Computerforensik: Die IT auf dem Seziertisch

Spurensuche im IT-Zeitalter – wie Spezialisten aus ‘Bit-Salat’ wieder Daten machen und warum IT-Forensik noch immer viel zu wenig genutzt wird

Wissen schützt. Das gilt auch für das Wissen über Computersysteme. Wer nicht weiß, was sich im DV-System abspielt, verliert die Kontrolle, ist wehrlos Missbrauch und Betrug ausgesetzt. Wer wüsste das besser als die Computerforensiker, die täglich Computerkriminalität untersuchen und auswerten – dann, wenn es zu spät ist.

Nur selten erfährt die Öffentlichkeit davon, wenn ein Unternehmen Forensik-Experten bemüht. Denn es ist peinlich und sorgt für Imageschäden, wenn die Firma einräumen muss, Sicherheitslücken so groß wie Scheunentore zu haben oder von den eigenen Mitarbeitern gelinkt worden zu sein.

British Midland Tools, Hersteller von Werkzeugen für die Automobilindustrie, ist eine Ausnahme. Teilhaber der Firma initiierten eine Untersuchung, als ehemalige Mitarbeiter, darunter der Ex-Geschäftsführer, in der unmittelbaren Nachbarschaft eine Konkurrenzfirma aufmachte, die British Midland Tooling. Der Verdacht: Die früheren Angestellten hatten vor ihrem Abgang elektronische Kopien wichtiger technischer Zeichnungen gemacht, um nun Plagiate auf den Markt zu werfen.

Dass Computer eingesetzt werden, um intellektuelles Eigentum zu stehlen, steht außer Frage. Sie nimmt derzeit nach Aussagen von Clive Carmichael-Jones, Operations Director beim Forensik-Spezialisten Vogon International, sogar stark zu. Nach Angaben von Kroll Ontrack, eine weitere Spezialistenfirma für Datenrettung und Computerforensik, stellt die Werksspionage sogar das größte Schadensfeld der Wirtschaftskriminalität dar, sofern digitale Entwendung und Weitergabe von Patenten, Daten, Konstruktionszeichnungen, Plänen, Ideen, Adressbeständen und Kundenkonditionen unter diesem Begriff subsumiert werden.

Hohe Dunkelziffern

Mehr als die Aussage der Experten steht zur Bewertung allerdings kaum zur Verfügung. Denn dank der hohen Dunkelziffer sind Statistiken recht unzuverlässig. Außerdem wird zumindest hierzulande Computerkriminalität eigentlich nicht gemessen. Die Missbräuche werden dem jeweiligen Straftypus zugeordnet, etwa Kinderpornografie, Erpressung, sexuelle Belästigung, Softwarepiraterie, Identitätsklau, Fälschung und Finanzbetrug.

In Großbritannien und den USA sieht das etwas anders aus. Zum Beispiel befragt die britische National High Tech Crime Unit (NHTCU) seit zwei Jahren rund 200 einheimische Firmen zum Thema ‘Computer-enabled Crime’, kurz ‘e-crime’, also Rechtsverletzungen, die mithilfe von Computern oder auf Rechnersystemen begangen werden. Die Untersuchung ist das Pendant zu den bekannteren FBI/CSI-Studien in den USA. Demnach haben nur 40 von 167 Unternehmen, die 2003 von e-crime betroffen waren, die Polizei eingeschaltet. Das scheint umso erstaunlicher, als alleine durch Finanzbetrug in Großbritannien beispielsweise ein Schaden von 121 Millionen Pfund verursacht worden war. Die Verluste durch unberechtigten Zugang beliefen sich auf 472.000 Pfund, durch Sabotage 802.000 Pfund und durch Datenklau 6,6 Millionen Pfund.

Allerdings sorgen die Anti-Terror-Maßnahmen sowie große Finanzskandale a là Enron zumindest für größere Aufmerksamkeit, sagt Vogon-Spezialist Carmichael-Jones. Tatsächlich dokumentieren auch hierzulande Fernsehaufnahmen Fahndungserfolge häufig mit Bildern von Computern, die in Wohnungen und Firmen beschlagnahmt werden.

Kniffe, Tricks und Tools

Auch bei der Hausdurchsuchung von British Midland Tooling waren bereits Ermittler von Vogon International dabei. Sie sorgten für ein bitgenaues Abbild des gesamten Design-Werkzeugs AutoCAD. Beim Vergleich dieser Kopie mit einer Referenzkopie des Auftraggebers fielen zunächst nur Unterschiede auf. Es handelte sich zwar um die gleichen Werkzeuge, jedoch um eine andere AutoCAD-Version und die Zeichnungen trugen unterschiedliche Firmenlogos.

Bei der Konvertierung der Dateien in ein Normalformat zeigte sich jedoch, dass das Ursprungslogo von British Midland Tools mit einem anderen Adressblock überschrieben worden war. Außerdem fanden sich in ausgelagerten Dateien zwei Seiten des Qualitätshandbuchs der geschädigten Firma. Angebliche Originalzeichnungen, auf Sony-Disketten gespeichert, konnten die Ex-Mitarbeiter ebenfalls nicht entlasten, da es die Disketten zum Zeitpunkt der angeblichen Erstellung noch gar nicht gab.

Welche Kniffe und Tricks es genau sind, mit denen sich gelöschte, zerstörte und versteckte Informationen wieder hervorzaubern lassen, so dass sich die mit Hilfe von Computern begangenen Straftaten nachweisen lassen, will zwar kein Experte verraten. Doch Firmen wie Vogon, Kroll Ontrack und Ibas stellen Software-Werkzeuge her, mit denen im Computer, im Netz, im Handy und Handheld, in digitalen Kameras und Faxgeräten auf Spurensuche gegangen werden kann. Diese funktionieren nach dem Prinzip: Irgendetwas bleibt immer übrig, auch wenn die Täter Daten löschen, verteilen und zerstören wollen. Mit Hilfe der Tools erstellen Ermittler Abbilder, bereiten Daten auf und untersuchen sie

Irgendwas bleibt immer hängen

Dafür nutzen die Spürnasen nicht lokale Rechner, sondern auch das Firmennetz. Die Systemadministration zeichnet generell auf, wann, wer mit welchem Gerät auf irgendwelche Ressourcen zugreift. Zum Beispiel wird der gesamte E-Mail-Verkehr protokolliert. “Und selbst wenn ein Täter zur Vertuschung die Server-Daten löschte, blieben noch die Backups dieser Protokolle in Form von Sicherungskopien auf Bändern und Platten”, erläutert Vogon-Director Carmichael-Jones.

Zudem lässt einfaches Löschen von Files außer auf Unix-Systemen lediglich das Inhaltsverzeichnis verschwinden. Der Rest bleibt erhalten und wird sukzessive und teilweise überschrieben. Andererseits bleibt die FAT-Tabelle (File Allocation Table) erhalten, die angibt, wo eine Datei beginnt und endet. Die Werkzeuge der Computerforensiker durchsuchen dann “den Bitsalat nach Schlüsselwörtern und nach Zusammenhängen mit dem Ziel, gelöschte und überschriebene Informationen herzustellen und sichtbar zu machen“, erläutert Peter Böhret, Geschäftsführer von Kroll Ontrack.

Dabei lassen sich heute forensisch korrekte Methoden auf das ganze Spektrum an Datenspeichergeräten anwenden wie Festplatten, RAID-Arrays, CDs, DVDs und Memory Sticks. Die Suchfunktionen eignen sich für Bild- und Textdateien, für die gelöschte Dateien und Partitionen, Speicherverschnitt, High-Level-formatierte Festplatten und beschädigte Dateisysteme kein Hindernis darstellen. Kroll Ontrack etwa gibt seine Quote für die erfolgreiche Datenwiederherstellung, wenn Rechner und Systeme zerstört sind, mit rund 80 Prozent an. Die Möglichkeiten bei der Datenwiedererstellung im Bereich der Beweismittelrecherche seien jedoch noch höher.