Image: Die Schnüffler im DatenmüllFERCHAUFERCHAU
MenschenComputerkriminalität

Die Schnüffler im Daten­müll

Lesezeit ca.: 3 Minuten
Bernd Seidel

Bernd Seidel

freier Journalist

Das Internet vergisst nichts, heißt es dauernd. Aber auch ein Rechner gibt mehr über seine Nutzer preis, als oft gedacht – ein Vorteil, wenn es um Computer­kri­mi­na­lität geht. Helmut Sauro von der Datenret­tungs­firma Kroll Ontrack erklärt, warum digitale Forensiker bevorzugt im „Mülleimer“ wühlen.

10. Februar 2015

Mit welcher Art von Computer­kri­mi­na­lität haben Sie es am häufigsten zu tun?

Helmut Sauro: In vielen Fällen ist das der Verdacht auf Datendieb­stahl in einem Unternehmen: Ein Mitarbeiter verlässt die Firma und hat möglicher­weise firmenei­gene Daten kopiert und mitgenommen – wie zum Beispiel Kundendaten oder Entwicklungs­un­ter­lagen.

Wie kann so ein Verdacht aufkommen?

Sauro: Wenn etwa eine große Menge Informationen an externe E-Mail-Adressen gesendet wird, dann ist das auffällig. Oder wenn nach dem Weggang eines Mitarbei­ters Stammkunden mitteilen, dass sie geschäft­lich von diesem in seiner neuen Funktion kontaktiert wurden. Das kann zu Nachforschungen animieren. Oft fällt so etwas erst Monate später auf. Das ist dann die Herausfor­de­rung.

Was tun Sie in solchen Fällen als erstes?

Sauro: Zunächst bestimmen wir mit unserem Auftraggeber, welche Datenquellen für den konkreten Fall relevant sind. Zum Beispiel, ob ein bestimmter Laptop Hinweise liefern könnte. Oder wir konzentrieren uns auf bestimmte Serverbe­reiche oder externe Festplatten mit Back-ups. Manchmal werden wir auch beauftragt, verdeckt zu arbeiten, beispiels­weise wenn ein verdächtiger Mitarbeiter noch Angestellter der Firma ist. Allerdings kam es dabei auch schon vor, dass wir vor Ort waren, nicht aber der Laptop, weil viele Mitarbeiter den abends mit nach Hause nehmen.

Wie sichern Sie die verdächtigen Daten dann?

Sauro: Wenn wir einen Rechner sicherstellen, kopieren wir die Daten 1:1 auf eine Zielfest­platte. Über diese sogenannte forensische Kopie legen wir einen digitalen Fingerab­druck, damit die Daten nicht nachträg­lich manipuliert werden können. Heutzutage hat so eine Festplatte meist eine Größe von 320 Gigabyte – manchmal aber auch bis zu einem Terabyte. Das Wichtigste ist für uns nämlich, eine komplette, lückenlose Kopie zu erstellen: Wir sichern nicht nur den belegten, sondern auch den nicht verwalteten Bereich, den „Mülleimer“ der Festplatte.

Dieser Bereich interessiert uns bei der Kopie am stärksten, da er gelöschte und teilweise bereits überschrie­bene Dateien enthält. Man kann das mit der Mülltonne im Hinterhof vergleichen: Solange die Müllabfuhr noch nicht da war, kann man im Abfall nach Beweismit­teln wühlen. Einiges mag bereits zersetzt oder angefault sein, dann wird es schwierig. Der Forensiker kann allerdings auch aus Müllfrag­menten noch eine Indizien­kette erstellen. Wir sind darauf speziali­siert, Daten wiederher­zu­stellen.

Aber wie kann man jemandem nachweisen, dass er eine bestimmte Datei gelöscht oder entwendet hat?

Sauro: Wenn einer zum Beispiel große Dateien via eines Cloud-Service mitnimmt, dann sind wir in der Lage, das über die auffällige Internet­ak­ti­vität nachzuver­folgen. Außerdem prüfen wir anhand der Log-Dateien, ob externe Speicher­me­dien wie etwa ein USB-Stick angeschlossen wurden. Auch die Dateizugriffe auf dem Rechner schauen wir uns an. Zum Schluss übergeben wir ein Protokoll mit allen technischen Details an unseren Auftraggeber. Dieses Protokoll ist sehr wichtig für die Beweiskette. Denn falls ein „rauchender Colt” auftaucht – etwa eine fallrele­vante E-Mail – müssen wir schlüssig belegen, wer vor Ort zu welchem Zeitpunkt an der Ermittlung beteiligt war.

Allerdings infizieren sich viele Internet­nutzer auch oft unbemerkt mit Malware. Es gibt sogar Trojaner, die einem Straftaten unterjubeln wollen. Wie beweist man da seine Unschuld?

Sauro: Ja, solche Malware-Analysen haben wir sehr oft. Dann müssen wir feststellen, wann der Trojaner in das Firmennetz­werk oder auf den lokalen Rechner gelangt ist. Das machen wir mit speziellen forensischen Programmen, die nach Malware oder Resten von bösartiger Software suchen.

Wenn ich ein professio­nelles Löschwerk­zeug benutze, kann ich meine digitalen Spuren also verwischen?

Sauro: Wenn Sie auf Ihrem Rechner nur bestimmte Dinge loswerden wollen und der Rest des Systems intakt bleiben soll, dann wird es schwierig. Sie können Ihre Festplatte aber von vorne bis hinten physikalisch überschreiben. Allerdings ist das schon häufig ein Indiz dafür, dass Sie irgendetwas verbergen wollen.

Herr Sauro, vielen Dank für das Gespräch.

Ausgabe 2015/01

Ausgabe 2015/01

Dieser Artikel erscheint auch in unserem IT-Magazin <atFERCHAU>. Möchten Sie weitere spannende Artikel lesen?

Download pdf