Computerforensik: Die IT auf dem Seziertisch

Auf schwankenden Planken

Tatsächlich liegen die größten Hindernisse woanders. Zum einen kämpfen die Forensiker mit der Datenfülle, mit der unter Umständen weltweiten Verteilung von relevanten Informationen und rechtlichen Unsicherheiten. Der ehemalige Kriminaloberkommissar Bodo Meseke, seit August 2004 bei Ibas Deutschland für Computerforensik zuständig, erzählt etwa, dass ein Reeder überprüfen wollte, ob die Kühlung eines Schiffes ordentlich gearbeitet hatte oder die Mannschaft das Verderben von Lebensmitteln verursacht hatte. Die Auswertung einer Unmenge an Sensordaten über einen Zeitraum von drei Jahren konnte den Fall klären. Die Anlage hatte versagt. Vogon-Experte Carmichael-Jones berichtet aus einem Fall in den USA, in dem 100 Files und 500 Terabytes an Daten zu untersuchen waren.

Die größte Unsicherheit jedoch, beklagen beide Forensiker, bietet die Rechtslage. Auf schwankenden Planken beispielsweise stehen beide, weil in vielen Unternehmen ungeklärt ist, was ein Verstoß ist und wie eingegriffen werden soll. Nur Offizialdelikte nach Strafgesetzbuch verpflichten zur Anzeige. Wenn ein Mitarbeiter anonym beleidigende, pöbelnde oder drohende Mails erhält, berechtigt das weder den Arbeitgeber noch eine Forensikfirma per se zum Lesen persönlicher Mails. Außerdem muss geklärt sein, zu welchen Zwecken der Mitarbeiter seinen Arbeitsplatzrechner überhaupt nutzen darf.

Kann er auf private Mails antworten, eventuell Überweisungen tätigen, im elektronischen Telefonbuch nach einem Friseur oder Doktor suchen? Beim Bundesbeauftragten für Datenschutz ist dazu Folgendes nachzulesen: “Der Arbeitgeber hat grundsätzlich das Recht, stichprobenartig zu prüfen, ob das Surfen beziehungsweise das E-Mail-Versenden der Beschäftigten dienstlicher Natur ist. Eine vollautomatisierte Vollkontrolle durch den Arbeitgeber ist als schwerwiegender Eingriff in das Persönlichkeitsrecht der Beschäftigten hingegen nur bei konkretem Missbrauchsverdacht im Einzelfall zulässig. Es wird empfohlen, über die Nutzung von E-Mail und Internet eine Dienstvereinbarung mit dem Personalrat abzuschließen, in der die Fragen der Protokollierung, Auswertung und Durchführung von Kontrollen eindeutig geregelt werden.”

Achtung!

Auch die Forensik-Tools selbst können ein Problem darstellen. In Deutschland gibt es keine Zertifizierung für die Werkzeuge. Wie lassen sich gegebenenfalls die Ergebnisse, die die Software liefert, dann gegenüber der Staatsanwaltschaft verifizieren? In anderen Ländern existieren Zertifikate, sowohl für Tools als auch für Unternehmen, die gerichtsverwertbare Erkenntnisse liefern können.

Die Unterschiede weisen darauf hin, dass die in allen Ländern unterschiedliche Rechtslage selbst ein Problem darstellt. Denn Ermittlungen müssen mehr und mehr länderübergreifend stattfinden.

Für die Unternehmen bedeutet das letztlich: Wachsamkeit beziehungsweise Vorbeugen ist Pflicht – Bespitzelung jedoch nicht. Das Gesetz zur Kontrolle und Transparenz (KonTraG) schreibt zumindest Aktiengesellschaften die frühzeitige Kontrolle von Entwicklungen, die für das Unternehmen kritisch sein können vor, und verpflichtet sie zur Ergreifung von entsprechenden Sicherheitsmaßnahmen (§ 91 Absatz 2 Aktiengesetz).

Trotzdem geschehe es eher selten, dass als erstes auffällt, wenn Daten vom Server verschwinden, Datenzugriffe ungewohnt häufig stattfinden, die Netzwerklast schlagartig steigt und E-Mail-Server zu ungewohnten Zeiten zu hoch ausgelastet sind, sagt Meseke: “Ein Verdacht entsteht anders.” Wie, das lässt sich etwa in einem Whitepaper von Kroll Ontrack nachlesen. Das Unternehmen hat beispielsweise Indizien zusammengestellt, die ein Unternehmen auf Werksspionage aufmerksam machen können. Vorsicht sei geboten, wenn der Mitbewerb gleiche Ideen habe, ähnliche Projekte entwickle oder identische Konstruktionen vorlege, wenn Kunden unruhig würden, härtere Preisverhandlungen führten und mit internen Details argumentierten, oder sogar vor undichten Stellen warnten. Heikel werde es allgemein, wenn Mitarbeiter offenkundig unzufrieden seien oder Entlassungen befürchteten.

Was tun, was bezahlen?

Die Computerforensiker greifen dann ein, wenn das Informationsleck schon besteht. Nicht immer ist dieses Absicht, etwa Sabotage. Auch Systemfehler und versehentliches Löschen führen zu Datenverlusten. Ist etwas passiert, gilt grundsätzlich: Alles erst einmal so lassen wie es ist, möglichst nichts antasten. Schon das Verschieben der Maus könne dazu führen, dass sich nicht mehr Verifizieren lässt, ob der letzte Mitarbeiter an diesem Computer ein Rechts- oder Linkshänder war, warnt ein Kroll-Ontrack-Papier. Zum Beispiel bleibt ein laufender Rechner, auf dem Beweismaterial vermutet wird, angeschaltet, sonst droht der Verlust des Inhalts aus dem Arbeitsspeicher.

“Wenn jemand anruft, typischerweise Freitags um 16:30 Uhr, geht es deshalb zunächst um die Einschätzung der Situation: Wie schnell muss etwas unternommen werden?”, erzählt Meseke aus seiner Praxis. Zum Beispiel könnte anstehen, Bänder zu löschen, oder es müssen bis zum Arbeitsbeginn am Montag wegen des Verdachts auf Wissenstransfer mehrere Notebooks analysiert werden. Das macht schnelles Handeln notwendig.

Falls tatsächlich ein Einsatz vor Ort stattfinden muss, wird dieser genau protokolliert. Außerdem arbeiten die Forensiker mit Eins-zu-eins-Kopien (Images), die sie vor allem beim Verdacht, der Administrator könnte in die Angelegenheit verstrickt sein, selbst herstellen. Diese bleibt sicher verwahrt immer unverändert; gearbeitet wird mit einer weiteren Kopie.

Kunde der Computerforensiker kann jedes Unternehmen werden. Denn Computerkriminalität ist bei weitem nicht auf die Großunternehmen beschränkt. Heute sind etwa 90 Prozent aller Informationen elektronisch gespeichert und der Großteil wird niemals ausgedruckt. So können sich allein durch den Mail-Bestand Interna und Strategien erschließen und Lücken im Datenbestand die Existenz gefährden. Doch auch forensische Untersuchungen können aufwendig und teuer sein. Deshalb gibt Ex-Kommissar Meseke einen Richtwert-Preis. Die Erstanalyse eines Datenträgers kostet bei Ibas um die 980 Euro; jeder weitere Datenspeicher schlägt mit 310 Euro zu Buche.