Computer Forensik – Wirtschaftsspionen auf der Spur

Unternehmenswissen ist Unternehmenskapital. In der Industrie fußt der Erfolg von so manchem mittelständischen Unternehmen auf einem Patent – rein EDV-technisch wenige Megabyte, die schnell auf mobile Datenträger kopiert sind. Immer mehr Unternehmen werden Opfer IT-gestützter Wirtschaftsspionage.

Elektronische Daten sind heute wichtigstes Gut eines jeden modernen Unternehmens und daher auch besonders schützenswert. Gleich ob Entwicklungsunterlagen, Verträge, Einkaufskonditionen, Fusions- und Übernahmepläne oder Email Kommunikation - je wichtiger die Daten sind, desto interessanter sind sie für Wettbewerber. Wie aber gelangen solche Daten nach außen? Die Methoden haben sich verändert. Mussten sich früher Spione mit Minikameras bestückt heimlich Zutritt in Unternehmen und Büros verschaffen, fotografieren oder Dokumente kopieren, so verschafft heute die moderne Computertechnik und das Internet den Zugriff auf begehrenswerte Informationen. Um an solche Informationen zu kommen, gibt es mehrere Möglichkeiten.

Hackerangriffe

Während die Script Kiddies früherer Tage aus überwiegend sportlichen Gründen agieren und noch relativ harmlos sind,  geht die wirkliche Gefahr von professionellen Spezialisten aus. Dahinter stecken oft kriminelle Organisationen, die die gestohlenen Informationen gezielt weiter verkaufen oder  bereits im Auftrag von Unternehmen oder gar Regierungen tätig sind. Im Internet finden die Täter heute komplette Bausätze um Spionageprogramme selbst zu erstellen. Sie sind für  gezielte Aufgaben konfigurierbar. Oder man bucht schnell den kompletten Dienst mit.
Unternehmenswebseiten oder deren Webshops sind vielfach bevorzugte Ziele für derartige Angriffe. Selbst populäre Webseiten sind hin und wieder mit versteckten Schadprogrammen versehen. Anwender besuchen die Webseite eines Zeitungsverlags und fangen sich dabei ein Trojanisches Pferd ein, das den Hackern später Tür und Tor öffnet. Ist der Täter in das Netzwerk erfolgreich eingedrungen, findet er auch bald die gesuchten Interna. Es wird ihm auch leicht gemacht – ungenügend geschützte Daten sind nur einen Mausklick entfernt.

Risikofaktor Mensch

Eine einfachere Methode an unternehmensinterne Informationen zu gelangen, ist der Weg über Mitarbeiter. Ein unzufriedener Mitarbeiter findet sich in jedem Unternehmen: Er fühlt sich missverstanden, bei der Besetzung einer neuen Position übergangen, unterbezahlt oder hat Angst um seinen Arbeitsplatz. Loyalität und die Hemmschwellen sinken. Dieser Mitarbeiter ist mit hoher Wahrscheinlichkeit leichter zu motivieren, Informationen  zu besorgen. Man trifft sich zufällig, unterhält sich, schimpft gemeinsam über die hohen Managergehälter und deren mangelnde Vorbildfunktion, unterstützt ihn in seiner Meinung, gewinnt sein Vertrauen und bietet ihm zum passenden Zeitpunkt einen „Nebenverdienst“ an, womit er sich bei seinem Arbeitgeber auch gleich rächen kann.

Eine andere perfidere Art der Informationsbeschaffung ist es, einen Mitarbeiter gezielt erpressbar zu machen. Je nach Wissensschatz der Zielpersonen werden Vorlieben recherchiert  und entsprechende Lockvögel gezielt angesetzt. Kompromittierende Fotos tun ihr übriges. Diese Methoden werden gerne bei Reisenden in asiatischen Regionen praktiziert. Aber auch hierzulande sind ausländische Informationssammler unterwegs. So warnt der Verfassungsschutz z.B. vor Praktikanten, die im Auftrag anderer Regierungen Informationen beschaffen sollen. Für viele ist es eine Ehre ihrem Land dienen zu können – es ist eine andere Mentalität.
In einem mittelständischen Unternehmen fiel zum Beispiel eine von ihren Vorgesetzten und Kollegen geschätzte chinesische Praktikantin auf, weil sie auch nach Feierabend noch recht fleißig war - sie kopierte Unterlagen. Bei einer Hausdurchsuchung fand man drei PCs und mehrere gebrannte CDs mit brisanten Firmenunterlagen.

Das erklärte Ziel ist die Informationsbeschaffung. Man braucht keinen Hacker mehr, man hat ja einen „Insider“ und für ihn sind die begehrten Informationen meist nur einen Mausklick entfernt. Ein Mitarbeiter, der etwa zur Konkurrenz wechseln will, hat meist bessere Karten, wenn er einen gewissen Wissensschatz mitbringen kann. Manager planen ihre Selbständigkeit und versorgen sich schon einmal mit entsprechendem Material – Kundendaten, Einkaufsverträge, Entwicklungs- / Projektunterlagen usw.

Bei einem besonders interessanten Fall, bei dem Kroll Ontrack zur Aufklärung beitragen durfte, hatte ein junger Administrator die Aufgabe, PCs für neue Mitarbeiter vorzubereiten. Dabei hatte er sich deren Profile auf seinen eigenen PC kopiert. Bevor der neue Mitarbeiter eingetroffen und sein Passwort geändert hatte, hatte er Zugriff auf all deren Daten. Das Besondere daran war, dass sein Vater ein Vertriebsunternehmen für Wettbewerbsprodukte unterhielt.  
Eine absolute Sicherheit gibt es nicht, aber dennoch gibt es Möglichkeiten, unternehmensinterne Informationen vor unberechtigten Zugriffen zu schützen.

Was kann oder sollte ein Unternehmen tun, um die firmeninternen Schätze zu bewahren? Ein paar Beispiele:

  • Firewalls und andere Sicherheitseinstellungen regelmäßig prüfen oder noch besser von externen, neutralen Spezialisten prüfen zu lassen
  • Zugriffsberechtigungen prüfen und unter Umständen anpassen
  • Brisante Informationen verschlüsselt speichern
  • Software-Lösungen installieren, die ein Kopieren der Daten auf externe Medien verhindern oder nur verschlüsselte Kopien zulassen
  • DLP (Data Loss Prevention) Lösungen einführen. Diese melden u.a. unberechtigte Zugriffe sofort
  • Ein anonymes Meldesystem einführen
  • Eines der wirksamsten Mittel: Mitarbeiter sensibilisieren, aufmerksam zu sein

Strafanzeige oder eigene Untersuchungen?

Wenn sich Kunden melden, Wettbewerber plötzlich eigene Angebote unterbieten, Aufträge wegschnappen, identische Produkte von Wettbewerbern am Markt auftauchen, handelt es sich oft um Datendiebstahl, Datenmissbrauch oder Datenveruntreuung. Was ist bei einem solchen Verdachtsfall zu tun. Eine Strafanzeige führt in der Regel dazu, dass der Fall aus der Hand gegeben werden muss – die Polizei übernimmt und bestimmt die weitere Vorgehensweise.
Sollten sich Unternehmen für eigene Untersuchungen entscheiden, ist es sehr empfehlenswert neben Datenschutzbeauftragten, Betriebsrat und Rechtsabteilung auch externe, neutrale Computer Forensik Spezialisten hinzu zu ziehen. Das ist in Hinsicht auf die Beweiskraft und auch in Bezug auf die Glaubwürdigkeit von Bedeutung – zudem sind die Resultate dann gerichtsverwertbar.

Computer Forensik – die Spurensuche nach dem „wer hat was, wann und wie gemacht“?

Hier sind Computer Forensiker gefragt, die auf die gerichtsverwertbare Untersuchung und Analyse von Computerdaten spezialisiert und mit entsprechenden Software Tools ausgestattet sind. Es gilt Spuren zu suchen um herauszufinden, ob und auf welche Weise Unternehmensdaten möglicherweise nach außen gelangen konnten.

Bei vermuteten Hackerangriffen sind Log-Files und flüchtige Speicherdaten wie Arbeitsspeicher und Cache mit speziellen Software Tools auszuwerten. Daher ist es in solchen Fällen wichtig, die vermutlich betroffenen Computersysteme nicht auszuschalten. Wichtiger ist es, die Netzwerkverbindung zu entfernen.
Die Erfahrungen zeigen jedoch, dass in den meisten Fällen die eigenen Mitarbeiter die Täter sind. Dann ist zu klären: Wer hatte offiziell Zugriff auf solche Daten? Welche Mitarbeiter haben am ehesten ein Motiv?

PCs sind zwar einerseits Tatwerkzeuge aber gleichzeitig auch die wahrscheinlich einzigen Beweisträger, die es zu analysieren gilt. Computer Forensiker müssen auf eine Vielzahl von speziellen Software Tools zurückgreifen können, um auch die kleinsten Hinweise erkennen und bewerten zu können. Die Spezialisten erstellen immer unter Benutzung von Schreibschutzgeräten, zuerst eine forensische Kopie - das heißt eine sektorweise 1:1 Kopie - der zu untersuchenden Speichermedien. Dieser Schreibschutz ist insofern wichtig, weil sichergestellt sein muss, dass bei der Erstellung dieser Kopie Originaldaten weder versehentlich noch absichtlich verändert werden. Die Herausforderung besteht jedoch nicht darin, gelöschte Daten wieder herzustellen, sondern vielmehr die Spuren, die jede Aktivität an einem PC hinterlässt, richtig zu interpretieren. Um zu wissen, welche Aktivität wie und wo protokolliert wird, sind extrem gute und tiefe Kenntnisse der jeweiligen Betriebssysteme und der verwendeten Software Tools nötig. Auf Laborrechnern nutzen die Experten von Kroll Ontrack ca. 30 – 40 verschiedene sowohl am freien Markt erhältliche als auch eigenentwickelte Software-Lösungen – je nach konkreter Ermittlungsaufgabe. Mit einer Software nichts gefunden zu haben, muss nicht heißen, dass auch „nichts da“ ist. Deshalb sollten Analyseergebnisse, zumindest bei unklaren Resultaten, ein weiteres Mal mit anderen Tools verifiziert werden.