Computer Forensik: Ermittlung und Rechtfertigung

Computer Forensik wird immer wichtiger. In der Finanzkrise geraten Banken und Finanzdienstleister, aber auch Versicherungen in das Visier der Öffentlichkeit. Veruntreuung von Kundendaten ist für Banken und Versicherungen ein schwerer Schaden. Nicht selten müssen Institute ihr einwandfreies Handeln dokumentieren. Doch auch vermeintliche oder tatsächliche Betrugsdelikte von Mitarbeitern stehen weiter auf der Tagesordnung.

Löschen, Veruntreuen, Manipulieren

Es gibt verschiedene Wege, Anleger, Kunden und die Bank direkt und indirekt zu schädigen. Typische Delikte sind Spionage, Veruntreuung, Sabotage oder Manipulation und Fälschung. Im Rahmen von Computerbetrug manipulieren Täter Abrechnungsdaten, Konten oder Bilanzen. Interne Manipulationen oder Verschleierung von Veruntreuungen stellen eine weitere Gefährdung dar. Ein aktuelles Beispiel sind die vertraulichen Kontendaten, die unerlaubterweise eine Schweizer Bank verlassen haben und als „Steuersünder-CD“ derzeit Schlagzeilen machen.

Computerforensische Ermittlungen bieten geschädigten Unternehmen die Option, in den genannten Fällen Verdachtsmomenten nachzugehen oder die eigene Sorgfaltspflicht zu dokumentieren. Die Möglichkeit der Computer Forensik werden aber immer noch zu häufig unterschätzt.

Jede Aktivität am PC, ob Zugriff, Veränderung oder Weiterleitung von Daten, hinterlässt ihre Spuren. Ob eine Mail mit internen Informationen nach außen versendet wurde oder wann und auf welchem Rechner Kontendaten auf CD gebrannt wurden, lässt sich mit speziellen Tools herauslesen.

Löschungen, Veruntreuungen und Manipulationen können nachgewiesen werden. Diese Hinweise gerichtsverwertbar zu lokalisieren, zu konservieren und zu analysieren, so dass die Beweiskraft auch vor Gericht Stand hält, ist Aufgabe der Computer Forensik. Die Leitfragen der Untersuchung lauten dabei: Wer hatte offiziell Zugriff auf Daten? Kam es zu unautorisierten Zugriffen? Welche Daten wurden von wem wann zuletzt genutzt? Wurden Daten kopiert oder per E-Mail versendet?

Die Datenrettung ist dabei das technische Rückgrat der Ermittlung. Denn gelöscht geglaubte Dateien sind nicht tatsächlich gelöscht. Nur physikalische Speicherplätze werden vom Betriebssystem zur Überschreibung freigeben. Solange dies aber nicht erfolgt, sind die ursprünglichen Informationen in Form der magnetischen Polung der einzelnen Cluster und Sektoren auf dem Datenträger noch komplett vorhanden. Auch teilüberschriebene Dateien (Fragmente) rekonstruiert der Spezialist wieder – wie Papierschnipsel aus dem Papierkorb. Auch absichtlich gelöschte Informationen lassen sich fast immer wiederherstellen – wenn sie nicht regelrecht physikalisch vernichtet werden.

Forensische Tools belegen zudem, wann welche Aktionen an einem Rechner durchgeführt wurden. So lässt sich feststellen, wann etwa an welchem Rechner Dateien erstellt, zuletzt geöffnet, ausgedruckt oder verändert wurden oder ob und wie lange sich ein Benutzer vom Firmen-PC aus im Internet aufhielt.

Wie alle Ermittlungen ist auch die Computer Forensik von Schnelligkeit und Sorgfalt, unter strenger Einhaltung der örtlichen Datenschutzgesetze, bestimmt. Wenn sich konkrete Verdachtsmomente erhärten und die Spur auf einen Arbeitsplatz zeigt, sollte schnellstmöglich das Beweismaterial sichergestellt werden.

Schon das Ausschalten oder das neue Hochfahren eines Rechners verwischt Spuren. Die Sperrung eines Arbeitsplatzes verhindert mögliches Überschreiben und damit das Vernichten von Informationen. Erster Schritt der forensischen Untersuchung ist dabei immer das Erstellen einer bit- oder sektorweisen Kopie – eines forensischen Images. Erst an einer weiteren Kopie, der so genannten Arbeitskopie, werden eventuell gelöschte Daten wieder hergestellt und die Gesamtdatenmenge analysiert. Es gilt der strikte Leitsatz: Niemals Originalmedien untersuchen. Die Experten dokumentieren dabei jeden einzelnen Schritt und die Vorgehensweise, damit das Gutachten auch vor Gericht Beweiskraft erhält.

Schnitzeljagd in der Mail-Asservatenkammer

Auch E-Mail-Korrespondenzen werden immer wichtiger. Gerade bei finanziellen Verlusten müssen Entscheider ihre Sorgfalt dokumentieren können und sich eventuell auch schnell Vorwürfen der Veruntreuung erwehren. Die HSH Nordbank oder die Vorgänge rund um die Hypo Alpe Adria sind Beispiele, in denen Vorstände auch in ihren Mails beweisen müssen, dass sie ihre Pflichten nicht fahrlässig verletzt oder gar Insiderwissen ausgewertet hatten. Auch Kundenberater finden in ihrer Mail-Korrespondenz Hinweise auf die Einhaltung ihrer Sorgfaltspflicht bei der Beratung.

Eine forensische Recherche in Mailboxen erfordert leistungsstarke Tools sowie professionelles Know-how und bietet oft den Zugriff auf wirklich entscheidende und verborgen geglaubte Einzelheiten – etwa in Vereinbarungen oder dem Informationsfluss. Für den Administrator ist wichtig zu wissen, was möglich ist und was er tun kann, um eine Untersuchung des Nachrichtenverkehrs schon im Vorfeld optimal vorzubereiten, zu unterstützen oder gegebenenfalls selbst durchzuführen. Eine zentrale Vorhaltung von Mail-Daten sollte dabei gerade im sensiblen Finanzsektor Bestandteil ein jeder Unternehmenspolicy sein. Denn nur so kann die Gesamtheit der Mails im Zweifelsfall untersucht werden. Tote Winkel in Form von Privatnotebooks oder Home Office können so weitestgehend ausgeschlossen werden.

Forensische Lösungen zur Auswertung der E-Mails in großen Unternehmen erlauben es dann, den gesamten Informationsfluss bei vermutetem Fehlverhalten nachzubilden, in Diagrammen darzustellen und Informationen auch gerichtsverwertbar aufzubereiten. Der gesamte Nachrichtenverkehr innerhalb eines Institutes und mit Kunden lässt sich in übersichtlichen Diagrammen grafisch anzeigen. Durch geschickte Suchkriterien lässt sich die Anzahl verdächtiger und genauer zu durchsuchender Mails immer weiter einkreisen. Oder der Gesamtblick auf die Mails kann so weit wie möglich ausschließen, dass es zu unerlaubtem Informationsabfluss kam.

Ordnung schaffen im Archiv

Die Einhaltung der Sorgfaltspflicht gegenüber Kunden und Anleger erfordert immer häufiger auch den schnellen Zugriff auf die Gesamtheit der Dateimenge eines Institutes. Und das nach erfolgter Anfrage oft in einer sehr kurzen Zeit. Häufig wird dann auch nach Informationen gefragt, die auf Datenträgern liegen, die nicht mehr ausgelesen werden können, weil der Hersteller nicht mehr am Markt ist, die Lösung nicht mehr unterstützt wird oder ein funktionierendes Laufwerk nicht mehr vorhanden ist. Bei einer Versicherung mussten so im Rahmen einer Wirtschaftsprüfung sehr schnell 17.000 Buchungssätze aus den 1980er-Jahren von einem Tape wieder verfügbar gemacht werden. Ein anderes vorbeugenderes Szenario ist die Inventarisierung und Konvertierung ganzer Tape-Kataloge, um Datensätze und Speicherlandschaften zu homogenisieren, zu aktualisieren und so auch langfristig verfügbar zu halten. Eine solche Lösung zur Datenkonvertierung hilft bei Anfragen im Rahmen von forensischen Verfahren, unterstützt unter Umständen auch den eigenen Vertreter und kann entlasten. Durch besondere Filterfunktionen können die Unternehmen dabei auch sicher gehen, dass nur verfahrensrelevante Informationen weitergegeben werden und nicht aus Versehen wichtige, nicht zum Verfahren gehörige Interna.

Für eine solche Datenkonvertierung gibt es keine Patentrezepte. Wer aber ein tausend Tapes enthaltendes Archiv sichern will, sollte frühzeitig über eine Konvertierung der Daten auf moderne und einheitliche Datenträger nachdenken. Zudem bietet eine solche Konvertierung neben einer gesteigerten Ausfallsicherheit auch ein generelles Mehr an Ordnung im Archiv, eine Einsparung an Kosten durch Deduplizierung sowie vor allem langfristige Datensicherheit.

Computer Forensik wird immer wichtiger. Zum einen in Krisenzeiten, in denen Mitarbeiter schneller in Versuchung geraten und Finanzinstitute immer häufiger ihr korrektes Verhalten darlegen müssen. Auf der anderen Seite werden forensische Mittel wirksamer und Gerichte offener gegenüber elektronischen Beweismitteln. Wer sich mit Datensicherheit beschäftigt, sollte dabei immer wissen, dass alle möglichen Formen der Veruntreuung, Manipulation oder auch Löschung von Informationen nachweisbar ist. Zudem sollte er auch wissen, wie er durch Ordnung im Backup dafür sorgt, schnell Beweise für seine Position zu finden. So können Verdachtsmomente erhärtet oder entkräftet werden. Vorausgesetzt, man geht immer nach der Konsultation der Techniker den Schritt zum Rechtsanwalt. Denn ohne ihn geht nichts.