IT-Forensik, Teil 1: Wer Beweismaterial im Firmennetz sammelt

Für arglose Zeitgenossen ist das Internet Spielwiese, Klatschspalte und Einkaufszentrum. Für IT-Forensiker ist es ein gigantischer Tatort. Die Spezialisten stöbern Cyberkriminelle auf, sichern Spuren und sorgen dafür, dass eine rechtskräftige Verurteilung von Datendieben und Spionen überhaupt möglich wird.

Aus Mangel an E-Beweisen

Von Uli Ries

Einerseits sind sich Experten aus Unternehmen, Behörden und Wissenschaft darin einig, dass IT-Sicherheit immens wichtig ist und dass die Risiken, die von Cyberangriffen ausgehen, noch deutlich steigen werden. Andererseits findet man kaum entsprechend ausgebildete Fachleute, die sich nach einer Attacke an die Rekonstruktion des Geschehens machen könnten. Gesucht werden IT-Forensiker.

Sie sichern nach einem (vergeblichen) Angriff aus dem Netz die Beweise, damit die IT-Sicherheitsspezialisten ihre Schutzmaßnahmen weiter verbessern können. Wer sich deren Arbeit in etwa so vorstellt, wie die der Kriminologen aus den US-TV-Serien der CSI-Familie, liegt nicht ganz falsch. Die Vertreter dieser noch jungen technischen Disziplin unterstützen die Ermittler bei der Arbeit – wenngleich die Analysen im wirklichen Leben nicht schon zur Werbepause Ergebnisse auswerfen und die Befunde weit weniger augenfällig aufgemacht sind als im Fernsehen.

Dem Täter auf der Spur

Genau wie Gerichtsmediziner nach einem Gewaltverbrechen durch eine Untersuchung der Leiche die Todesursache herausfinden und wertvolle Hinweise auf Tatwaffe und Tathergang liefern können, nimmt sich ein IT-Forensiker Computersysteme und digitale Daten auf seinem Seziertisch vor. Die Digitalpathologen arbeiten – wie ihre Kollegen aus der Medizin – dabei meist anderen Fachleuten zu. Für die Befunde interessieren sich z.B. Unternehmenslenker, Juristen, Personalleiter, die dazugehörigen Anwälte, Wirtschaftsprüfungsgesellschaften oder Detektive.

MittelstandsWiki 15.jpg

Schwarz auf Weiß
Dieser Beitrag erschien zuerst in unserem Magazin zur CeBIT 2014. Einen Über­blick mit freien Down­load-Links zu sämt­lichen Einzel­heften bekommen Sie online im Presse­zentrum des MittelstandsWiki.

Die digitale Forensik, oft auch als Computerforensik bezeichnet, ist eigene Disziplin, die besondere Fachkenntnisse voraussetzt. Sie wird überall dort eingesetzt, wo digitale Daten Ziel, Mittel oder Katalysator eines Delikts sind. Computerforensiker sind spezialisiert auf das Identifizieren, Lokalisieren, Interpretieren und Dokumentieren von digitalen Spuren.

Zu den aufzuklärenden Vergehen gehören u.a. Datendiebstähle und Sabotage. Grundlage solcher Angriffe sind zumeist Infektionen durch Schadsoftware, etwa Trojaner. Im Rahmen der Ermittlung müssen die Experten oft schwer nachvollziehbare Spuren auf digitalen Geräten bis zur Quelle so akkurat nachverfolgen und sichern, dass die Hinweise u.a. auch als Beweismittel in einem Strafverfahren vor Gericht taugen.

Bedarf ohne Ende

Benötigt werden IT-Forensiker nicht nur von Polizei, Zoll und Strafverfolgern. Vielmehr haben auch Unternehmen oder Wirtschaftsprüfer, die im Auftrag von kleineren und mittelständischen Unternehmen arbeiten, regelmäßig akuten Bedarf an solchen Spürnasen. Denn nicht immer wollen sie die Behörden einschalten, wenn es zu – mutmaßlich durch Angriffe ausgelösten – Datenverlusten gekommen ist. Zu groß ist die Furcht davor, dass Informationen über die Datenpanne an die Öffentlichkeit gelangen. Die befürchteten Folgen: Imageschäden und in der Folge der Verlust von Vertrauen und Kunden. Außerdem könnten sich Nachahmer dazu angeregt fühlen, dem vermeintlich schlecht gesicherten Netzwerk noch einmal auf den Zahn zu fühlen.

Serie: IT-Forensik
Teil 1 umreißt das Berufsbild Computerforensiker und beschriebt die wichtigsten Einsatzszenarien. Teil 2 sieht nach, welche Zertifikate, Abschlüsse und Studiengänge es bereits gibt. Zwei Updates erklären neue Studiengänge und konzentrieren sich auf die Karrierechancen für Frauen.

Das Problem der Behörden und Unternehmen im deutschsprachigen Raum ist jedoch, dass es derzeit im Allgemeinen einen erheblichen Mangel an IT-Sicherheitsspezialisten und im Besonderen an IT-Forensikern gibt. Eine Studie des deutschen IT-Branchenverbands BITKOM aus dem Jahr 2013 belegt diesen Mangel: Von den knapp 40.000 offenen IT-Stellen betrifft ein Großteil IT-Sicherheitsspezialisten. Laut BITKOM würden viele Unternehmen mangels Fachkräften schon heute den notwendigen Sicherheitsmaßnahmen „nicht die gebührende Aufmerksamkeit entgegenbringen“, wie es in einer älteren Mitteilung heißt.

Unbedingt beweiskräftig

Insbesondere im Mittelstand sehe es bedenklich aus. Denn dort hat offenbar nur jedes dritte mittelständische Unternehmen ein klares Sicherheitskonzept. Dem BITKOM zufolge sieht jedes zweite Unternehmen aus dem Bereich IT-Sicherheitsprodukte und -dienstleistungen in Zukunft Zuwächse von mehr als 10 % bei ihren Beschäftigten. Wirtschaft und Behörden wollen das Personal in jeder vierten Sicherheitsabteilung verstärken.

Doch woher sollen diese Mitarbeiter kommen? Ein Experte aus Forschung und Wissenschaft zeigt sich skeptisch: In vielen wichtigen Tätigkeitsfeldern seien die Mitarbeiter noch nicht ausreichend ausgebildet, ganz zu schweigen davon, dass sie Computerdaten so wiederherstellen könnten, dass auch im Nachgang klar wird, was vorher auf dem Rechner gewesen ist. Diese Fähigkeit sei nicht zuletzt für Mitarbeiter von Strafverfolgungs- und Ermittlungsbehörden entscheidend.

Insbesondere Juristen brauchen dem Experten zufolge mehr technisches Wissen, z.B. dann, wenn sie Beweise tatsächlich würdigen wollen. Insidern sind Fälle bekannt, bei denen Staatsanwälte nicht auf das Ergebnis einer von Fachleuten durchgeführten Untersuchung beschlagnahmter PCs warten wollten, sondern selbst Hand anlegten. Dabei wurden die Original-Datenspeicher ungewollt und ungewusst verändert – eine Todsünde in der digitalen Forensik, denn der Datenträger wurde dadurch als Beweisstück unbrauchbar.

Beamte in der Weiterbildung

Auch Nichtjuristen im Staatsdienst sind auf entsprechendes Wissen angewiesen. Das betrifft z.B. die Polizeibeamten, die beschlagnahmte IT-Komponenten untersuchen und darauf Beweise sichern müssen. Kommt es hier zu personellen Engpässen, müssen sich die staatlichen Stellen externer Experten bedienen. Dass dazu Asservate herausgegeben werden müssen, ist unter Umständen problematisch. Liegt der Untersuchungsbericht der hinzugezogenen Experten vor, können die an sich verantwortlichen Polizisten im Gerichtsprozess lediglich aus dem Protokoll vorlesen – ohne dass sie in der Lage sind, selbst eine Einschätzung abzugeben.

Welche Aus- und Weiterbildungsmöglichkeiten es international und im deutschsprachigen Raum gibt, stellt Teil 2 dieser Serie dar.
Uli-Ries.jpg

Uli Ries ist freier Journalist und Autor mit abgeschlossene journalistischer Ausbildung und langjähriger Erfahrung (u.a. bei CHIP, PC Professionell und www.notebookjournal.de). Seine Spezialgebiete sind Mobilität, IT-Sicherheit und Kommunikation – zu diesen Themen tritt er immer wieder auch als Moderator und Fachreferent auf.


Kontakt via Xing

Nützliche Links