IT-Forensik und Datendiebstahl

Die IT-Forensik (siehe auch den Beitrag von Frau Moretta) kann zur Auf­klärung von Daten­dieb­stahl einen wesent­lichen Beitrag leisten.

Daten­dieb­stahl nimmt ständig weiter zu

Daten sind ein hoch­sen­sibles Gut (gerade ver­trau­liche Unter­neh­mens­daten) und volatil. Der Dieb­stahl von Daten (s. auch meinen Beitrag) und die miss­bräuch­liche Ver­wendung sind an der Tages­ordnung und nehmen weiter zu.

Digitale Spuren sind zwar unsichtbar, aber sie gelten Gerichten als Beweis­mittel. Gerade kleine und mittlere Unter­nehmen können hier wert­volle IT-Forensik betreiben.

Was beinhaltet IT-Forensik?

• Zum einen ist dies die gerichts­ver­wertbare Sicherung und auch Aus­wertung von Datenspuren
• Ereig­nisse und kon­krete Sach­ver­halte sollen mög­lichst genau rekon­struiert werden
• Der Schaden soll so gut wie möglich quan­ti­fi­ziert werden
• Ver­meint­liche Sicher­heits­lücken müssen genau iden­ti­fi­ziert werden
• Mit­hilfe von ent­spre­chenden Hilfs­mitteln soll auf­ge­zeigt werden, wie und in welcher Form unbefugt auf Daten zuge­griffen wurde (detail­lierte Doku­men­tation und Protokollierung).

Was ist nach einem Daten­dieb­stahl genau zu tun?

Zunächst ist es wichtig die Ruhe zu bewahren und nicht in Panik zu verfallen.

• Holen Sie sich die Check­listen zu Sofort­maß­nahmen (u.a. auch diese Auflistung).
• Gleichen Sie die IT-Infra­­struktur genau­estens ab; fehlt was (z.B. USB-Sticks, Fest­platten, Laptops etc.); von daher ist es wichtig immer eine aktuelle IT-Inven­­tar­­liste zu führen.
• Ermitteln Sie nicht alleine. Wenn Sie nicht ent­spre­chende Hilfe innerhalb des Hauses (z.B. Admi­nis­trator) haben, holen Sie sich pro­fes­sio­nelle externe (Dienstleistungs-)Unterstützung;
• „Vier Augen sehen mehr als zwei“; Ermitt­lungs­arbeit gehört in die Hände von Profis sonst wird even­tuell noch mehr Schaden ange­richtet (z.B. durch ver­se­hent­liches Ver­nichten von

Beweis­ma­terial oder Daten)

• Sperren Sie den Tatort ab und achten Sie darauf, dass sich nur befugte Per­sonen dort auf­halten (Stichwort: Aus­schluss von Mani­pu­la­tionen und Beweisvereitelung)
• Schalten Sie lau­fende Geräte auf keinen Fall ab; doku­men­tieren Sie deren Bild­schir­minhalt auf Basis von digi­talen Bild­auf­nahmen (Fotos); bitte keine Screen­shots (diese haben vor

Gericht keinen Bestand).

• Foto­gra­fieren Sie den Tatort und die Tat­ort­hardware (sowohl von vorne als auch von hinten ins­be­sondere mit der Verkabelung).
• Sichern Sie flüchtige Daten, z.B. auf Haupt- und Pro­zess­speicher und sämt­liche Daten interner und externer Fest­platten sowie auf USB-Sticks
• Erstellen Sie ein Ermitt­lungs­pro­tokoll mit den Namen aller Betei­ligter, Ermittler, Zeugen und sonst. Per­sonen, die mit Daten oder PC-Hardware zu tun haben.
• Wichtig!!! Ver­ändern Sie auf keinen Fall das zu unter­su­chende System; vielmehr erstellen Sie ein Abbild des Rechners (somit können Hash-Werte ver­glichen werden).
• Beachten sie unbe­dingt die Ver­hält­nis­mä­ßigkeit, der für die Ermittlung not­wen­digen Daten; d.h. nicht mehr private oder ver­trau­liche Daten ana­ly­sieren als zur Ermittlung des Vorfalls

not­wendig sind.

• Soweit im Unter­nehmen ein Personal/Betriebsrat und even­tuell ein Daten­schutz­be­auf­tragter exis­tieren, bitte diese Partner hin­zu­ziehen zur Beweis­si­cherung und Dokumentation
• Doku­men­tieren Sie alle Vor­gänge und Absprachen mit den Betei­ligten; erstellen Sie einen sog. foren­si­schen Abschluss­be­richt, der pro­fes­sio­nellen Foren­sikern als Basis der Ermitt­lungen dient.

Ergebnis und Fazit:

Mit diesem struk­tu­rierten Ablauf bei einem Daten­dieb­stahl können gerade kleine und mittlere Unter­nehmen schnell Basis­daten für die Ermitt­lungen von Profis auf­nehmen, um fest­zu­stellen, ob und in welchem Umfang unbe­fugter Zugriff auf sen­sible Fir­men­daten statt­ge­funden hat. Und somit kann dann ganz schnell ein kon­kreter Schaden ange­geben bzw. wei­terer abge­wendet werden.

Je vor­be­rei­teter Sie auf den Ernstfall sind (Prä­vention), umso schneller und effek­tiver kann reagiert werden.

Wenden Sie sich mit diesen Aus­wer­tungen und Erkennt­nissen an die Polizei um Straf­an­zeige gegen Unbe­kannt zu stellen.

IT-Forensik ist mitt­ler­weile ein wich­tiger Bestandteil der IT-Security in Unter­nehmen. Dies erfordert aber von allen Betei­ligten ein hohes Maß an Ver­trauen und auch an Ver­ant­wor­tungs­be­wusstsein sowie Fin­ger­spit­zen­gefühl. Wenn alle Betei­ligten sich an die Grund­regeln der IT-Forensik halten, können Schäden zumindest begrenzt und weitere Risiken für das betroffene Unter­nehmen mini­miert werden.

Bild: © Stefan Bayer / pixelio.de