04.05.2012, 08:13 Uhr
Mehr forensische Bereitschaft gefordert
Trotz vielerlei Schutzmassnahmen werden auch in Computersystemen von Firmen Verbrechen begangen. Was können Unternehmen tun, um eine ordentliche Spurensicherung zu gewährleisten?
$$
Adrian Leuenberger von Switch plädiert dafür, dass Unternehmen mehr gegen die Dunkelziffer tun
Adrian Leuenberger von Switch plädiert dafür, dass Unternehmen mehr gegen die Dunkelziffer tun
Dies war eine der Fragen, die am diesjhrigen Security-Podium auf Schloss Au am Zrichsee diskutiert wurde. In seiner einführenden Keynote zeigte Adrian Leuenberger, Security Engineer bei SWITCH und Mitglied des dort angesiedelten CERT, auf, was es braucht, damit eine Firma eine gewisse «Forensic Readiness» aufweisen kann, also bereit ist, im Fall einer mit Hilfe der eigenen Systeme begangenen Straftat auch die Spuren adäquat sichern zu können. Dabei stellte sich heraus, dass dieses Bereitsein oft schon wegen organisatorischer Mängel nicht gegeben ist. So sei oft unklar, wer in einem solchen Fall überhaupt zuständig sei. Deshalb fordert Leuenberger die Unternehmen auf, diesen Punkt zu klären.
Eines der Hauptprobleme bei der Aufklärung von Straftaten ortet Leuenberger darin, dass eigentlich niemand wirklich daran interessiert ist. So sei dem IT-Management hauptsächlich daran gelegen, dass die IT-Systeme laufen. Die Business-Seite dagegen wolle, dass die Firma nicht dabei behindert werde, Geld zu verdienen. Leuenberger plädiert daher, dass man sich trotz der unterschiedlichen Ziele intern auf ein identisches Vorgehen einigen solle.
Eines der schwierigsten Probleme für digitale Forensiker ist aber, dass Firmen tendenziell dazu neigen, bei Schäden keine Anzeige zu erstatten. Die Gründe seien hier vielfältig, meint Leuenberger. Ein Verfahren sei vielen zu aufwändig. Zudem habe man Angst davor, dass die Geschäftstätigkeit unterbrochen werden könne. Schliesslich fürchte man einen Image-Schaden.
«Weil es keine Meldepflicht gibt, haben wir es mit einer riesigen Dunkelziffer zu tun», konstatiert Leuenberger. Die Folge sei nicht nur, dass Straftaten nicht aufgeklärt würden. Die Unterlassungssünde zieht einen ganzen Rattenschwanz an Konsequenzen mit sich. «Werden die Straftaten nicht gemeldet, erscheinen sie auch in keiner Kriminalstatistik», beginnt Leuenberger aufzuzählen. Doch die Statistik sei wichtig, da sie über das gesprochene Budget der Strafverfolgungsbehörden für diese Art von Vergehen entscheide. «Nur wenn die Statistik stimmt, erhalten die Behörden mehr Geld und die Straftaten können besser verfolgt werden», meint er. Schliesslich führe eine wahrheitsgetreue Kriminalstatistik auch dazu, dass die politische Ebene aktiv werde und bessere Gesetze erlasse, so Leuenbergers Argumentation. «Ich plädiere deshalb dafür, dass Schäden gemeldet werden». Lesen Sie auf der nächsten Seite: Unterschiedliches forensisches Know-how in den Firmen
Wie hoch ist somit die Readiness in der Schweiz. Im anschliessenden Podium versuchte Marcel Mauchle, Verantwortlicher für digitale Forensik bei der Kantonspolizei St. Gallen, dies aus Praxissicht zu beleuchten. Dabei stellte sich heraus, dass dies oft von der Grösse des Unternehmens abhängt. Grossunternehmen hätten diesbezüglich einiges an Know-how aufgebaut. Bei Kleinunternehmen gäbe es dagegen oft keine Ansprechperson. Zudem wisse man hier nicht, was gesichert werden müsse. Oft würden Postfächer gespeichert, aber die viel wichtigeren Logfiles ausser acht gelassen. «Bei grösseren Unternehmen ist dagegen das Know-how und das Bewusstsein in den letzten Jahren stark gewachsen», lobt Mauchle. In einigen Fällen könne er mit forensischen Teams in den Unternehmen zusammenarbeiten. In diesen Firmen sei die digitale Forensik dann meistens auch Teil des Risikomanagements.
Doch es gibt nach wie vor auch noch viel zu tun. So machen den Firmen und IT-Abteilungen die riesigen Datenmengen zu schaffen, die in Logfiles geschrieben werden und im Notfall durchforstet werden müssen. Darüber hinaus behindert die Datenverschlüsselung die Aufklärungsarbeit. Schliesslich könnten die gesetzlichen Rahmenbedingungen verbessert werden. So berichtet Mauchle von seinem Kollegen aus Grossbritannien, der bei der Untersuchung gerade von Systemen mit verschlüsselten Daten über bessere Druckmittel verfüge. So könne dort jemand mit Gefängnis bestraft werden, der sich weigere, sein Passwort für verschlüsselte Daten preiszugeben, berichtet er.
Eines der Hauptprobleme bei der Aufklärung von Straftaten ortet Leuenberger darin, dass eigentlich niemand wirklich daran interessiert ist. So sei dem IT-Management hauptsächlich daran gelegen, dass die IT-Systeme laufen. Die Business-Seite dagegen wolle, dass die Firma nicht dabei behindert werde, Geld zu verdienen. Leuenberger plädiert daher, dass man sich trotz der unterschiedlichen Ziele intern auf ein identisches Vorgehen einigen solle.
Eines der schwierigsten Probleme für digitale Forensiker ist aber, dass Firmen tendenziell dazu neigen, bei Schäden keine Anzeige zu erstatten. Die Gründe seien hier vielfältig, meint Leuenberger. Ein Verfahren sei vielen zu aufwändig. Zudem habe man Angst davor, dass die Geschäftstätigkeit unterbrochen werden könne. Schliesslich fürchte man einen Image-Schaden.
«Weil es keine Meldepflicht gibt, haben wir es mit einer riesigen Dunkelziffer zu tun», konstatiert Leuenberger. Die Folge sei nicht nur, dass Straftaten nicht aufgeklärt würden. Die Unterlassungssünde zieht einen ganzen Rattenschwanz an Konsequenzen mit sich. «Werden die Straftaten nicht gemeldet, erscheinen sie auch in keiner Kriminalstatistik», beginnt Leuenberger aufzuzählen. Doch die Statistik sei wichtig, da sie über das gesprochene Budget der Strafverfolgungsbehörden für diese Art von Vergehen entscheide. «Nur wenn die Statistik stimmt, erhalten die Behörden mehr Geld und die Straftaten können besser verfolgt werden», meint er. Schliesslich führe eine wahrheitsgetreue Kriminalstatistik auch dazu, dass die politische Ebene aktiv werde und bessere Gesetze erlasse, so Leuenbergers Argumentation. «Ich plädiere deshalb dafür, dass Schäden gemeldet werden». Lesen Sie auf der nächsten Seite: Unterschiedliches forensisches Know-how in den Firmen
Wie hoch ist somit die Readiness in der Schweiz. Im anschliessenden Podium versuchte Marcel Mauchle, Verantwortlicher für digitale Forensik bei der Kantonspolizei St. Gallen, dies aus Praxissicht zu beleuchten. Dabei stellte sich heraus, dass dies oft von der Grösse des Unternehmens abhängt. Grossunternehmen hätten diesbezüglich einiges an Know-how aufgebaut. Bei Kleinunternehmen gäbe es dagegen oft keine Ansprechperson. Zudem wisse man hier nicht, was gesichert werden müsse. Oft würden Postfächer gespeichert, aber die viel wichtigeren Logfiles ausser acht gelassen. «Bei grösseren Unternehmen ist dagegen das Know-how und das Bewusstsein in den letzten Jahren stark gewachsen», lobt Mauchle. In einigen Fällen könne er mit forensischen Teams in den Unternehmen zusammenarbeiten. In diesen Firmen sei die digitale Forensik dann meistens auch Teil des Risikomanagements.
Doch es gibt nach wie vor auch noch viel zu tun. So machen den Firmen und IT-Abteilungen die riesigen Datenmengen zu schaffen, die in Logfiles geschrieben werden und im Notfall durchforstet werden müssen. Darüber hinaus behindert die Datenverschlüsselung die Aufklärungsarbeit. Schliesslich könnten die gesetzlichen Rahmenbedingungen verbessert werden. So berichtet Mauchle von seinem Kollegen aus Grossbritannien, der bei der Untersuchung gerade von Systemen mit verschlüsselten Daten über bessere Druckmittel verfüge. So könne dort jemand mit Gefängnis bestraft werden, der sich weigere, sein Passwort für verschlüsselte Daten preiszugeben, berichtet er.
