Computer-Forensik "Der PC ist ein Beweismittel"

Computerkriminalität ist auf dem Vormarsch. Kein Wunder also, dass es zu einem guten Geschäft wird, Beweise auf Rechnern zu sichern. Hacker, Phisher und Virenschreiber sind dabei nur ein Teil des Problems: Oft sitzt der "Feind" in der eigenen Firma.


Wenn es um Computerkriminalität geht, denken die meisten an Hacker und Viren. Dabei können Firmendaten, Kundenlisten oder andere vertrauliche Informationen auch viel einfacher in falsche Hände gelangen, nämlich durch die eigenen Mitarbeiter. "Darauf sind viele Unternehmen nicht vorbereitet", sagt Dennis Wodarz, der Spezialist für Computerforensik bei der Firma Vogon ist. Als Computerforensik wird die gerichtsverwertbare Beweissicherung von Daten auf dem PC oder im Internet bezeichnet.

Analyse: Ein Ontrack-Experte versucht die Daten einer Festplatte zu sichern
AP

Analyse: Ein Ontrack-Experte versucht die Daten einer Festplatte zu sichern

"Da heißt es immer, bei uns kann das nicht passieren", sagt Wodarz. Aber dann kommt es doch immer wieder zum Datendiebstahl durch eigene Mitarbeiter. Wie groß dieses Problem ist, lässt sich nur schwer sagen. Konkrete Zahlen gibt es nicht. Spekulieren möchte da auch Bodo Meseke nicht, der die Abteilung für Computerforensik bei Ibas Deutschland leitet. Ibas und Vogon haben sich im vergangenen Jahr zusammengeschlossen; seit Jahresanfang gehören sie zur Gruppe des auf Datenrettung spezialisierten Unternehmens KrollOntrack.

Wodarz und Meseke werden gerufen, "wenn das Kind schon in den Brunnen gefallen ist", das heißt, wenn es in einer Firma einen konkreten Verdachtsfall gibt. Am Anfang der computerforensischen Arbeit steht die Klärung der rechtlichen Rahmenbedingungen, darunter auch Daten- und Urheberschutzrechte sowie Persönlichkeitsrechte. Die erste Frage lautet also: "Darf der Unternehmer überhaupt diese Ermittlungen verlangen?" Ist die Antwort positiv, kann die Sicherung der möglichen Beweise beginnen.

"Der PC ist ein Beweismittel", sagte Meseke, der vom Bundeskriminalamt zur Firma Ibas kam, auf einem Pressegespräch in Frankfurt. Um den Rechner zu untersuchen, darf man eines auf keinen Fall machen - ihn anschalten. Denn dies würde die Daten auf der Festplatte wieder verändern und unter Umstände sogar Beweise zunichte machen.

Deshalb werden die zu untersuchenden Festplatten oder anderen Speichergeräte an einen speziellen Rechner angeschlossen, den die Experten selbst mitbringen und der mit Analyseprogrammen ausgestattet ist. Dieser Rechner besitzt aber vor allem einen Hardware-Schreibschutz, um zu verhindern, dass auch nur ein einziges Bit verändert wird, wie Wodarz erklärt. Dann wird zunächst ein exaktes Image des Datenträgers erstellt. Nur dieses Abbild wird untersucht, niemals der Original-Datenträger. Dabei wird jeder Arbeitsschritt protokolliert und für ein mögliches Gerichtsverfahren aufbereitet. Dabei sei es durchaus möglich, dass die vorgefundenen Daten "auch entlasten", betont Meseke.

Da finde sich schon so einiges auf den Rechnern, sagt Meseke. Eine Analyse der sogenannten Metadaten von Dokumenten kann etwa ergeben, dass Verträge rückdatiert wurden, um bei einer Firmenübernahme vorzutäuschen, dass Ansprüche schon länger bestanden. Oder in einem Verzeichnis finden sich direkt neben den Dateien für die Web-Site einer katholischen Gemeinde, die der Mitarbeiter betreute, ein Ordner mit unzähligen Sado-Maso-Fotos.

Einmal, so berichtet Meseke, seien sie zu einem Makler gerufen worden, der ein Image von der Festplatte eines Mitarbeiters haben wollte, der zur Konkurrenz gehen wollte. Dabei habe da gar kein konkreter Verdacht vorgelegen. Das Image sei wohl nur vorsichtshalber erstellt worden, nach dem Motto: Man weiß ja nie.

Von seinen Fällen im vergangenen Jahr sei bislang kein einziger vor Gericht gekommen, sagt Meseke. Die Beteiligen einigten sich in allen Fällen außergerichtlich. An allzu großer Öffentlichkeit ist oft keiner Seite gelegen, denn wer gibt schon gerne zu, dass er ein Problem mit der Sicherheit und vielleicht auch mit der Loyalität der eigenen Mitarbeiter hat. Auf jeden Fall aber müsse schnell gehandelt werden, sagt Wodarz. "Und die Unternehmen müssen sich darauf vorbereiten", wenn es denn eben doch einmal passiert.

Klaus Gürtler, AP



© SPIEGEL ONLINE 2006
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung


TOP
Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.