Reinhold Kern ist Manager Computer Forensics and Electronic Discovery bei Kroll Ontrack.

Es sind Zahlen, die erschrecken. Gut jedes dritte Schweizer Unternehmen wurde in den vergangenen zwei Jahren Opfer einer Wirtschaftsstraftat. Zu diesem Ergebnis kommt Pricewaterhousecoopers (PWC) in der Studie Wirtschaftskriminalität 2005. In Deutschland ist gar - so die KPMG-Studie 2006 zur Wirtschaftskriminalität in Deutschland - bereits jedes zweite Unternehmen betroffen, wobei die Dunkelziffer, so schätzt die KPMG, 80 Prozent überschreiten dürfte. Zahlen, die belegen: Wirtschaftsdelikte sind weit mehr als eine Randerscheinung. Und sie betreffen praktisch alle Branchen. Vor allem der Handel, so die PWC-Studie, ist mit 60 Prozent betroffener Unternehmen weltweit besonders stark betroffen, gefolgt vom Finanzsektor und der Telekommunikation inklusive Medienbranche mit jeweils rund 50 Prozent. Die Finanz- und Imageschäden durch Betrug, Veruntreuung, Industriespionage oder Korruption sind dabei oftmals erheblich. So verloren die betroffenen Schweizer Unternehmen seit dem Jahr 2003 durch Veruntreuung, Vortäuschung falscher Tatsachen und Fälschungen durchschnittlich rund 2,7 Millionen Franken - ein Wert, deutlich über dem globalen Schnitt von 2,25 Millionen Franken.

Neu ist die Problematik der Wirtschaftskriminalität freilich nicht - dennoch rückt sie mehr und mehr ins Blickfeld der Öffentlichkeit. Einerseits, weil die Unternehmen aufgrund von Medienberichten über besonders brisante Fälle stärker sensibilisiert sind. Andererseits, weil die Aufklärungsquoten dank der ausgeklügelten Aufklärungsmethoden der Computer-Forensik stetig steigen. Denn Vergehen, die mit Hilfe digitaler Technologien, wie sie aus Datenverarbeitungs- und Kommunikationssystemen nicht mehr wegzudenken sind, begangen werden, erfordern digitale Aufklärungsmethoden.

Gleichgültig, ob Scheingeschäfte zur Geldwäsche, Bilanzfälschung, Börsengeschäft mit Insiderwissen, Korruption oder Industriespionage - der Computer als Tatwerkzeug ist bei Wirtschaftsdelikten praktisch immer im Spiel. Profis genügen einige Mausklicks, um in der elektronischen Buchhaltung beliebig hohe Beträge durch Aufteilen auf Zwischenkonten und spätere Bündelung an einem geheimen Zielort verschwinden zu lassen. Ebenso leicht ist es, Grossprojekte falsch abzurechnen, denn bei der dabei üblichen, enormen Zahl von Rechnungspositionen sind vereinzelte Abweichungen nur schwer zu entdecken. Einzige Voraussetzung für den Betrug: Man muss am richtigen Hebel sitzen, weshalb Wirtschaftskriminalität zu einem beträchtlichen Teil ein unternehmensinternes Problem darstellt, das sich bis in oberste Managementebenen zieht. Dorthin, wo die Verlockung besonders gross ist.

Es müssen aber nicht immer Bilanzfälschungen sein, auch geistiges Eigentum ist ein lohnendes Objekt für Wirtschaftskriminelle. Auf günstigen USB-Speicherwinzlingen können Kundendaten und andere Firmeninformationen verschwinden, die das Vielfache wert sind. Für die bestohlenen Unternehmen resultiert ein finanzieller Schaden, der - wenn überhaupt - erst nach Monaten oder Jahren ans Licht kommt.

Zur Wirtschaftskriminalität werden alle Delikte gezählt, die direkt oder indirekt wirtschaftlichen Schaden verursachen. Ein typisches Beispiel ist Hacking, also die vorsätzliche Umgehung von Sicherheitssystemen zum Zweck der Spionage, Sabotage oder Fälschung in Netzwerken. Wirtschaftsspione greifen direkt von aussen, oder über angeworbene, interne Mitarbeiter auf vertrauliche Informationen wie Patente, Forschungs- und Entwicklungsarbeiten oder Buchhaltungs-, Vertriebs- und Kundendaten zu. Wobei ihnen die moderne Kommunikation hilft. Selbst grosse Datenmengen können sekundenschnell als E-Mail-Anhang verschickt oder auf mobile Datenträger kopiert werden. Kein Wunder, tauchen immer öfter komplette, gefälschte Anlagen oder Maschinen am Markt auf.

Ebenso gefährlich ist Sabotage. Hierbei geht es meist um eine logische, mitunter aber auch physische Schädigung von Datenträgern, Computern und Netzwerken.

Konto- und Bilanzfälschungen, interne Manipulationen und Verschleierungen, Korruption und Geldwäsche zählen ebenfalls zu den typischen Delikten, die am Computer abgewickelt werden. Mit Milliardenbeträgen eine der einträglichsten Sparten der Wirtschaftskriminalität ist die Produktpiraterie, namentlich das rechtswidrige Erstellen und Vertreiben von Raubkopien urheberrechtlich geschützter Medien mit Musik, Filmen oder Computerprogrammen.

All diese Machenschaften hinterlassen digitale Spuren. Diese sind auf den ersten Blick sehr gut versteckt und für Laien nicht erkennbar, was viele Täter in Sicherheit wiegt. Aber sie sind nicht unauffindbar! So, wie man sich einst bei Nachforschungen in Verdachtssituationen hauptsächlich auf Papierdokumente fokussierte, finden sich heute Indizien und Beweise in den Datenspeichern der Computersysteme. Diese Hinweise gerichtsverwertbar zu lokalisieren, zu konservieren und zu analysieren, ist Aufgabe der Computer-Forensik.

Experten auf diesem Gebiet können eine Vielzahl von Aktivitäten am PC sowie allerlei Manipulationen elektronischer Daten nachverfolgen, wobei sich oftmals Datei-fragmente, ähnlich einzelnen Papierfetzen aus einem Papierkorb, als äusserst interessante Hinweisgeber erweisen. Daneben geht es im Wesentlichen darum, wer wann was und wie an welchem PC gemacht hat. Die Spezialisten der Computer-Forensik bieten Unternehmen im Verdachtsfall kompetente Hilfe an, können unternehmens-interne, aber auch offizielle Ermittlungen gezielt unterstützen. Dazu gehört das Belegen von Hacking-Versuchen, - also der physikalischen Beschädigung von Hardware oder der Sabotage von Netzwerken - sowie die elektronische Beweissicherung und der gerichtsverwertbare Nachweis von Manipulationen, Datenfälschungen und Datendiebstahl von verschiedensten Datenträgern. Auch Manipulationen an Nachrichten oder das Löschen von E-Mail-Korrespondenzen lassen sich rekonstruieren. Denn absichtlich gelöschte Dateien sind nur selten unwiederbringlich beseitigt. Beim einfachen Löschvorgang gibt das Betriebssystem die entsprechenden Sektoren einer Festplatte lediglich zur erneuten Überschreibung frei. Die Polung der Magnetpartikel, welche die gespeicherten Daten darstellt, bleibt dabei erhalten. Und selbst beim professionellen Überschreiben von Daten kann ein Täter das Restrisiko der Überprüfbarkeit nicht zur Gänze ausschliessen. Schon einzelne Dateifragmente oder nicht überschriebene Sektoren von Festplatten können Hinweise zur Rekonstruktion gelöschter Daten geben. Sogar aus formatierten Festplatten und mutwillig beschädigten Datenträgern -lassen sich Daten gezielt rekonstruieren, wobei auch zunächst nicht mehr lesbare, beschädigte Dateistrukturen kein dauerhaftes -Hindernis bieten.

Das rasche Hinzuziehen der Computer-Forensik im Verdachtsfall kann sich entscheidend auf den späteren Ermittlungserfolg auswirken. Bevor eine derartige Untersuchung jedoch gestartet wird, sind in jedem Fall die Rahmenbedingungen für die erfolgreiche Sicherung von Beweisen zu prüfen. Aufgrund der Datenschutzbestimmungen dürfen beispielsweise E-Mail- und Internet-Nutzung gegebenenfalls nur eingeschränkt untersucht werden. Dies gilt es mit der Rechtsabteilung des betroffenen Unternehmens zu klären. Wichtig ist auch, dass Mitarbeiter, denen verdächtige Aktivitäten im Unternehmen aufgefallen sind, auf keinen Fall selbst Originaldaten antasten. Jeder Zugriff, auch nur das Öffnen und Betrachten eines Dokuments, verändert bestimmte Datei-Zusatzinformationen, die so genannten Meta-Daten. Dies kann die komplette Untersuchung und die Beweismittelkette zunichte machen, da die gerichtstaugliche Verwertbarkeit nicht mehr gewährleistet wäre. Jeder einzelne Schritt muss überdies lückenlos dokumentiert werden, um später nachvollziehbar zu sein. So muss zum Beispiel ein Gegengutachter zum gleichen Ergebnis kommen wie die beteiligten Ermittler. Eine eindeutige Beweislage ist das Ziel und dabei ist die Computer-Forensik sehr hilfreich.

Weitere Informationen

Es muss nicht in jedem Unternehmen zu einem Wirtschaftsdelikt kommen. Tritt der Ernstfall aber ein, zahlen sich präventive Massnahmen aus. So sollte klar geregelt sein, dass E-Mail-Account und Internetzugang nur für geschäftliche Zwecke genutzt werden dürfen. Ebenso gängig ist die Vorschrift, dass auf firmeneigenen elektronischen Speichermedien ausschliesslich geschäftliche Dokumente gespeichert sind. Besonders wichtig ist die eindeutige Reglementierung des Einsatzes privater Speichermedien wie USB-Sticks, mithilfe derer digitale Informationen fast unbemerkt geschmuggelt werden können. Klar ist aber auch: Vollständige Sicherheit ist fast nicht durchsetzbar und übertriebenes Misstrauen belastet das Betriebsklima. Ein vertretbares Mass an Prävention ist dennoch ein probater Weg. Kommt es dennoch zu einem Vorfall, kann die Computer-Forensik massgeblich zur Aufklärung beitragen.