IT-Forensik 31.08.2010, 06:00 Uhr

Spurensuche im Datendschungel

Eine zentrale Frage im Lebenszyklus von Unternehmensdaten lautet: Wie findet man die relevanten Informationen, wenn man sie wirklich braucht? Ein Fall für Profis.
Philipp Sander ist Mitglied der Geschäftsleitung bei Scalaris Der schnelle Zugang zu relevanten Daten sorgt nicht nur für effiziente Geschäftsprozesse, er kann auch existenzkritisch sein. Denn jede Form des Risikomanagements ist auf entsprechende Informationen angewiesen, um Gefahren rechtzeitig erkennen und Schutzmassnahmen ergreifen zu können. Auch im Ernstfall, wenn es darum geht, als Angeklagter vor Gericht das rechtskonforme Verhalten oder als Ankläger einen Verdacht zu beweisen, zählt nur eine eindeutig nachvollziehbare Faktenlage.

Wie kommt man schnell an Beweise?

Die traditionellen Methoden der Datenverwaltung werden diesen Anforderungen, welche die Disziplin Governance, Risk & Compliance (GRC) an das Informationsmanagement stellt, nicht gerecht. Kaum ein Unternehmen verfügt über ein ganzheitliches Konzept, das einen zentralen und schnellen Zugriff auf alle vorhandenen Informationen gewährleistet. Die Daten werden in zahlreichen, isoliert betriebenen elektronischen Systemen und teilweise nach wie vor in Papierform aufbewahrt. Die Einführung eines ganzheitlich organisierten Informationssystems ist letztlich auch eine Kostenfrage. Ob sich die Investition in ein solches umfassendes System lohnt, hängt auch davon ab, wie oft die Informationen tatsächlich gebraucht werden. Abgesehen davon, reicht für viele Fragestellungen die inter-ne Wissensbasis gar nicht aus. Wenn im Falle eines Rechtsstreits etwa die Aufgabe darin besteht, die verstreuten Da-tenmassen möglichst schnell nach Indizien zu durchsuchen und eine gerichtsverwertbare Argumentation aufzubereiten, dann sind spezifische Informationen erforderlich, um ein vollständiges und aktuelles Bild über Personen, Organisationen und Situationen zu erhalten. Das kann mehrere Mann-Monate manueller Arbeit bedeuten und entsprechende Kosten verursachen. Und immer besteht das Risiko, wesentliche Informationen zu übersehen. Hier kommen externe Dienstleister ins Spiel.

IT-Forensik als Dienstleistung

Vor allem international agierende Organisationen werden zunehmend mit Wirtschaftsdelikten wie Veruntreuen, Industriespionage, Unlauterer Wettbewerb, Betrug, Geldwäsche, Korruption oder Terrorismusfinanzierung konfrontiert und benötigen professionelle Unterstützung - sowohl für präventive Massnahmen als auch für die Überführung von Verdächtigen. Dass solche Gefahren durchaus real sind, zeigt ein Beispiel aus der Praxis. Kurz nachdem ein Top-Manager das Unternehmen verlassen hatte, sorgte eine kleinere Kündigungswelle von Mitarbeitern in Schlüsselpositionen für Unruhe. Der Weggang mehrerer Personen innerhalb kurzer Zeit war für die 5000-Mitarbeiter-Organisation ungewöhnlich, und ist in der Know-how-intensiven Technologiebranche zudem höchst bedenklich. Nachdem bekannt wurde, dass der erwähnte ehemalige Top-Manager regel-mässigen Kontakt zu Mitarbeitern und Kunden pflegte, lag die Schlussfolgerung nahe: Mitarbeiter und Kunden sollten abgeworben werden. Da der Verlust weiterer wichtiger Know-how-Träger und Kunden drohte, war keine Zeit zu verlieren. Doch für rechtliche Schritte fehlten rechtsgültige Beweise. Kündigungen sowie Treffen mit Ex-Kollegen und Kunden sind per se nicht gesetzeswidrig. In der Hoffnung, dass der Hauptverdächtige und mögliche Komplizen innerhalb der Organisation Spuren, beispielweise in Form von Dokumenten und E-Mails, hinterlassen hatten, wurde Scalaris mit der Beweismittelsicherung beauftragt.

Systematische Spurensuche

Die IT-Forensik kombiniert ausgefeilte Technologie zur Analyse grosser Datenmengen mit forensischer Expertise. Scalaris betreibt dafür zwei forensische Labors, die mit entsprechender Such- und Analyse-technologie ausgestattet sind. «Die technologische Ausstattung für die schnelle Verarbeitung riesiger Datenvolumina ist allerdings nur die halbe Miete. Genauso wichtig ist es zu wissen, wie Beweismittel zu sichern und ein gerichtskonformer Bericht zu erstellen sind», erklärt Dr. Andrea Galli, Head of Economic Crime Intelligence bei Scalaris. Und natürlich müssen die Recherchen unentdeckt und vertraulich erfolgen. Damit elektronische Daten als Beweis zugelassen werden, muss der IT-Forensiker gerichtskonforme Kopien der eingereichten Datenträger erstellen. Erst wenn die Informationen eingefroren, das heisst unveränderbar sind, erfolgen Datenextraktion und -indizierung. Über eine intelligente Suchmaschine kann das gesamte zur Verfügung stehende Datenmaterial einfach und gezielt durchsucht werden. Dies erfordert die enge Zusammen-arbeit mit dem Kunden und dessen Anwalt. «Wir benötigen möglichst detaillierte Informationen über Verdachtsmomente und müssen zugleich wissen, wie diese aus juristischer Sicht am besten zu beweisen sind», erläutert Galli. Die Suche nach Indizien erfolgt über Stichwörter. Die relevanten Resultate werden isoliert und chronologisch aneinandergereiht, um die Geschehnisse zu rekonstruieren. Im konkreten Fall hat die Analyse von Festplatten Schritt für Schritt weitere Verdächtige und im Endeffekt ein gründlich geplantes Komplott aufgedeckt. 90 Personen aus unterschiedlichen Ländern waren daran beteiligt und wie befürchtet auf dem besten Weg, Mitarbeiter und Kunden in ein ähnliches, international tätiges Unternehmen zu «transferieren».

Open Source Intelligence

Wenn die Verdächtigen intern nicht ausreichend Spuren hinterlassen oder diese erfolgreich beseitigen, aber auch um Aussenstehende zu überführen, empfehlen sich Recherchen in sogenannten OSINT-Quellen (Open Source Intelligence), einem Begriff aus der Welt der Geheimdienste. Open Source steht in diesem Fall für öffentlich zugängliche Informationsquellen wie Zeitungen, Internet, Bücher, wissenschaftliche Magazine, Radiosendungen, Fernsehen oder Verzeichnisse. Der Zugang zu solchen Datenquellen ist allerdings oft kostenpflichtig, IT-Forensiker verfügen daher meist über fortlaufende Lizenzverträge mit den Datenbank-anbietern. Ausserdem ist der clevere Einsatz von Suchtechnologie erforderlich, um die Abfragen zu verschleiern.
Im beschriebenen Fall ergab die Abfrage von Computer- und E-Mail-Domaine-Registern beispielsweise, dass mancher Mitarbeiter ein Doppelleben führte und bereits für die neue Organisation tätig war.
Philipp Sander

Das könnte Sie auch interessieren