Auf digitaler Spurensuche

All diese Machenschaften hinterlassen digitale Spuren. Diese sind auf den ersten Blick sehr gut versteckt und für Laien nicht erkennbar, was viele Täter in Sicherheit wiegt. Aber sie sind nicht unauffindbar! So, wie man sich einst bei Nachforschungen in Verdachtssituationen hauptsächlich auf Papierdokumente fokussierte, finden sich heute Indizien und Beweise in den Datenspeichern der Computersysteme. Diese Hinweise gerichtsverwertbar zu lokalisieren, zu konservieren und zu analysieren, ist Aufgabe der Computer-Forensik.

Experten auf diesem Gebiet können eine Vielzahl von Aktivitäten am PC sowie allerlei Manipulationen elektronischer Daten nachverfolgen, wobei sich oftmals Datei-fragmente, ähnlich einzelnen Papierfetzen aus einem Papierkorb, als äusserst interessante Hinweisgeber erweisen. Daneben geht es im Wesentlichen darum, wer wann was und wie an welchem PC gemacht hat. Die Spezialisten der Computer-Forensik bieten Unternehmen im Verdachtsfall kompetente Hilfe an, können unternehmens-interne, aber auch offizielle Ermittlungen gezielt unterstützen. Dazu gehört das Belegen von Hacking-Versuchen, - also der physikalischen Beschädigung von Hardware oder der Sabotage von Netzwerken - sowie die elektronische Beweissicherung und der gerichtsverwertbare Nachweis von Manipulationen, Datenfälschungen und Datendiebstahl von verschiedensten Datenträgern. Auch Manipulationen an Nachrichten oder das Löschen von E-Mail-Korrespondenzen lassen sich rekonstruieren. Denn absichtlich gelöschte Dateien sind nur selten unwiederbringlich beseitigt. Beim einfachen Löschvorgang gibt das Betriebssystem die entsprechenden Sektoren einer Festplatte lediglich zur erneuten Überschreibung frei. Die Polung der Magnetpartikel, welche die gespeicherten Daten darstellt, bleibt dabei erhalten. Und selbst beim professionellen Überschreiben von Daten kann ein Täter das Restrisiko der Überprüfbarkeit nicht zur Gänze ausschliessen. Schon einzelne Dateifragmente oder nicht überschriebene Sektoren von Festplatten können Hinweise zur Rekonstruktion gelöschter Daten geben. Sogar aus formatierten Festplatten und mutwillig beschädigten Datenträgern -lassen sich Daten gezielt rekonstruieren, wobei auch zunächst nicht mehr lesbare, beschädigte Dateistrukturen kein dauerhaftes -Hindernis bieten.

Das rasche Hinzuziehen der Computer-Forensik im Verdachtsfall kann sich entscheidend auf den späteren Ermittlungserfolg auswirken. Bevor eine derartige Untersuchung jedoch gestartet wird, sind in jedem Fall die Rahmenbedingungen für die erfolgreiche Sicherung von Beweisen zu prüfen. Aufgrund der Datenschutzbestimmungen dürfen beispielsweise E-Mail- und Internet-Nutzung gegebenenfalls nur eingeschränkt untersucht werden. Dies gilt es mit der Rechtsabteilung des betroffenen Unternehmens zu klären. Wichtig ist auch, dass Mitarbeiter, denen verdächtige Aktivitäten im Unternehmen aufgefallen sind, auf keinen Fall selbst Originaldaten antasten. Jeder Zugriff, auch nur das Öffnen und Betrachten eines Dokuments, verändert bestimmte Datei-Zusatzinformationen, die so genannten Meta-Daten. Dies kann die komplette Untersuchung und die Beweismittelkette zunichte machen, da die gerichtstaugliche Verwertbarkeit nicht mehr gewährleistet wäre. Jeder einzelne Schritt muss überdies lückenlos dokumentiert werden, um später nachvollziehbar zu sein. So muss zum Beispiel ein Gegengutachter zum gleichen Ergebnis kommen wie die beteiligten Ermittler. Eine eindeutige Beweislage ist das Ziel und dabei ist die Computer-Forensik sehr hilfreich.

Weitere Informationen

Es muss nicht in jedem Unternehmen zu einem Wirtschaftsdelikt kommen. Tritt der Ernstfall aber ein, zahlen sich präventive Massnahmen aus. So sollte klar geregelt sein, dass E-Mail-Account und Internetzugang nur für geschäftliche Zwecke genutzt werden dürfen. Ebenso gängig ist die Vorschrift, dass auf firmeneigenen elektronischen Speichermedien ausschliesslich geschäftliche Dokumente gespeichert sind. Besonders wichtig ist die eindeutige Reglementierung des Einsatzes privater Speichermedien wie USB-Sticks, mithilfe derer digitale Informationen fast unbemerkt geschmuggelt werden können. Klar ist aber auch: Vollständige Sicherheit ist fast nicht durchsetzbar und übertriebenes Misstrauen belastet das Betriebsklima. Ein vertretbares Mass an Prävention ist dennoch ein probater Weg. Kommt es dennoch zu einem Vorfall, kann die Computer-Forensik massgeblich zur Aufklärung beitragen.