Datendiebstahl: Der Feind im eigenen Bett

Oft werde daher an der Polizei vorbei ein auf Computer Forensik spezialisiertes Unternehmen mit der Spurensicherung beauftragt, so Cole. Ob dies jedoch rechtsstaatlichen Gepflogenheiten entspreche, sei zumindest diskussionswürdig, waren sich die Disputanten einig. Unabhängig von solchen Erwägungen folgten nicht wenige Unternehmen jedoch dem vielversprechendsten Weg. Moewes sprach in diesem Zusammenhang von einer „Anzeigen-Unlust“ betroffener Firmen.

Die Spurensicherung durch Forensiker sei eine knifflige Sache, so Kroll Ontrack-Chef Kern: „Für den normalen Administrator ist zunächst nicht ersichtlich, ob eine Datei kopiert worden ist, in welcher Form auch immer. Eine forensische Untersuchung würde dies allerdings erkennen.“ Ansonsten sei das Vorgehen „genau wie bei einer normalen Untersuchung auch“, erklärte Kern. Dabei sei es entscheidend, dass sobald ein Diebstahl bemerkt worden ist, nichts mehr verändert werden dürfe. Rechner müssten unbedingt in dem Zustand belassen werden, in dem man sie im Verdachtsfalle vorgefunden hat. „Wer zuerst an den Tatort rankommt, ist nicht unbedingt gleich ein Computerspezialist“, berichtete Kern aus seinem Alltag. „Und dann guckt der, was ist denn mit dem Rechner los? Was hat der letzte Nutzer denn gemacht? – ohne zu wissen, dass er rund 180 Dateien verändert, wenn er den Rechner herunterfährt oder einschaltet. Das kann er ja auch gar nicht wissen, solang er keine Spezialausbildung hat.“

Laut den Ermittlungsbehörden werde ein „hoher Prozentsatz“ an Beweisen durch ahnungslose Mitarbeiter verwischt. „Ist der verdächtige Kollege weg, schaut man schon Mal nach, ob es einen Abschiedsbrief oder irgendwelche andere Hinweise auf eine Straftat gibt“, so Kern. Durch das Hochfahren des Rechners würden aber schon wesentliche Spuren vernichtet. Von den Fingerabdrücken auf dem Rechner ganz zu schweigen. Die Experten würden dagegen mehrere Images von einer Festplatte ziehen, ohne dass diese in irgendeiner Form verändert würde. Dadurch sei der Erkenntnisgewinn um ein vielfaches höher. „Das ist oft wie Papierschnipsel aus dem Papierkorb ziehen“, berichtete Kern.

Zusätzlich sei es sehr wichtig, den Anwalt schnell einzuschalten. „Wir dringen dann darauf, umgehend eine einstweilige Verfügung zu erwirken, um die entwendeten Gelder in Deutschland zu halten“, berichtete die Rechtsanwältin Britta Grauke. Andernfalls seien die besten Ermittlungen fruchtlos. „Im nächsten Schritt setzen wir den Schaden gegen den Schädiger durch – soweit man ihn gefunden hat – sowie gegen seine Versicherung.“

Meist geht dem Diebstahl von Daten eine Kommunikation zwischen Auftraggeber und Täter voraus. „Es wird immer wichtiger, dass wir auf alle vorhandenen Daten zugreifen können. Denn es ist klar, dass wir Beweise brauchen, sobald es einen Schaden gegeben hat. Da heute im Wesentlichen alles über das Internet beziehungsweise E-Mail läuft, ist der Anspruch auf einen Zugriff extrem wichtig“, berichtete die Anwältin Grauke aus der Praxis. Oft sei dies aber nicht möglich, da der Datenschutz eine Einsichtnahme verbiete. Vorbeugende Abhilfe könnte hier nur eine Betriebsvereinbarung schaffen, in der die Nutzung von E-Mail und Internet für die Mitarbeiter verbindlich geregelt wird.