Mit Computerforensik dem Täter auf der Spur

Statistiken beweisen die Aussage Mesekes. Zum Beispiel befragt die National High Tech Crime Unit (NHTCU) in Großbritannien seit zwei Jahren rund 200 britische Firmen zum Thema „Computer-enabled Crime“, kurz „e-crime“, also Rechtsverletzungen, die mithilfe von Computern oder auf Rechnersysteme begangen werden. Die Untersuchung stellt das britische Pendant zu den bekannteren FBI/CSI-Studien dar. Demnach haben nur 40 von 167 Unternehmen, die 2003 von e-crime betroffen waren, die Polizei eingeschaltet. Das scheint umso erstaunlicher als alleine durch Finanzbetrug ein Schaden von 121 Millionen Pfund verursacht worden war. Die Verluste durch unberechtigten Zugang beliefen sich auf 472.000 Pfund, durch Sabotage 802.000 Pfund und durch Datenklau 6,6 Millionen Pfund.

Auch Peter Böhret, Geschäftsführer von Kroll Ontrack, bestätigt, dass sich so mancher mit einem Verdacht, dass ein Mitarbeiter Rezepturen, Preislisten oder sonstige Insider-Informationen nach außen gibt, direkt in seinem Unternehmen meldet. Nicht immer soll der Anbieter seine Spezialisten zur Verfügung stellen, sondern seine Forensik-Software. Mit Hilfe solcher Programme lassen sich etwa File Allocation Table (FAT) durchsuchen. Sie registriert, wo Dateien beginnen und aufhören. Ist eine Datei lediglich gelöscht und die Sektoren mit Hilfe eines Formattierbefehl nicht überschrieben, bleibt diese Tabelle erhalten. Zudem sei es möglich, im „Bitsalat“, wie Böhret sagt, auch einer teilweise zerstörten Festplatte nach Schlüsselwörtern zu suchen. Sodann erleichtern Metainformationen in temporären Dateien nach Informationen zu suchen. Ist der Arbeitsplatz-Computer in ein Netz eingebunden, werden die Log-Files auf den Netzwerk-Servern ausgewertet. Sie enthalten etwa Informationen darüber, wer welche Datei und welches Verzeichnis wann aufruft. Dazu ein Fall aus dem Nähkästchen von Kroll Ontrack: Ein Mitarbeiter eines Bankinstituts, dem vorgeworfen wurde, er habe interne Kreditberechnungen auf seinen Pocket PC übertragen und einem Kreditnehmer zugänglich gemacht, gab seinen vollständig entladenen Handheld zur Kontrolle ab. Aus dem flüchtigen Speicher des Geräts ließen sich keine Daten wiederherstellen. Aber der Arbeitsplatzrechner gab preis, das relevante Daten auf der Festplatte im Ordner „Eigene Dokumente“ gespeichert worden waren, um sie dann mit dem Pocket PC zu synchronisieren.

Forensik setzt jedoch beim Verdacht an. Mit dem Einsatz von Tools und eines geschickten Administrators ist es aber nicht getan. John Colbert, CEO von Guidance Software und andere Spezialisten wie von der Gesellschaft für Informatik, haben die ersten Schritte in Checklisten zusammengefasst. „Vor dem Eintreffen eines Computerforensik-Experten ist es wichtig, die Situation in Augenschein zu nehmen, allerdings nur in Augenschein“, warnt etwa ein White Paper von Kroll Ontrack. Schon das Verschieben einer Computermaus kann die Erkenntnis verhindern, ob der Letzte, der an dem Rechner gearbeitet hat, ein Rechts- oder Linkshänder war.