IT-Forensik: Wenn Mitarbeiter Daten stehlen

Geschrieben von K. Kopp am . Gepostet in Digital.

Daten sind ein sensibles Gut, das hat sich mittlerweile herumgesprochen, aber man kann das dennoch nicht oft genug bemerken. Weil sie volatil sind, irgendwo abgelegt werden und nicht zu sehen sind, fällt es selten genug auf, wenn sich jemand ihrer missbräuchlich bemächtigt, obwohl das Tag für Tag und vielfach geschieht.

Firmen sind nämlich weit häufiger als angenommen und über alle Branchen hinweg von Datendiebstahl betroffen, er ist realer Bestandteil des Unternehmensalltags. Die Gefahr lauert in Person der eigenen Mitarbeiter: Der Datenklau bei Arbeitgeberwechsel ist nach einer Studie nicht mehr Ausnahme sondern Regel. Jeder dritte Angestellte hat schon einmal vertrauliche Informationen entweder weitergeleitet oder aus seinem Unternehmen entfernt.
 Sensible Daten sind vor allem dann besonders gefährdet, wenn Angestellte den Arbeitgeber wechseln: 51 Prozent der Studienteilnehmer gaben zu, beim Jobwechsel schon einmal vertrauliche Informationen mitgenommen zu haben.

Ein Problem, das sich 
durch die besten Corporate Information Responsibility Programme nicht beherrschen lässt, denn sobald sensible Unternehmensdaten nach außen gelangen, drohen rechtliche wie wirtschaftliche Nachteile. Daher gilt es, so gut wie sich das nur bewerkstelligen lässt, Ermittlung und Aufklärung zu leisten, sobald der sicherheitsrelevante Vorfall sich im Unternehmen bemerkbar macht, nicht zuletzt, um für die Zukunft präventiv daraus die richtigen Lehren ziehen zu können.

So wie sich Juristen bei der Lösung zivilrechtlicher Fälle stets fragen „Wer will was von wen wem woraus?“, ist die richtige Frage, die sich ein Unternehmen im Falle unbefugten Datenzugriffs zu stellen hat „Wer hat was wann, wo und wie getan?“. Damit kommt man immer weiter. Doch wie geht man dabei am besten vor? Welche rechtlichen Implikationen können sich ergeben? Was ist zu beachten? Was zu unterlassen?

Datenspuren aus IT-Systemen verraten in den meisten Fällen den Täter. So geschickt, dass keinerlei Spuren hinterlassen werden, stellt sich nämlich kaum einer an, auch vermeintlich clevere Täter übersehen bei der Anzahl, Vielfalt und Komplexität der Systeme fast immer ein Detail, so dass IT-Forensiker dem Täter meist auf die Spur kommen.

Die IT-Forensik befasst sich mit der gerichtsverwertbaren Sicherung und Auswertung von Datenspuren, sie rekonstruiert Ereignisse und Sachverhalte, klärt diese auf, quantifiziert den Schaden, identifiziert Sicherheitslücken und stellt verständlich dar, in welcher Form unbefugt auf Daten zugegriffen worden ist. Häufig geht es aber vor allem in kleinen und mittleren Unternehmen darum, unter Einsatz eigener Expertise so umfassend wie möglich selbst festzustellen, „wer was wann, wo und wie“ getan hat, ohne sich einen Spezialisten ins Haus zu holen. „Wir sind hier im Haus auch nicht auf den Kopf gefallen“, hat sich vor kurzem der Geschäftsführer eines betroffenen Unternehmens im Gespräch geäußert.

Wird ein Unternehmen Opfer krimineller Handlungen durch Missbrauch interner Daten, ist konzertiert vorzugehen, um Rechte zu sichern. Digitale Spuren sind zwar unsichtbar, aber gerichtsfeste Beweismittel. Der IT-Ermittler, etwa des Systemadministrator des Unternehmens, ist dabei sog. sachverständiger Zeuge. Ohnehin gilt: Niemals alleine ermitteln, denn auch hier bewahrheitet sich, dass vier Augen mehr sehen als zwei und vor Gericht vier Augen mehr wert sind als zwei.

Darüber hinaus sollte der Tatort abgesperrt und darauf geachtet werden, dass sich nur ermittelnde Personen dort befinden, um Manipulationen ebenso auszuschließen wie versehentliche Beweisvereitelung. Laufende Geräte sind nicht abzuschalten, deren Bildschirminhalte zu dokumentieren, und zwar nicht durch Screenshots sondern durch digitale Bildaufnahmen. Sinnvollerweise sind bei dieser Gelegenheit auch Fotos von der Tatorthardware zu machen, am besten ebenso von vorne wie von der Rückseite mit der Verkabelung.

Anschließend sind zunächst flüchtige Daten zu sichern, darüber hinaus der Haupt- und Prozessspeicher, sämtliche Daten interner und externer Festplatten sowie Daten, die sich auf USB-Sticks befinden. Schließlich ist ein Ermittlungsprotokoll anzufertigen, das die Namen aller Beteiligter, Ermittler, Zeugen und sonstiger Personen enthält.

Wichtig zur korrekten Durchführung der eigentlichen computer-forensischen Analyse ist, das zu untersuchende System nicht zu modifizieren und ein Abbild des Rechners zu erstellen, das von einem unkompromittierten System mittels einer Live-CD untersucht wird, deren Tools gelöschte Dateien wiederherstellen, Informationen in ein übersichtlicheres Format bringen oder Dateien mit Hashwerten bekannter Dateien vergleichen können.

Jedoch sind bei der forensischen Analyse datenschutzrechtliche Vorschriften zu beachten, denn mehr private oder vertrauliche Daten als zur Ermittlung des Vorfalls unbedingt erforderlich dürfen im Rahmen des forensischen Zugriffs nicht analysiert werden. Soweit im Unternehmen vorhanden, ist sinnvollerweise der Personalrat und der Datenschutzbeauftragte hinzuzuziehen. Damit die im Rahmen der forensischen Analyse gewonnenen Daten Beweiskraft vor Gericht erlangen, ist darüber hinaus die Dokumentation des Vorgangs von besonderer Bedeutung.

Die skizzierte Vorgehensweise erlaubt eine verhältnismäßig geräuschlose Untersuchung betroffener Desktops, ohne Unruhe in den Betrieb zu bringen und Besorgnis bei den Mitarbeitern auszulösen. So lassen sich in den meisten Fällen schnell Informationen darüber ermitteln, „wer wann, wo und wie“ sich unbefugt Firmendaten bemächtigt hat und auf dieser Grundlage aussichtsreich ebenso Strafanzeige erstatten wie zivilrechtliche Konsequenzen ziehen.

Einen gelungenen, wenn auch mit seinen 350 Seiten mehr als erfreulich umfangreichen Leitfaden zum Thema IT-Forensik des Bundesamts für Sicherheit in der Informationstechnik (BSI) gibt es hier.

Tags:, , ,

Trackback von ihrer Webseite.