoals systemen die zijn gehackt of door een verdachte zijn gebruikt in beslag nemen, een image van een server maken, of het veiligstellen van logfiles."

Samen met de beheerders van een provider of datacenter doet een recherchekundige er alles aan om informatie te achterhalen die een onderzoek verder kan helpen. Michiel: "Een hacker kan op een bepaald systeem bestanden hebben achtergelaten, of er zijn sporen te vinden in logfiles. Een verdachte kan bewijsmateriaal hebben vernietigd, maar ook dan zijn er nog kansen. Een gedegen kennis van ICT en een goed contact met de beheerders is daarom van essentieel belang om dan alsnog kansrijke sporen te vinden."

Hopen op fouten

Tijdens een opsporingsonderzoek is het zaak om net zo lang na te denken en te zoeken, tot foutjes worden gevonden die de verdachte heeft gemaakt. Michiel Kok: "Daar valt of staat alles mee. Met het vinden of uitlokken van fouten. We zijn al sporen volgend wel eens digitaal de halve wereld over gereisd, tot Korea aan toe, waarna de hacker in Barendrecht bleek te wonen en daar kon worden aangehouden."

Een recherchekundige moet een helikopterview hebben en herkennen welke digitale mogelijkheden zich in een onderzoek voordoen. Weten waar mogelijk sporen zijn achtergebleven. Zoals in camera's, telefoons, de apps die op het toestel staan, of geografische data in foto's.

"Digitale data is vaak vluchtig," vertelt Michiel. "Een verdachte heeft misschien ergens met zijn telefoon rondgelopen. Dan moet de data uit die zendmasten snel bevroren worden. Want ook al heeft een verdachte niet gebeld, de zendmast is dan wel aangestraald. Een recherchekundige moet goed zicht hebben op hoe de infrastructuur er in de snel veranderende digitale wereld uitziet. Hij moet ook weten welke waarde hij aan sporen moet hechten. In tegenstelling tot DNA is data niet uniek, dus iemand kan ten onrechte verdacht worden gemaakt door data te reproduceren."

Tactische operatie

Zodra de verdachte is opgespoord en er tot aanhouding kan worden overgegaan, breekt een spannend moment aan. "Je weet niet wat je aantreft als je bij de verdachte naar binnen gaat," vertelt Michiel Kok. "Hoe gedraagt hij zich, hoe reageert de omgeving, zijn er meer mensen in huis. Natuurlijk zoeken wij van te voren zo veel mogelijk uit en iedereen in het team is erop getraind. We hebben een blindelings vertrouwen in elkaar en het kameraadschap is hoog. Samen naar binnen, de verdachte aanhouden, de apparatuur in beslag nemen en hopen dat die open wordt aangetroffen, dus niet encrypted."

"De aanhouding is een tactische operatie. Een Recherchekundige Digitaal gaat mee, heeft dan ook een volwaardige politieopleiding gevolgd en praktijkervaring opgedaan. Toch is het vooral een kantoorbaan, al wordt er ook gereisd om sporen veilig te stellen. Er is altijd een team oproepbaar en we draaien piket. Als we vanavond een verdachte mogen aanhouden, staan we allemaal klaar. Die flexibiliteit is er, net als de gedrevenheid om het goede te willen doen."

Nooit hetzelfde

Het onderzoeksveld van een recherchekundige verandert continu. "Je weet nooit alles van internet of software," vertelt Michiel Kok tot besluit. "Technieken en methoden veranderen snel. Je moet daarom leren anticiperen. Je weet grofweg hoe de wereld in elkaar steekt, maar komt tijdens opsporingsonderzoeken steeds weer andere manieren tegen hoe er gehackt is, nieuwe malware-varianten of phishing-technieken. Daar kun je op anticiperen dankzij de kennis en ervaring die je al hebt opgedaan. Wat dat betreft variëren de onderzoeksmogelijkheden per maand. Berichten op Whatsapp waren bijvoorbeeld goed inzichtelijk te krijgen, maar die data is nu encrypted. De digitale wereld is steeds weer anders en dat is heel erg gaaf. We blijven maar bezig, het gaat keihard."

Dit artikel is tot stand gekomen in samenwerking met de Landelijke Eenheid van de Nationale Politie. Wil je werken als Recherchekundige Digitaal? Kijk hier.