MenschenComputerkriminalität

Die Schnüffler im Datenmüll

Lesezeit ca.: 3 Minuten
Bernd Seidel

Bernd Seidel

freier Journalist

Das Internet vergisst nichts, heißt es dauernd. Aber auch ein Rechner gibt mehr über seine Nutzer preis, als oft gedacht – ein Vorteil, wenn es um Computerkriminalität geht. Helmut Sauro von der Datenrettungsfirma Kroll Ontrack erklärt, warum digitale Forensiker bevorzugt im „Mülleimer“ wühlen.

10. Februar 2015

Mit welcher Art von Computerkriminalität haben Sie es am häufigsten zu tun?

Helmut Sauro: In vielen Fällen ist das der Verdacht auf Datendiebstahl in einem Unternehmen: Ein Mitarbeiter verlässt die Firma und hat möglicherweise firmeneigene Daten kopiert und mitgenommen – wie zum Beispiel Kundendaten oder Entwicklungsunterlagen.

Wie kann so ein Verdacht aufkommen?

Sauro: Wenn etwa eine große Menge Informationen an externe E-Mail-Adressen gesendet wird, dann ist das auffällig. Oder wenn nach dem Weggang eines Mitarbeiters Stammkunden mitteilen, dass sie geschäftlich von diesem in seiner neuen Funktion kontaktiert wurden. Das kann zu Nachforschungen animieren. Oft fällt so etwas erst Monate später auf. Das ist dann die Herausforderung.

Was tun Sie in solchen Fällen als erstes?

Sauro: Zunächst bestimmen wir mit unserem Auftraggeber, welche Datenquellen für den konkreten Fall relevant sind. Zum Beispiel, ob ein bestimmter Laptop Hinweise liefern könnte. Oder wir konzentrieren uns auf bestimmte Serverbereiche oder externe Festplatten mit Back-ups. Manchmal werden wir auch beauftragt, verdeckt zu arbeiten, beispielsweise wenn ein verdächtiger Mitarbeiter noch Angestellter der Firma ist. Allerdings kam es dabei auch schon vor, dass wir vor Ort waren, nicht aber der Laptop, weil viele Mitarbeiter den abends mit nach Hause nehmen.

Wie sichern Sie die verdächtigen Daten dann?

Sauro: Wenn wir einen Rechner sicherstellen, kopieren wir die Daten 1:1 auf eine Zielfestplatte. Über diese sogenannte forensische Kopie legen wir einen digitalen Fingerabdruck, damit die Daten nicht nachträglich manipuliert werden können. Heutzutage hat so eine Festplatte meist eine Größe von 320 Gigabyte – manchmal aber auch bis zu einem Terabyte. Das Wichtigste ist für uns nämlich, eine komplette, lückenlose Kopie zu erstellen: Wir sichern nicht nur den belegten, sondern auch den nicht verwalteten Bereich, den „Mülleimer“ der Festplatte.

Dieser Bereich interessiert uns bei der Kopie am stärksten, da er gelöschte und teilweise bereits überschriebene Dateien enthält. Man kann das mit der Mülltonne im Hinterhof vergleichen: Solange die Müllabfuhr noch nicht da war, kann man im Abfall nach Beweismitteln wühlen. Einiges mag bereits zersetzt oder angefault sein, dann wird es schwierig. Der Forensiker kann allerdings auch aus Müllfragmenten noch eine Indizienkette erstellen. Wir sind darauf spezialisiert, Daten wiederherzustellen.

Aber wie kann man jemandem nachweisen, dass er eine bestimmte Datei gelöscht oder entwendet hat?

Sauro: Wenn einer zum Beispiel große Dateien via eines Cloud-Service mitnimmt, dann sind wir in der Lage, das über die auffällige Internetaktivität nachzuverfolgen. Außerdem prüfen wir anhand der Log-Dateien, ob externe Speichermedien wie etwa ein USB-Stick angeschlossen wurden. Auch die Dateizugriffe auf dem Rechner schauen wir uns an. Zum Schluss übergeben wir ein Protokoll mit allen technischen Details an unseren Auftraggeber. Dieses Protokoll ist sehr wichtig für die Beweiskette. Denn falls ein „rauchender Colt” auftaucht – etwa eine fallrelevante E-Mail – müssen wir schlüssig belegen, wer vor Ort zu welchem Zeitpunkt an der Ermittlung beteiligt war.

Allerdings infizieren sich viele Internetnutzer auch oft unbemerkt mit Malware. Es gibt sogar Trojaner, die einem Straftaten unterjubeln wollen. Wie beweist man da seine Unschuld?

Sauro: Ja, solche Malware-Analysen haben wir sehr oft. Dann müssen wir feststellen, wann der Trojaner in das Firmennetzwerk oder auf den lokalen Rechner gelangt ist. Das machen wir mit speziellen forensischen Programmen, die nach Malware oder Resten von bösartiger Software suchen.

Wenn ich ein professionelles Löschwerkzeug benutze, kann ich meine digitalen Spuren also verwischen?

Sauro: Wenn Sie auf Ihrem Rechner nur bestimmte Dinge loswerden wollen und der Rest des Systems intakt bleiben soll, dann wird es schwierig. Sie können Ihre Festplatte aber von vorne bis hinten physikalisch überschreiben. Allerdings ist das schon häufig ein Indiz dafür, dass Sie irgendetwas verbergen wollen.

Herr Sauro, vielen Dank für das Gespräch.

Ausgabe 2015/01

Ausgabe 2015/01

Dieser Artikel erscheint auch in unserem IT-Magazin <atFERCHAU>. Möchten Sie weitere spannende Artikel lesen?

Download pdf