Die Computerforensik hilft beim Aufdecken von Datendiebstahl und anderen Straftaten. Zudem kann sie wertvolle Hinweise auf die Täter geben. Von Axel Bernhardt
Die Zeiten, in denen sich Diebstähle auf bewegliche Güter beschränkten, gehören in der Ära des Internets der Vergangenheit an. Im gleichen Maße wie der weltweit digitale Datenverkehr wächst auch die Computer- und Cyberkriminalität. Während noch vor zehn Jahren das Thema IT-Sicherheit in vielen Unternehmen stiefmütterlich behandelt oder gar belächelt wurde, erweist sich solche Nachlässigkeit heute als Existenzrisiko. Datenklau ist im Jahr 2013 an der Tagesordnung – und das gilt branchenübergreifend.
Um den digitalen Langfingern auf die Spur zu kommen, ist der Einsatz von Computerforensik ein wirksames Mittel. Darunter versteht man die Analyse von Daten von IT-Systemen, beispielsweise die Kontrolle des E-Mail-Verkehrs, der Festplatte von stationären Rechnern und Laptops sowie der firmeneigenen Handys. Auch das Cloud-Computing, also das Übertragen von Daten auf einen virtuellen Speicherort, ist immer wieder Gegenstand der Computerforensik. Ziel ist es, juristisch relevante Handlungen und Sachverhalte zu rekonstruieren, nachzuweisen oder diese bereits im Vorfeld auszuschließen.
Um Art und Umfang des Datenklaus zu untersuchen, kommen spezielle forensische Hard- und Software-Werkzeuge zum Einsatz. Diese Verfahren stellen sicher, dass es zu keinen Veränderungen an dem analysierten System kommt. Auch scheinbar unsichtbare und vermeintlich gelöschte Dateien können mit diesen Werkzeugen sichtbar gemacht werden.
Mitarbeiter als Datendiebe
Beim Datenklau gehen die meisten Täter sehr gezielt vor: So veräußern manche Mitarbeiter unternehmenseigene Daten an Mitbewerber und stecken den Erlös ein. In manchen Fällen werden Daten nicht aus dem Unternehmen geschleust, sondern genutzt, um Unterschlagung, Veruntreuung oder Sabotagehandlungen im eigenen Betrieb vorzunehmen. „Lieblingsgegenstände“ der Diebe sind meist einfache Kundendaten, Entwicklungsunterlagen, Konstruktionspläne und Quellcodes entwickelter Programme.
Dabei ist die Schwachstelle oft schnell ausgemacht: Die „Innentäter“ haben naturgemäß berechtigten Zugang zu sensiblen Daten, was den Diebstahl immens erleichtert. Gleichzeitig wissen sie um den Wert und die Anwendungsmöglichkeiten des Materials. Häufig haben die Täter im Vorfeld sämtliche „sensible“ Daten zusammengetragen und dann aus dem Unternehmen transportiert. So geschehen bei einem Unternehmen aus Süddeutschland im Jahr 2012: Innerhalb von wenigen Wochen kündigten drei Führungskräfte aus der Vertriebs- und der IT-Abteilung. Das Ergebnis der Computerforensik und weiterer Recherchen ergab: Die drei gründeten mit Ex-Mitarbeitern eines anderen Betriebs ein neues Unternehmen und verkauften die Software des ehemaligen Arbeitgebers auf eigene Rechnung. Mehr Aufmerksamkeit gegenüber den eigenen Mitarbeitern ist also gerade bei „unsichtbaren“ Produkten angemessen. Hacker-Angriffe von außen sind bei den meisten Branchen eher selten, sollten jedoch nicht völlig außer Acht gelassen werden.
Wann aber ist ein Verdachtsmoment begründet? Die Alarmglocken sollten dann schrillen, wenn Mitarbeiter kurzfristig und unerklärlich kündigen oder mehrere Mitarbeiter, die bislang eng zusammengearbeitet haben, innerhalb kurzer Zeit das Unternehmen verlassen. Das Risiko von Datenklau steigt auch, wenn Mitarbeiter sich unbegründet und unüblich – oft außerhalb der Arbeitszeiten – im Büro aufhalten. Wenn zudem mehrere Kunden zeitgleich dem Unternehmen „ciao“ sagen, ist es sinnvoll, deren Spur aufzunehmen.
Um Schaden zu verhindern, bieten sich verschiedene Vorsichtsmaßnahmen an – auch wenn es die 100-prozentige Sicherheit in der Praxis nicht gibt. Zahlreiche kommerzielle Lösungen ermöglichen einen guten Schutz und minimieren das Risiko des Datenklaus. Große Sicherheit bietet nach wie vor das Prinzip, sensible Daten nur einem kleinen Personenkreis zugänglich zu machen, der die Daten unmittelbar benötigt. Wer Schutzvorrichtungen an Computern anbringt, kann das Anstecken von USB-Sticks und somit das Übertragen von Daten auf externe Speichermedien verhindern. Eine einfache Maßnahme, die nur wenig Geld kostet. Allerdings wird sie von den Mitarbeitern oft nicht akzeptiert, weil sie die Arbeitsabläufe erschwert. Auch der Zugang zum Internet und der Zugriff auf Online-Speicher lässt sich in der Praxis nur schwer unterbinden.
Schriftliche Vereinbarungen und Verhaltensregeln sind unerlässlich, jedoch nur eine kleine Hürde auf dem Weg zum Datenmissbrauch. Hierzu zählen etwa das Verbot der privaten Internet- und E-Mail-Nutzung vom Arbeitsrechner aus. Sicher ist: Die jeweilige IT-Infrastruktur im Unternehmen sollte für alle (!) Personen auf die unbedingt erforderlichen Zugänge und Schnittstellen beschränkt werden. Ein Mitarbeiter aus der Marketing- oder Vertriebsabteilung hat grundsätzlich keinen Bedarf an Daten, die auf Rechnern in der Entwicklungsabteilung liegen.
Ergibt sich trotz aller Vorkehrungen der Verdacht eines Datenmissbrauchs, kann es sinnvoll sein, eine Detektei mit Kompetenz im Bereich IT-Forensik hinzuzuziehen. Der Tatverdacht ist meist zunächst so vage, dass das Einschalten von Behörden nicht Erfolg versprechend ist. Häufig wird ein Vorfall nur arbeitsrechtlich oder außergerichtlich abgehandelt – hier wäre die Polizei der falsche Ansprechpartner. Ein unverbindliches Telefonat mit einem privaten Ermittler kann vor so mancher Überraschung schützen, Entscheidungsgrundlagen schaffen und weiteren finanziellen Schaden stoppen. Die IT-Forensik bietet dann die Grundlage für eine konkrete und zielgerichtete behördliche Verfolgung.
