Den Datentätern auf der Spur
Computer-Forensic nennt man es, wenn Spezialisten Datenträger nach versteckten Hinweisen und Beweisen absuchen. Sowohl Unternehmen wie Polizeibehörden wollen immer öfter diese digitalen Fingerabdrücke sichern. Das Nebengeschäft so genannter Datenretter, die bisher eher Geschäftsdaten abgesoffener Notebooks retteten, entwickelt sich bei diesen Anbietern zum eigenständigen Geschäftszweig.
Thorbjørn Ellefsen fehlt der smarte Schliff im Auftreten, mit dem mancher Vertreter des Marketing schnell überzeugen kann. Vor Gericht würde ihm und seinen Kunden der auch wenig helfen – da zählt nur die gerichtsverwertbare Präsentation von Fakten. Und davon hat der ehemalige Kriminalpolizist eine Menge Ahnung.
Ellefsen als Projectmanager für Computer-Forensics und seine Crew spüren beim norwegischen Datenrettungsunternehmen ibas in Computern und Datennetzen gerichtsverwertbare digitale Fingerabdrücke auf. Für Firmen wie für die Polizeibehörden. „Der Markt hat einen Bedarf daran, elektronische Informationen zu sichern, zu analysieren und zu dokumentieren“, so Ellefsen.
Computer-Forensic nennt sich das, was ibas mit dem Ex-Polizisten im letzten Jahr erstmals als eigenständigen Geschäftszweig zu etablieren versuchte. Ein kürzlich in Berlin eingerichtetes weiteres Büro soll speziell diesen Bereich der Datenrettung in Deutschland für ibas etablieren helfen, so Deutschland-Geschäftsführer Karl-Friedrich Flammersfeld.
Computer-Forensic-Experten können inzwischen (fast) alle gelöschten Dateien und Protokolle wieder sichtbar machen. Dazu zählt man drei Bereiche: das Wiederherstellen von gelöschten Dateien oder E-Mails auf Datenträgern das Aufspüren von Hackerangriffen und das Zurückverfolgen von gestohlenen digitalen Informationen. Da inzwischen fast alle Dokumente irgendwann in einem Computer gespeichert oder verschickt wurden, nimmt die Beutung der Forensic-Anbieter rasant zu. Ontrack aus Minneapolis hat mit dem Bereich „Datatrail“, in dem ein Angebot Computer-Forensic ist, im 4. Quartal 2001 3,5 Mio. Dollar umgesetzt.
In der Strafverfolgung in den USA hat dieser Bereich inzwischen einen hohen Stellenwert. Walt Manning, pensionierter Polizei-Leutnant in Dallas, bestätigte: „Wir haben schon Excel-Tabellen von Drogenhändlern sichtbar gemacht, die die gesamte Organisation mit allen Geldbewegungen aufzeigten.“
Im Fall Enron, dem größten Unternehmens-Betrugsskandal der US-Geschichte, laufen die Computer-Forensic-Experten inzwischen zur Höchstform auf. Enron und ihr Steuerberater Arthur Andersen hatten zu Beginn der Ermittlungen ihre Mitarbeiter angewiesen, alle Dokumente mit dem Reißwolf zu vernichten und alle E-Mails und Computerdateien zu löschen. Inzwischen sind alle PCs und Server beschlagnahmt und verschiedene Computer-Forensic-Firmen drucken alles aus, was sie auf den E-Mail-Servern und Datensicherungsbändern wiederfinden.
Der Alltag der Forensic-Experten sieht anders aus. Da sind Mitarbeiter, die sich selbstständig machen wollen und schnell noch die Kunden- und Umsätzelisten kopieren. Oder da gibt es beim skandinavischen Elektronikhändler Elgiganten den Fall eines ausgetauschten Notebooks: Statt eines neuen Modells fand sich ein Altgerät in der Packung, so ibas-Experte Thorbjørn Ellefsen. Die ursprünglich verdächtigte Person konnte ibas entlasten, der Täter wurde überführt. Er musste den Hut nehmen.
Die meisten Experten für Computer-Forensic kommen aus dem Bereich der Strafverfolgungsbehörden und sind somit nicht nur mit den technischen, sondern auch den rechtlichen Problemen ihrer Arbeit bestens vertraut. „Die größte Herausforderung ist es, wie wir die Fakten präsentieren, denn der Kunde ist kein IT-Experte. Bei Gericht sitzen Menschen, die nichts über Computer wissen und keinen technischen Hintergrund haben, und wir müssen so zu ihnen sprechen, dass sie die Fakten verstehen, die wir gefunden haben“, erläutert Ellefesen seine Arbeit für ibas.
Die Forensic-Experten wissen: Als Beweis vor Gericht gilt nur die exakte Kopie von dem, was auf der Platte ist. Falls also eine Stelle in einem Dokument schlecht ist oder mit anderen Daten überschrieben wurde, so muss das auch im ausgedruckten Dokument erscheinen. Die Computer-Forensic-Experten müssen unter Eid aussagen, dass das, was sie dem Gericht vorlegen, mit den Informationen auf der Festplatte genau übereinstimmt.
Manchmal stoßen die Datenretter aber auch rein zufällig auf zweifelhafte Informationen, etwa weil eine Festplatte eingeschickt wird, die einen mechanischen Fehler aufweist. In so einem Fall müssen die Forensic-Experten die Polizei einschalten. Das gilt auch dann, wenn bei einer einfachen Speichererweiterung der Techniker durch Zufall Kenntnis von zweifelhaften Dateien bekommt.
Viele Firmen haben inzwischen eine eigene Forensic-Taskforce, die sich dann eines der verschiedenen Analyse-Programme bedienen. Eines der bekanntesten Programme zum Wiederherstellen von gelöschten Festplatten-Dateien ist Encase von Guidance Software, das nach Herstellerangaben über 7000-mal verkauft wurde. Encase gibt es inzwischen zur Analyse von Windows-, Unix-, Linux-, Mac- und sogar PDA-Files und die Encase-Auswertungen sind vor Gericht als Beweis anerkannt.
Da die gesamte Computer-Forensic noch in den Kinderschuhen steckt, gibt es immer nur Teilbilder des Ganzen. Die britischen Datenretter von Vogon konnten unlängst mit einer spektakulären Computeruntersuchung einen pädophilen Serientäter überführen, der aufgrund der Untersuchung mit der Encase-Software nicht entdeckt worden wäre.
Es ist eben auch bei Computer-Forensic genauso wie bei der „normalen“ Gerichtsmedizin: Man muss vorher wissen, wonach man sucht, denn nicht für jedes Gift gibt es das gleiche Nachweismittel. HANS WAGNER
Ein Beitrag von:
