Newsfeed abonnieren
Security

Computer Forensik

Der Datenmanipulation auf der Spur

Aus MONITOR Kommunikation 4a/2005
Drucken | Versenden | Feedback

Die Manipulation elektronischer Daten nimmt einen immer größeren Umfang an. In der heutigen bis in das kleinste Unternehmen computerisierten Wirtschaft, in der über 90 Prozent der Unternehmensdaten elektronisch gespeichert sind, ist die Chance einer Manipulation oder Veruntreuung von Informationen enorm gestiegen.

Reinhold Kern

Aber auch die technischen Möglichkeiten der elektronischen Beweissicherung, die als Computer Forensik bezeichnet wird, sind größer geworden. Technisches Know-how, juristische Kompetenz und eine neue Umgangsweise der Betroffenen mit den aktuellen technisch-technologischen Möglichkeiten sind die Voraussetzung, um dieses Problem erfolgreich anzugehen.

Computergestützte Kriminalität hat viele Gesichter

Daher haben die digitalen Detektive viele verschiedene Delikte im Visier. Dazu gehören nicht nur die physikalische Beschädigung von Datenträgern oder die Sabotage von Netzwerken durch Viren, Trojaner oder Denial-of-Service-Attacken von außen, sondern auch unerwünschte schädliche Aktivitäten innerhalb des Netzwerks durch Mitarbeiter. Sensible Datenbestände zu Neuentwicklungen oder Kundendaten werden auf diese Weise ausspioniert. Zudem gibt es verschiedene Formen einer computergestützten Datenmanipulation wie beispielsweise die Änderung von Web-Inhalten, Abrechnungsdaten, Konten oder Bilanzen. Eine wichtige Rolle spielt aber auch die Veruntreuung digitaler Informationen. Hier eröffnen mobile Datenträger wie zum Beispiel mobile USB-Speichermedien in Sekundenschnelle Möglichkeiten zum Datentransport, für die man früher mehrere Kartons voller Aktenordner benötigt hätte.

Experten können heute eine Vielzahl von Manipulationen elektronischer Daten nachweisen. Jede Veränderung oder auch ein unerlaubter Zugriff auf elektronische Daten hinterlässt Spuren. Auch das Kopieren oder das Löschen von Daten oder E-Mail-Korrespondenzen lässt sich rekonstruieren. Dies liegt daran, dass absichtlich gelöschte Dateien nicht unwiederbringlich beseitigt werden können. Bei einem einfachen Löschen von Daten werden diese nämlich nicht vollständig beseitigt. Das Betriebssystem gibt die entsprechenden Sektoren einer Festplatte lediglich zur Ablage neuer Daten frei. Die Polung der Magnetpartikel, die letztlich die gespeicherten Daten darstellt, bleibt aber erhalten. Diese verschwinden nur aus dem Sektor und nicht dem "Inhaltsverzeichnis" der Festplatte. Selbst bei einem professionellen Überschreiben von Daten kann ein Täter dieses Restrisiko der Überprüfbarkeit nicht gänzlich ausschließen.

Schon einzelne Datei-Fragmente oder nicht überschriebene Sektoren von Festplatten können einem Forensiker Hinweise zur Rekonstruktion aller gelöschten Daten geben. Computer Forensik ist also letzten Endes die Rettung und Wiederherstellung vorsätzlich manipulierter oder gelöschter Daten und der Nachweis der Manipulationen.

Zuerst sind die Rahmenbedingungen für die erfolgreiche Sicherung von Beweisen eines internen Missbrauchs zu prüfen. Aufgrund der Datenschutzbestimmungen dürfen E-Mail und Internet-Nutzung gegebenenfalls nur eingeschränkt untersucht werden. Um sich über die betrieblichen Vereinbarungen zu informieren, ist der Kontakt zum Betriebsrat, Datenschutzbeauftragten oder der Rechtsabteilung wichtig.

Schnelles Sicherstellen von vorhandenen Spuren

Wenn ein Unternehmen oder eine Organisation den Verdacht hat, dass ihre Daten veruntreut oder manipuliert werden, ist schnelles konsequentes Handeln wichtig. Die Experten der Computer Forensik können Verdachtsmomente prüfen, ohne ein kostspieliges Rechtsverfahren zu starten. Wie ein Polizist nimmt der Forensiker dabei detailliert die konkrete Situation am Arbeitsplatz in Augenschein und sichert als allererstes sämtliche Festplatteninhalte. Danach wird versucht, auch Dateien, die sich zum Beispiel im flüchtigen Speicher (RAM) befinden, auszulesen. Hier ist Experten-Know-how notwendig, da schon ein einfaches Ausschalten des Rechners zu weiteren Löschprozessen führen kann und wichtige Beweise vernichtet werden. Von dem so sichergestellten Datenträger wird dann sofort eine 1:1 Kopie gezogen. An diesem Image werden dann alle weiteren Schritte durchgeführt und gerichtsverwertbar dokumentiert, um die Manipulation der Daten zu belegen. Das Original bleibt als Beweismittel erhalten.

Zusätzlich sind noch Fragen nach externen Speichermöglichkeiten abzuklären. Hat der PC einen Internet-Anschluss und ist die Verbindung noch aktiv? Welche Datenspeicher-Medien sind im PC integriert? Sind alle Wechselmedien verfügbar, die mit dem PC eingesetzt wurden und wurden sie sichergestellt? Welche Peripheriegeräte, die in der Lage sind, Daten zu speichern (PDAs, Mobiltelefone, Digitalkameras, MP3-Player etc.) wurden an den Rechner angeschlossen und sind sämtliche Peripheriegeräte inklusive ihrer Medien sichergestellt? Sind die Untersuchungen am betroffenen Arbeitsplatz abgeschlossen, muss im nächsten Schritt noch im Fall einer Netzwerk-Anbindung der Datenverkehr zum Server zurückverfolgt werden. Denn viele Dateien, die beispielsweise unberechtigter Weise angesehen, kopiert und eventuell ausgedruckt oder per E-Mail verschickt wurden, liegen gar nicht auf der Festplatte, sondern auf Servern. Daher empfiehlt sich das Überprüfen von eventuell vorhandenen System-Protokolldateien (Log-Files). Diese Log-Dateien des Netzwerk-Verkehrs enthalten oftmals sehr wichtige Informationen und lassen Rückschlüsse auf Zugriffe und Nutzung zu.

Ein Experte kann weiterhin nicht nur die gelöschten Dateien, sondern auch zum Beispiel wichtige E-Mail-Korrespondenzen wieder herstellen. Mit entsprechenden Filterfunktionen kann dann bei umfangreichem elektronischem Datenmaterial nach den für den jeweiligen Fall relevanten Begriffen gesucht werden. Gerade bei größeren Datenmengen spielt diese Suchfunktion eine wichtige Rolle. Zusätzlich können auch vorliegende schriftliche Akten elektronisch eingescannt und auf ergänzende Informationen durchsucht werden.

Aufeinanderfolgende Schritte in der Praxis ergeben Gesamtbild

Um eine vor Gericht verwertbare Ausgangssituation zu ermöglichen, muss der aktuelle Status durch das Erstellen eines 1:1-Images "eingefroren" werden. Hierbei wird eine Festplatte so kopiert, dass nicht nur erkennbare Dateien, sondern jedes einzelne Bit beziehungsweise Sektor mit erfasst wird - also auch Dateifragmente von früheren oder gelöschten Dateien. Diese Kopie wird mit einem so genannten Hash Code versehen - eine Quersumme, die eine Manipulation der Daten sofort erkennen ließe. Dies ist insofern sinnvoll, da somit auch zu jedem späteren Zeitpunkt die Ausgangslage eindeutig bewiesen ist.

Sollte das ursprüngliche Original-Medium nicht mehr zur Verfügung stehen oder dieser PC wieder verwendet werden, muss ein zweites Image der ersten Kopie erstellt werden. Mit dieser Kopie kann der Computer-Forensiker dann aktiv arbeiten. Hierzu gibt es spezielle Forensik Software wie EnCase von Guidance Software Inc., ILOOK, Autopsie, FTK oder auch andere firmeneigene Lösungen, die Kroll Ontrack zusätzlich und ergänzend verwendet.

Als nächstes werden gelöschte Dateien und Daten wiederhergestellt. Mit wiederum speziellen Software Tools und entsprechendem Fachwissen lassen sich jetzt aus der Arbeitskopie sowohl gelöschte Dateien als auch Dateireste aus vormals physikalisch vollständigen Dateien wieder rekonstruieren. Hierbei ist es durchaus möglich, auf Dateireste zu stoßen, deren Inhalte auf andere Indizien hinweisen wie zum Beispiel Papierschnitzel aus dem Papierkorb. Da das Gesamtvolumen aller erfassten Daten meist sehr hoch ist und bei weitem nicht alles für den konkreten Fall von Relevanz ist, wird man in der Regel versuchen die Datenmenge für die Analyse zu reduzieren. Dies geschieht durch zeitliche Begrenzung, Begrenzung der Datenmenge auf bestimmte Personen oder das Eliminieren von Duplikaten. Mit einer überschaubaren Menge an Daten werden alle Dokumente (alle Dateien inkl. gelöschter Dateien und Dateifragmente) nach bestimmten Schlagwörtern oder auch Kombinationen von Schlagwörtern untersucht. Eine Liste aller Dokumente (Treffer unabhängig vom Dateiformat) wird wie in einem Explorer angezeigt. Somit besteht die Möglichkeit, Ergebnisse nun konkreter anschauen zu können und beispielsweise relevante Dokumente zur Vorbereitung zu selektieren (bookmarks). Danach können solche Teil-Ergebnisse erneut nach bestimmten Suchkriterien analysiert werden.

Je nach Auftragsbeschreibung wird ein Bericht über die gefundenen, relevanten Dokumente erstellt und an den Auftraggeber übergeben. Die Daten können in Papierform oder auch auf entsprechenden Speichermedien ausgehändigt werden.

Eine modernere und Zeit sparende Version des Berichtes besteht darin, die relevanten Daten zusammen mit einem speziellen Dateibetrachter, einer Eigenentwicklung von Kroll Ontrack, auf einem Speichermedium zur Verfügung zu stellen. Dieser Viewer erlaubt eine weitergehende Untersuchung durch den Auftraggeber selbst.

Verdächtige E-Mails helfen Geschädigten

Nachfolgend zwei Beispiele aus konkreten Projekten, die vor Gericht behandelt wurden. In einem Insolvenzverfahren lag der Verdacht nahe, dass die vormalige Geschäftsleitung über Gebühr von einem der Investoren beeinflusst wurde. Somit konnte sich in diesem Fall die betreffende Bank zum Nachteil anderen Anteilseigner einen entsprechenden Vorteil bereits vor der Insolvenz verschaffen. Die Durchsicht und Prüfung der Aktenunterlagen ergaben keinerlei Hinweise auf irgendwelche Korrespondenz zwischen der Bank und der damaligen Geschäftsleitung, die auf einen Einfluss hinweisen oder einen solchen bestätigt hätte. Daraufhin wurden die elektronischen Daten, vorrangig der E-Mail-Verkehr zwischen der Geschäftsleitung und der Bank in Betracht gezogen. Da keine betriebsinterne Mitarbeitervereinbarung über die private Nutzung von E-Mail oder Internet bestand, wurden die E-Mails aus Datenschutzgründen mit ausdrücklich eingeholter Einwilligung der betroffenen Person (ehemaliger Vorstandsvorsitzender) aus mehreren hundert Magnetbändern / Sicherungsbändern vor Ort unter Aufsicht eines Mitarbeiters des Insolvenzverwalters extrahiert. Eine Analyse dieser extrahierten E-Mails ergab mehrere Treffer. Hierbei fanden sich E-Mails, die eindeutige Hinweise und "Anweisungen" auf bestimmte Vorgehensweisen darstellten.

Eine Einflussnahme bzw. zumindest der Versuch zu einer Beeinflussung konnte nachgewiesen werden. Der Vorstandsvorsitzende hatte nicht damit gerechnet, dass sich auch ältere E-Mails, von den inkrementell erstellten Datensicherungsbändern zurückspielen lassen.

Log-Files machen auf Datenklau aufmerksam

In einem weiteren Fall war ein leitender Mitarbeiter (Projektleiter) eines größeren Konstruktionsbüros im Begriff sich selbständig zu machen. Um sich einen besseren Start zu ermöglichen, nahm er nicht nur Entwicklungsunterlagen, sondern auch noch weitere Mitarbeiter und Kundenprojekte mit. Seinem bisherigen Unternehmen entstand ein Schaden in Millionenhöhe - Mitarbeiter weg, geistiges Eigentum des Unternehmens und auch Kunden weg. Ein zwischenzeitlich beauftragter Rechtsanwalt bat Kroll Ontrack um Unterstützung.

Kroll Ontrack sollte die Computerdaten der beteiligten Mitarbeiter, im Besonderen die des Projektleiters, analysieren und folgendes herausfinden: Welche Absprachen gab es zwischen Projektleiter und den mittlerweile abgängigen Mitarbeitern in Vorbereitung zu deren Weggang? Wurde geistiges Eigentum, Entwicklungsunterlagen entwendet und wenn ja welche, wie, wann, von wem? Gab es schon vorbereitende Absprachen zwischen Projektleiter und Kunden? Nachdem von den Festplatten der relevanten PCs und eines Servers Images erstellt waren, konnte mit der Extrahierung der E-Mails begonnen werden. Gesucht wurden E-Mails, die bestimmte textliche auf die neue zu gründende Firma hinweisende Inhalte enthielten. Es konnten mehrere E-Mails identifiziert werden, die sehr eindeutig die Aktivitäten und Vorhaben beschrieben. Des Weiteren wurden E-Mails mit konkreten Inhalten auf geplante Aktionen, inklusive des Vorhabens bestimmte Projekte mit in die neue Firma zu übernehmen, gefunden. Eine Untersuchung der Log-Files des Netzwerk-Projekt-Servers, auf dem die gesamten Entwicklungsprojekte gesondert gespeichert waren, ergab mehrere Zugriffe von den relevanten Personen innerhalb der letzten Tage bzw. Wochen. Ein zeitlicher Abgleich mit den PC-Daten bestätigte die Zugriffe. Weiterhin konnte festgestellt werden, dass einige der Projektunterlagen von den besagten Mitarbeitern auf einen USB MemoryStick kopiert wurden. Dieser hinterlässt nämlich wie jedes Hardware-Modul einen eindeutigen Eintrag.

Am Ende all dieser Fälle steht ein gerichtsverwertbares Gutachten der absichtlich durchgeführten Veränderungen elektronischer Daten. Die Beweismöglichkeiten der Forensiker, wie zum Beispiel die der Experten im Datenrettungs- und Forensik-Labor von Kroll Ontrack, sind dabei größer als man denkt.

weitersagen: drucken
Security
maximize
Termine

18. Juni - 22. Juni

In ganz Österreich

SAP Mittelstandstage

Print-Archiv
Folgen Sie uns
Leser empfehlen
MONITOR-Newsletter

Abonnieren Sie unseren Newsletter!

E-Mail:
Die von Ihnen angegebene E-Mail Adresse wird von MONITOR Online weder an Dritte weitergegeben noch zu anderen Zwecken verwendet.
MONITOR-Autoren

© Copyright 1983-2012 by MONITOR / Bohmann Druck und Verlag Gesellschaft m.b.H. & Co. KG (www.bohmann.at)

Add to Google  | Abo | Themenvorschau | Mediadaten | Inserate buchen | Kontakt | Impressum