Computer Forensik
Digital-Detektive gegen reale Kriminelle
Computer Forensik kann immer einfacher die Manipulation und Herausgabe digitaler Informationen nachweisen oder auch Verdachtsmomente entkräften. Die digitale Forensik kommt in den verschiedensten Bereichen zum Einsatz, in der Verfolgung von Kinderpornografie genauso wie in der Terrorismus-Bekämpfung. Schwerpunkt des Einsatzes forensischer Methoden zum Nachweis der Manipulation digitaler Daten ist jedoch das Gebiet der Wirtschaftskriminalität.
Nicht nur das Wirtschaftsgeschehen hat sich digitalisiert, auch die Wirtschaftskriminalität.
Manipulation, Veruntreuung und Herausgabe unternehmensinterner Daten ist per Mausklick um ein
Vielfaches einfacher geworden. Zugleich haben sich die Auswirkungen im selben Maße erhöht. Statt
Aktenordner in riskanten Nacht-und-Nebel-Aktionen zu kopieren oder zu entwenden, tut es heute die
Kopie auf einen USB-Stick während der Arbeitszeit. Zum Glück stehen aber auch den Ermittlern
inzwischen modernere Arbeitsmittel zur Verfügung.
Das Arsenal der Täter wächst bedenklich
Zum digitalen Verbrecherhandwerk gehören verschiedene Methoden, die direkt oder indirekt
wirtschaftlichen Schaden in Unternehmen und anderen Organisationen verursachen. Auch die Reputation
des Opfers leidet häufig. Typische Delikte sind Spionage, Veruntreuung, Sabotage oder Manipulation
und Fälschung. Bei der Wirtschaftsspionage haben vor allem Innentäter relativ leichtes Spiel, wenn
sie vertrauliche Informationen, wie etwa Patente, Forschungs- und Entwicklungsarbeiten sowie
Buchhaltungs- oder Vertriebs- und Kundendaten, weitergeben.
Laut einer Studie von Pricewaterhouse Coopers wurde fast jedes zweite deutsche Unternehmen in
den vergangenen beiden Jahren Opfer einer Wirtschaftsstraftat. Bei geschätzten 60 bis 80 Prozent
der Fälle handelt es sich dabei um so genannte Innentäter.
Sabotagefälle sind ebenfalls keine Seltenheit. Dabei geht es meist um eine logische, mitunter
aber auch um eine physische Schädigung von Datenträgern, Computern und Netzwerken. Beim
Computerbetrug verschaffen sich Personen besonders gern Zugang zu Finanztransaktionen, wo sie dann
zum Beispiel Abrechnungsdaten, Konten oder Bilanzen ändern.
Interne Manipulationen oder Verschleierungen stellen eine weitere Gefährdung dar. Korruption und
Geldwäsche zählen ebenfalls zu den typischen Delikten, die mithilfe der am Computer hinterlassenen
Spuren heute immer erfolgreicher nachgewiesen werden können.
Aus dem Arsenal der Detektive
Jede Aktivität am PC, ob Zugriff, Veränderung oder Weiterleitung von Daten und Dateien
hinterlässt seine Spuren. So lassen sich auch gelöscht geglaubte Daten wiederherstellen, solange
sie nicht überschrieben oder physikalisch zerstört werden. Ein verbranntes Notebook oder
zerschnittene Backup-Tapes machen einen Datenträger dabei nur scheinbar unbrauchbar. Selbst bei
Speichermedien, die durch Head Crashes – das Aufsetzen des Schreiblese-Kopfes auf das Medium und
Zerkratzen der Magnetschicht – oder durch Brand und Wasser physikalisch beschädigt wurden, lassen
sich meist noch Daten wieder herstellen. Dienstleister wie zum Beispiel Kroll Ontrack nutzen hierzu
größtenteils speziell entwickelte Tools, um Festplatten in geöffnetem Zustand bearbeiten zu können.
Lediglich eine Zerstörung der Trägermagnetschicht – entweder durch vollständige Ablösung, durch
Aufhebung der Magnetisierung durch einen Degausser oder bei extrem großer Hitzeeinwirkung ab 700
Grad – macht Datenrettung tatsächlich endgültig unmöglich.
Die Indizien und Beweise können durch die verschiedensten Methoden aus dem Datenspeicher der
Computersysteme geborgen werden. Diese Hinweise gerichtsverwertbar zu lokalisieren, zu konservieren
und zu analysieren, sodass die Beweiskraft auch vor Gericht Stand hält, ist Aufgabe der Computer
Forensik. Die Leitfragen der Untersuchung lauten dabei: Wer hatte offiziell Zugriff auf Daten? Kam
es zu unautorisierten Zugriffen? Welche Daten wurden von wem wann zuletzt genutzt? Wurden Daten
kopiert oder per E-Mail unbefugt versendet?
Bei der Beantwortung dieser Fragen steht im Werkzeugkasten der digitalen Detektive heute eine
ganze Palette von Tools und Diensten zur Verfügung.
1. Wiederherstellung gelöschter Daten
Die Datenrettung ist das technische Rückgrat der forensischen Ermittlung. Gelöscht geglaubte
Dateien sind nämlich nicht tatsächlich gelöscht. Lediglich das Inhaltsverzeichnis wird so
verändert, dass die Datei vom Betriebssystem nicht mehr erkannt wird. Zusätzlich werden die
physikalischen Speicherplätze vom Betriebssystem zur Überschreibung freigeben. Solange dies aber
nicht erfolgt, sind die ursprünglichen Informationen in Form der magnetischen Polung der einzelnen
Cluster und Sektoren auf dem Datenträger noch komplett vorhanden. Auch teilüberschriebene Dateien
(Fragmente) rekonstruiert der Spezialist wieder – wie Papierschnipsel aus dem Papierkorb.
2. Timeline der Rechneraktivität
Forensische Tools belegen, welche Aktionen wann an einem Rechner durchgeführt wurden. So lässt
sich feststellen, wann etwa an welchem Rechner Dateien erstellt, zuletzt geöffnet, zuletzt
ausgedruckt oder verändert wurden oder ob und wie lange sich ein Benutzer vom Firmen-PC aus im
Internet aufhielt.
Selbst angeschlossene externe Datenspeicher wie externe Festplatten, USB-Sticks oder PDAs lassen
sich nachweisen. Finden sich beschriebene CDs oder DVDs, kann mithilfe spezieller Software-Tools
festgestellt werden, mit welchem CD- oder DVD-Brenner die CDs beschrieben wurden. Andere Tools
ermöglichen auch die Untersuchung von Handys oder Blackberries. Sogar in Speichern von modernen
Kopierern oder Faxgeräten finden sich Spuren durchgeführter Aufträge. Die Frage, welcher Nutzer vor
dem Bildschirm saß, ist damit zwar noch nicht geklärt, lässt sich aber durch weitere Ermittlungen
unter Umständen herausfinden.
Vom Verdacht zum Beweis
Wie alle Ermittlungen ist auch die Computer Forensik von Schnelligkeit und Sorgfalt, unter
strenger Einhaltung der örtlichen Datenschutzgesetze, bestimmt. Wenn sich konkrete Verdachtsmomente
erhärten und die Spur auf einen Arbeitsplatz zeigt, sollte schnellstmöglich das Beweismaterial
sichergestellt werden.
Schon das Ausschalten oder das neue Hochfahren eines Rechners verwischt Spuren. Die Sperrung
eines Arbeitsplatzes verhindert mögliches Überschreiben und damit das Vernichten von Informationen.
Außerdem ist zu überprüfen, ob und welche Laufwerke oder externe Speichermedien an den Rechner
angeschlossen sind. Diese sollten mit in die Untersuchung einfließen. Erster Schritt der
forensischen Untersuchung ist dabei immer das Erstellen einer bit- oder sektorweisen Kopie – eines
forensischen Images. Erst an einer weiteren Kopie, der so genannten Arbeitskopie, werden eventuell
gelöschte Daten wieder hergestellt und die Gesamtdatenmenge analysiert. Es gilt der strikte
Leitsatz: Niemals Originalmedien untersuchen.
Die Experten dokumentieren dabei jeden einzelnen Schritt und die Vorgehensweise, damit das
schließlich zu erstellende Gutachten auch vor Gericht Beweiskraft erhält. Somit werden
Computer-Forensik-Experten immer häufiger zu Mittlern zwischen Unternehmen und der Justiz.
Beweismittelverwertung
Bei größeren Unternehmen liefert aber auch das immer noch umfangreiche ausgedruckte
Firmenarchiv, neben den ebenfalls in großen Mengen vorhandenen elektronischen Daten, wichtige
Unterlagen. Insbesondere bei Insolvenzverfahren oder im Vorfeld von Übernahmen oder Fusionen müssen
Forensiker hier meist "Berge" von Aktenmaterialien mit den Methoden der Electronic Discovery zu
einer weitaus effektiveren elektronischen Analyse aufbereiten.
Mit hochwertigen Scannern werden Papierdokumente seitenweise eingescannt. Hierbei wird sowohl
ein grafisches als auch ein zugehöriges OCR-(Text)-Element erstellt. Sachbearbeiter kodieren die
Inhalte nach verschiedenen Kriterien – etwa nach Betreff, Absender und Empfänger eines Briefes,
Datum oder beliebige Schlagworte. Die so entstandenen einheitlichen Datensätze werden in eine
SQL-Datenbank eingestellt, auf die Analysten über einen gesicherten Internetzugang zugreifen können
– rund um die Uhr. Das erspart Zeit und Reisekosten.
Fazit
Nicht nur die Möglichkeiten der elektronischen Wirtschaftskriminalität sind gestiegen, sondern
auch die Möglichkeiten der Aufklärung und Beweisführung. Elektronische Daten sind heute das
wertvollste Gut eines modernen Unternehmens. Mit Computer Forensik lassen sich unauffällig und
gerichtsverwertbar eventuelle Manipulationen nachweisen. Genauso gut ist es aber auch möglich,
vermeintliche Verdachtsmomente auszuräumen – ehe man offizielle Ermittlungen einleitet.
Lesen Sie mehr zum Thema
