Hat ein Mitarbeiter Daten entwendet? Wie konnte ein Hacker unsere Daten verschlüsseln? Wenn gerichtsverwertbare Beweise im Digitalbereich benötigt werden, kommen regelmäßig IT-Forensiker zum Einsatz. In diesem Interview erklärt Aaron Hartel, Kaufmännischer Geschäftsführer Trufflepig Forensics, was Unternehmer zu diesem Thema wissen müssen.
Kriminalität und Strafverfolgung finden längst nicht mehr nur im analogen Raum statt – Zur Überführung Krimineller oder Erhebung von Beweismitteln, müssen immer häufiger auch Computer, Smartphones und IoT-Geräte, wie Smartwatches, Fitness-Tracker, etc. sichergestellt und ausgewertet werden. An diesem Punkt kommt die digitale Forensik ins Spiel: „Ursprünglich kommt sie aus dem Strafverfolgungssektor, wo sie noch immer von hoher Relevanz für die Beweissicherung für Strafverfahren ist", erklärt Hartel.
Mittlerweile spielt IT-Forensik aber auch für Unternehmer eine wichtige Rolle. „Nach einem Hackerangriff sind digitale Forensiker in der Lage, zu ermitteln, an welcher Stelle der Hacker in die IT-Strukturen des Unternehmens eindringen konnte, wie er sich ausgebreitet hat, wie er Schritt für Schritt das Unternehmen infiltriert hat und am Ende, wenn es ein Ransomware-Angriff war, auch das Unternehmen verschlüsselt hat", so Hartel.
Das zweite große Anwendungsfeld sind unternehmensinterne Ermittlungen. Hier kommt die IT-Forensik beispielsweise zum Einsatz, wenn Mitarbeiter oder Führungskräfte kriminelles Verhalten gezeigt oder Geld veruntreut haben - Stichwort Wirecard. Oftmals werden im Vorfeld solcher Vorfälle Mitarbeiter abgeworben, sind frustriert oder Teil eines persönlichen Konflikts im Unternehmen. „Sie wollen deshalb dem Unternehmen schaden, sichern sich Daten auf einem Datenträger und gehen damit zur Konkurrenz." Die IT-Forensiker von Trufflepig Forensics kamen in dem Zusammenhang schon öfter zum Einsatz: „Wir hatten schon mehrere von diesen Fällen, in denen wir die Spuren nachweisen konnten, was im Rahmen eines Gerichtsverfahrens am Ende nachteilig oder zulasten des Angeklagten ausgelegt wurde."
In folgenden Fällen ist es sinnvoll, IT-forensische Untersuchungen einzuleiten:
Um die Beweise gerichtsverwertbar zu machen, folgt die IT-Forensik bei ihrer Sicherung und Auswertung einer erprobten Vorgehensweise: Zunächst wird vom zu untersuchenden Objekt ein Abbild der Elemente gezogen, die untersucht werden sollen. Untersuchungen erfolgen niemals direkt auf den Geräten, da so das potenzielle Beweismittel verändert wird und die Forensiker im Nachhinein ansonsten beschuldigt werden könnten, die angeblichen Beweise selbst platziert oder manipuliert zu haben, um sie später im Prozess zum Vorteil einer Partei auslegen zu können. In diesem Fall kann und wird der gegnerische Anwalt vor Gericht die Glaubwürdigkeit des Forensikers anfechten.
So aufschlussreich und hilfreich IT-forensische Untersuchung auch sein können, so unschön kann auch ihr Anlass sein. Um dem vorzubeugen, gilt es, bereits früh präventive Maßnahmen zu ergreifen. Zum Schutz gegen Hackerangriffe sollte eine umfassende IT-Sicherheitsstrategie gelten und der aktuelle Stand der IT-Security regelmäßig durch Pentests und simulierte Bedrohungen überprüft werden.
Um interne Ermittlungen und den Verlust brisanter Daten an Konkurrenten zu vermeiden, ist zum einen ein gutes Betriebsklima wichtig. Zum anderen sollten Zugänge nur bei tatsächlichem Bedarf und nicht beliebig vergeben werden, sowie die Zugangsdaten und -rechte nach dem Verlassen des Unternehmens eines Mitarbeiters gesperrt werden. „Je klarer man da ist, je besser durchdacht die Strategie ist, je besser die IT-Sicherheit im Unternehmen ist, desto weniger Grund für eine IT-forensische Untersuchung und auch Möglichkeiten für den Mitarbeiter, Daten zu stehlen, bestehen."
Nach Abschluss der IT-forensischen Untersuchungen werden die Ergebnisse von den Experten von Trufflepig Forensics ausgewertet und dem Unternehmen in einem ausführlichen Bericht vorgestellt. Bei Ermittlungen, die sich über einen längeren Zeitraum hin erstrecken, werden zudem Zwischenberichte gegeben. „Auf diese Weise sieht das Unternehmen die Ergebnisse der bisherigen Untersuchungen, kann daraus bei Bedarf noch weitere Fragestellungen ableiten, kann einschätzen, ob die bisher sichergestellten Beweise bereits genug sind, oder auch nicht genügen und auch nicht mehr gefunden werden kann und die Untersuchung abgebrochen werden soll", fasst Hartel zusammen.