Startseite
Netzwerksicherheit- Internetsicherheit
Computerkriminalität
FAQ-Datenrettung
Computer Forensic
    Die IT auf dem Seziertisch
Forensik-Prozess
Hacker Tools
Passwort wiederherstellen
Datenrettung Tool
Datenrettung Software
Datenrettung
Datenwiederherstellung
Daten Rettung
Datenrettung DVD
Easy recovery
Daten reparieren
Datenrettung defekte Festplatte
Mail wiederherstellen
Datensicherheit
Sicherheitstechnik
Weitere Info
Sitemap
Impressum

Die IT auf dem Seziertisch



Computerforensik: Die IT auf dem Seziertisch

Spurensuche im IT-Zeitalter – wie Spezialisten aus 'Bit-Salat' wieder Daten machen und warum IT-Forensik noch immer viel zu wenig genutzt wird

Wissen schützt. Das gilt auch für das Wissen über Computersysteme. Wer nicht weiß, was sich im DV-System abspielt, verliert die Kontrolle, ist wehrlos Missbrauch und Betrug ausgesetzt. Wer wüsste das besser als die Computerforensiker, die täglich Computerkriminalität untersuchen und auswerten – dann, wenn es zu spät ist.
Nur selten erfährt die Öffentlichkeit davon, wenn ein Unternehmen Forensik-Experten bemüht. Denn es ist peinlich und sorgt für Imageschäden, wenn die Firma einräumen muss, Sicherheitslücken so groß wie Scheunentore zu haben oder von den eigenen Mitarbeitern gelinkt worden zu sein.
British Midland Tools, Hersteller von Werkzeugen für die Automobilindustrie, ist eine Ausnahme. Teilhaber der Firma initiierten eine Untersuchung, als ehemalige Mitarbeiter, darunter der Ex-Geschäftsführer, in der unmittelbaren Nachbarschaft eine Konkurrenzfirma aufmachte, die British Midland Tooling. Der Verdacht: Die früheren Angestellten hatten vor ihrem Abgang elektronische Kopien wichtiger technischer Zeichnungen gemacht, um nun Plagiate auf den Markt zu werfen.
Dass Computer eingesetzt werden, um intellektuelles Eigentum zu stehlen, steht außer Frage. Sie nimmt derzeit nach Aussagen von Clive Carmichael-Jones, Operations Director beim Forensik-Spezialisten Vogon International, sogar stark zu. Nach Angaben von Kroll Ontrack, eine weitere Spezialistenfirma für Datenrettung und Computerforensik, stellt die Werksspionage sogar das größte Schadensfeld der Wirtschaftskriminalität dar, sofern digitale Entwendung und Weitergabe von Patenten, Daten, Konstruktionszeichnungen, Plänen, Ideen, Adressbeständen und Kundenkonditionen unter diesem Begriff subsumiert werden.

Hohe Dunkelziffern
Mehr als die Aussage der Experten steht zur Bewertung allerdings kaum zur Verfügung. Denn dank der hohen Dunkelziffer sind Statistiken recht unzuverlässig. Außerdem wird zumindest hierzulande Computerkriminalität eigentlich nicht gemessen. Die Missbräuche werden dem jeweiligen Straftypus zugeordnet, etwa Kinderpornografie, Erpressung, sexuelle Belästigung, Softwarepiraterie, Identitätsklau, Fälschung und Finanzbetrug.
In Großbritannien und den USA sieht das etwas anders aus. Zum Beispiel befragt die britische National High Tech Crime Unit (NHTCU) seit zwei Jahren rund 200 einheimische Firmen zum Thema 'Computer-enabled Crime', kurz 'e-crime', also Rechtsverletzungen, die mithilfe von Computern oder auf Rechnersystemen begangen werden. Die Untersuchung ist das Pendant zu den bekannteren FBI/CSI-Studien in den USA. Demnach haben nur 40 von 167 Unternehmen, die 2003 von e-crime betroffen waren, die Polizei eingeschaltet. Das scheint umso erstaunlicher, als alleine durch Finanzbetrug in Großbritannien beispielsweise ein Schaden von 121 Millionen Pfund verursacht worden war. Die Verluste durch unberechtigten Zugang beliefen sich auf 472.000 Pfund, durch Sabotage 802.000 Pfund und durch Datenklau 6,6 Millionen Pfund.
Allerdings sorgen die Anti-Terror-Maßnahmen sowie große Finanzskandale a là Enron zumindest für größere Aufmerksamkeit, sagt Vogon-Spezialist Carmichael-Jones. Tatsächlich dokumentieren auch hierzulande Fernsehaufnahmen Fahndungserfolge häufig mit Bildern von Computern, die in Wohnungen und Firmen beschlagnahmt werden.

Kniffe, Tricks und Tools
Auch bei der Hausdurchsuchung von British Midland Tooling waren bereits Ermittler von Vogon International dabei. Sie sorgten für ein bitgenaues Abbild des gesamten Design-Werkzeugs AutoCAD. Beim Vergleich dieser Kopie mit einer Referenzkopie des Auftraggebers fielen zunächst nur Unterschiede auf. Es handelte sich zwar um die gleichen Werkzeuge, jedoch um eine andere AutoCAD-Version und die Zeichnungen trugen unterschiedliche Firmenlogos.
Bei der Konvertierung der Dateien in ein Normalformat zeigte sich jedoch, dass das Ursprungslogo von British Midland Tools mit einem anderen Adressblock überschrieben worden war. Außerdem fanden sich in ausgelagerten Dateien zwei Seiten des Qualitätshandbuchs der geschädigten Firma. Angebliche Originalzeichnungen, auf Sony-Disketten gespeichert, konnten die Ex-Mitarbeiter ebenfalls nicht entlasten, da es die Disketten zum Zeitpunkt der angeblichen Erstellung noch gar nicht gab.
Welche Kniffe und Tricks es genau sind, mit denen sich gelöschte, zerstörte und versteckte Informationen wieder hervorzaubern lassen, so dass sich die mit Hilfe von Computern begangenen Straftaten nachweisen lassen, will zwar kein Experte verraten. Doch Firmen wie Vogon, Kroll Ontrack und Ibas stellen Software-Werkzeuge her, mit denen im Computer, im Netz, im Handy und Handheld, in digitalen Kameras und Faxgeräten auf Spurensuche gegangen werden kann. Diese funktionieren nach dem Prinzip: Irgendetwas bleibt immer übrig, auch wenn die Täter Daten löschen, verteilen und zerstören wollen. Mit Hilfe der Tools erstellen Ermittler Abbilder, bereiten Daten auf und untersuchen sie

Irgendwas bleibt immer hängen
Dafür nutzen die Spürnasen nicht lokale Rechner, sondern auch das Firmennetz. Die Systemadministration zeichnet generell auf, wann, wer mit welchem Gerät auf irgendwelche Ressourcen zugreift. Zum Beispiel wird der gesamte E-Mail-Verkehr protokolliert. "Und selbst wenn ein Täter zur Vertuschung die Server-Daten löschte, blieben noch die Backups dieser Protokolle in Form von Sicherungskopien auf Bändern und Platten", erläutert Vogon-Director Carmichael-Jones.
Zudem lässt einfaches Löschen von Files außer auf Unix-Systemen lediglich das Inhaltsverzeichnis verschwinden. Der Rest bleibt erhalten und wird sukzessive und teilweise überschrieben. Andererseits bleibt die FAT-Tabelle (File Allocation Table) erhalten, die angibt, wo eine Datei beginnt und endet. Die Werkzeuge der Computerforensiker durchsuchen dann "den Bitsalat nach Schlüsselwörtern und nach Zusammenhängen mit dem Ziel, gelöschte und überschriebene Informationen herzustellen und sichtbar zu machen“, erläutert Peter Böhret, Geschäftsführer von Kroll Ontrack.
Dabei lassen sich heute forensisch korrekte Methoden auf das ganze Spektrum an Datenspeichergeräten anwenden wie Festplatten, RAID-Arrays, CDs, DVDs und Memory Sticks. Die Suchfunktionen eignen sich für Bild- und Textdateien, für die gelöschte Dateien und Partitionen, Speicherverschnitt, High-Level-formatierte Festplatten und beschädigte Dateisysteme kein Hindernis darstellen. Kroll Ontrack etwa gibt seine Quote für die erfolgreiche Datenwiederherstellung, wenn Rechner und Systeme zerstört sind, mit rund 80 Prozent an. Die Möglichkeiten bei der Datenwiedererstellung im Bereich der Beweismittelrecherche seien jedoch noch höher.

Auf schwankenden Planken
Tatsächlich liegen die größten Hindernisse woanders. Zum einen kämpfen die Forensiker mit der Datenfülle, mit der unter Umständen weltweiten Verteilung von relevanten Informationen und rechtlichen Unsicherheiten. Der ehemalige Kriminaloberkommissar Bodo Meseke, seit August 2004 bei Ibas Deutschland für Computerforensik zuständig, erzählt etwa, dass ein Reeder überprüfen wollte, ob die Kühlung eines Schiffes ordentlich gearbeitet hatte oder die Mannschaft das Verderben von Lebensmitteln verursacht hatte. Die Auswertung einer Unmenge an Sensordaten über einen Zeitraum von drei Jahren konnte den Fall klären. Die Anlage hatte versagt. Vogon-Experte Carmichael-Jones berichtet aus einem Fall in den USA, in dem 100 Files und 500 Terabytes an Daten zu untersuchen waren.
Die größte Unsicherheit jedoch, beklagen beide Forensiker, bietet die Rechtslage. Auf schwankenden Planken beispielsweise stehen beide, weil in vielen Unternehmen ungeklärt ist, was ein Verstoß ist und wie eingegriffen werden soll. Nur Offizialdelikte nach Strafgesetzbuch verpflichten zur Anzeige. Wenn ein Mitarbeiter anonym beleidigende, pöbelnde oder drohende Mails erhält, berechtigt das weder den Arbeitgeber noch eine Forensikfirma per se zum Lesen persönlicher Mails. Außerdem muss geklärt sein, zu welchen Zwecken der Mitarbeiter seinen Arbeitsplatzrechner überhaupt nutzen darf.
Kann er auf private Mails antworten, eventuell Überweisungen tätigen, im elektronischen Telefonbuch nach einem Friseur oder Doktor suchen? Beim Bundesbeauftragten für Datenschutz ist dazu Folgendes nachzulesen: "Der Arbeitgeber hat grundsätzlich das Recht, stichprobenartig zu prüfen, ob das Surfen beziehungsweise das E-Mail-Versenden der Beschäftigten dienstlicher Natur ist. Eine vollautomatisierte Vollkontrolle durch den Arbeitgeber ist als schwerwiegender Eingriff in das Persönlichkeitsrecht der Beschäftigten hingegen nur bei konkretem Missbrauchsverdacht im Einzelfall zulässig. Es wird empfohlen, über die Nutzung von E-Mail und Internet eine Dienstvereinbarung mit dem Personalrat abzuschließen, in der die Fragen der Protokollierung, Auswertung und Durchführung von Kontrollen eindeutig geregelt werden."

Achtung!
Auch die Forensik-Tools selbst können ein Problem darstellen. In Deutschland gibt es keine Zertifizierung für die Werkzeuge. Wie lassen sich gegebenenfalls die Ergebnisse, die die Software liefert, dann gegenüber der Staatsanwaltschaft verifizieren? In anderen Ländern existieren Zertifikate, sowohl für Tools als auch für Unternehmen, die gerichtsverwertbare Erkenntnisse liefern können.
Die Unterschiede weisen darauf hin, dass die in allen Ländern unterschiedliche Rechtslage selbst ein Problem darstellt. Denn Ermittlungen müssen mehr und mehr länderübergreifend stattfinden.
Für die Unternehmen bedeutet das letztlich: Wachsamkeit beziehungsweise Vorbeugen ist Pflicht – Bespitzelung jedoch nicht. Das Gesetz zur Kontrolle und Transparenz (KonTraG) schreibt zumindest Aktiengesellschaften die frühzeitige Kontrolle von Entwicklungen, die für das Unternehmen kritisch sein können vor, und verpflichtet sie zur Ergreifung von entsprechenden Sicherheitsmaßnahmen (§ 91 Absatz 2 Aktiengesetz).
Trotzdem geschehe es eher selten, dass als erstes auffällt, wenn Daten vom Server verschwinden, Datenzugriffe ungewohnt häufig stattfinden, die Netzwerklast schlagartig steigt und E-Mail-Server zu ungewohnten Zeiten zu hoch ausgelastet sind, sagt Meseke: "Ein Verdacht entsteht anders." Wie, das lässt sich etwa in einem Whitepaper von Kroll Ontrack nachlesen. Das Unternehmen hat beispielsweise Indizien zusammengestellt, die ein Unternehmen auf Werksspionage aufmerksam machen können. Vorsicht sei geboten, wenn der Mitbewerb gleiche Ideen habe, ähnliche Projekte entwickle oder identische Konstruktionen vorlege, wenn Kunden unruhig würden, härtere Preisverhandlungen führten und mit internen Details argumentierten, oder sogar vor undichten Stellen warnten. Heikel werde es allgemein, wenn Mitarbeiter offenkundig unzufrieden seien oder Entlassungen befürchteten.
Was tun, was bezahlen?
Die Computerforensiker greifen dann ein, wenn das Informationsleck schon besteht. Nicht immer ist dieses Absicht, etwa Sabotage. Auch Systemfehler und versehentliches Löschen führen zu Datenverlusten. Ist etwas passiert, gilt grundsätzlich: Alles erst einmal so lassen wie es ist, möglichst nichts antasten. Schon das Verschieben der Maus könne dazu führen, dass sich nicht mehr Verifizieren lässt, ob der letzte Mitarbeiter an diesem Computer ein Rechts- oder Linkshänder war, warnt ein Kroll-Ontrack-Papier. Zum Beispiel bleibt ein laufender Rechner, auf dem Beweismaterial vermutet wird, angeschaltet, sonst droht der Verlust des Inhalts aus dem Arbeitsspeicher.
"Wenn jemand anruft, typischerweise Freitags um 16:30 Uhr, geht es deshalb zunächst um die Einschätzung der Situation: Wie schnell muss etwas unternommen werden?", erzählt Meseke aus seiner Praxis. Zum Beispiel könnte anstehen, Bänder zu löschen, oder es müssen bis zum Arbeitsbeginn am Montag wegen des Verdachts auf Wissenstransfer mehrere Notebooks analysiert werden. Das macht schnelles Handeln notwendig.
Falls tatsächlich ein Einsatz vor Ort stattfinden muss, wird dieser genau protokolliert. Außerdem arbeiten die Forensiker mit Eins-zu-eins-Kopien (Images), die sie vor allem beim Verdacht, der Administrator könnte in die Angelegenheit verstrickt sein, selbst herstellen. Diese bleibt sicher verwahrt immer unverändert; gearbeitet wird mit einer weiteren Kopie.
Kunde der Computerforensiker kann jedes Unternehmen werden. Denn Computerkriminalität ist bei weitem nicht auf die Großunternehmen beschränkt. Heute sind etwa 90 Prozent aller Informationen elektronisch gespeichert und der Großteil wird niemals ausgedruckt. So können sich allein durch den Mail-Bestand Interna und Strategien erschließen und Lücken im Datenbestand die Existenz gefährden. Doch auch forensische Untersuchungen können aufwendig und teuer sein. Deshalb gibt Ex-Kommissar Meseke einen Richtwert-Preis. Die Erstanalyse eines Datenträgers kostet bei Ibas um die 980 Euro; jeder weitere Datenspeicher schlägt mit 310 Euro zu Buche.

Ulrike Ostler