IT-Forensik, Teil 1

Aus MittelstandsWiki
Wechseln zu: Navigation, Suche

Aus Mangel an E-Beweisen

mekcar

Von Uli Ries

Einerseits sind sich Experten aus Unternehmen, Behörden und Wissenschaft darin einig, dass IT-Sicherheit immens wichtig ist und dass die Risiken, die von Cyberangriffen ausgehen, noch deutlich steigen werden. Andererseits findet man kaum entsprechend ausgebildete Fachleute, die sich nach einer Attacke an die Rekonstruktion des Geschehens machen könnten. Gesucht werden IT-Forensiker.

Anzeige

Sie sichern nach einem (vergeblichen) Angriff aus dem Netz die Beweise, damit die IT-Sicherheitsspezialisten ihre Schutzmaßnahmen weiter verbessern können. Wer sich deren Arbeit in etwa so vorstellt, wie die der Kriminologen aus den US-TV-Serien der CSI-Familie, liegt nicht ganz falsch. Die Vertreter dieser noch jungen technischen Disziplin unterstützen die Ermittler bei der Arbeit – wenngleich die Analysen im wirklichen Leben nicht schon zur Werbepause Ergebnisse auswerfen und die Befunde weit weniger augenfällig aufgemacht sind als im Fernsehen.

Dem Täter auf der Spur

Genau wie Gerichtsmediziner nach einem Gewaltverbrechen durch eine Untersuchung der Leiche die Todesursache herausfinden und wertvolle Hinweise auf Tatwaffe und Tathergang liefern können, nimmt sich ein IT-Forensiker Computersysteme und digitale Daten auf seinem Seziertisch vor. Die Digitalpathologen arbeiten – wie ihre Kollegen aus der Medizin – dabei meist anderen Fachleuten zu. Für die Befunde interessieren sich z.B. Unternehmenslenker, Juristen, Personalleiter, die dazugehörigen Anwälte, Wirtschaftsprüfungsgesellschaften oder Detektive.

Kommunikation-und-netze-2015-02.jpg
Schwarz auf weiß: Dieser Beitrag erschien zuerst in unserer Magazinreihe. Einen Überblick mit freien Download-Links zu sämtlichen Einzelheften bekommen Sie online im Pressezentrum des MittelstandsWiki.

Die digitale Forensik, oft auch als Computerforensik bezeichnet, ist eigene Disziplin, die besondere Fachkenntnisse voraussetzt. Sie wird überall dort eingesetzt, wo digitale Daten Ziel, Mittel oder Katalysator eines Delikts sind. Computerforensiker sind spezialisiert auf das Identifizieren, Lokalisieren, Interpretieren und Dokumentieren von digitalen Spuren.

Zu den aufzuklärenden Vergehen gehören u.a. Datendiebstähle und Sabotage. Grundlage solcher Angriffe sind zumeist Infektionen durch Schadsoftware, etwa Trojaner. Im Rahmen der Ermittlung müssen die Experten oft schwer nachvollziehbare Spuren auf digitalen Geräten bis zur Quelle so akkurat nachverfolgen und sichern, dass die Hinweise u.a. auch als Beweismittel in einem Strafverfahren vor Gericht taugen.

Bedarf ohne Ende

Benötigt werden IT-Forensiker nicht nur von Polizei, Zoll und Strafverfolgern. Vielmehr haben auch Unternehmen oder Wirtschaftsprüfer, die im Auftrag von kleineren und mittelständischen Unternehmen arbeiten, regelmäßig akuten Bedarf an solchen Spürnasen. Denn nicht immer wollen sie die Behörden einschalten, wenn es zu – mutmaßlich durch Angriffe ausgelösten – Datenverlusten gekommen ist. Zu groß ist die Furcht davor, dass Informationen über die Datenpanne an die Öffentlichkeit gelangen. Die befürchteten Folgen: Imageschäden und in der Folge der Verlust von Vertrauen und Kunden. Außerdem könnten sich Nachahmer dazu angeregt fühlen, dem vermeintlich schlecht gesicherten Netzwerk noch einmal auf den Zahn zu fühlen.

Serie: IT-Forensik

  • Teil 1 umreißt das Berufsbild Computerforensiker und beschriebt die wichtigsten Einsatzszenarien.
  • Teil 2 sieht nach, welche Zertifikate, Abschlüsse und Studiengänge es bereits gibt.

Das Problem der Behörden und Unternehmen im deutschsprachigen Raum ist jedoch, dass es derzeit im Allgemeinen einen erheblichen Mangel an IT-Sicherheitsspezialisten und im Besonderen an IT-Forensikern gibt. Eine Studie des deutschen IT-Branchenverbands BITKOM aus dem Jahr 2013 belegt diesen Mangel: Von den knapp 40.000 offenen IT-Stellen betrifft ein Großteil IT-Sicherheitsspezialisten. Laut BITKOM würden viele Unternehmen mangels Fachkräften schon heute den notwendigen Sicherheitsmaßnahmen „nicht die gebührende Aufmerksamkeit entgegenbringen“, wie es in einer älteren Mitteilung heißt.

Unbedingt beweiskräftig

Insbesondere im Mittelstand sehe es bedenklich aus. Denn dort hat offenbar nur jedes dritte mittelständische Unternehmen ein klares Sicherheitskonzept. Dem BITKOM zufolge sieht jedes zweite Unternehmen aus dem Bereich IT-Sicherheitsprodukte und -dienstleistungen in Zukunft Zuwächse von mehr als 10 % bei ihren Beschäftigten. Wirtschaft und Behörden wollen das Personal in jeder vierten Sicherheitsabteilung verstärken.

Doch woher sollen diese Mitarbeiter kommen? Ein Experte aus Forschung und Wissenschaft zeigt sich skeptisch: In vielen wichtigen Tätigkeitsfeldern seien die Mitarbeiter noch nicht ausreichend ausgebildet, ganz zu schweigen davon, dass sie Computerdaten so wiederherstellen könnten, dass auch im Nachgang klar wird, was vorher auf dem Rechner gewesen ist. Diese Fähigkeit sei nicht zuletzt für Mitarbeiter von Strafverfolgungs- und Ermittlungsbehörden entscheidend.

Insbesondere Juristen brauchen dem Experten zufolge mehr technisches Wissen, z.B. dann, wenn sie Beweise tatsächlich würdigen wollen. Insidern sind Fälle bekannt, bei denen Staatsanwälte nicht auf das Ergebnis einer von Fachleuten durchgeführten Untersuchung beschlagnahmter PCs warten wollten, sondern selbst Hand anlegten. Dabei wurden die Original-Datenspeicher ungewollt und ungewusst verändert – eine Todsünde in der digitalen Forensik, denn der Datenträger wurde dadurch als Beweisstück unbrauchbar.

Beamte in der Weiterbildung

Auch Nichtjuristen im Staatsdienst sind auf entsprechendes Wissen angewiesen. Das betrifft z.B. die Polizeibeamten, die beschlagnahmte IT-Komponenten untersuchen und darauf Beweise sichern müssen. Kommt es hier zu personellen Engpässen, müssen sich die staatlichen Stellen externer Experten bedienen. Dass dazu Asservate herausgegeben werden müssen, ist unter Umständen problematisch. Liegt der Untersuchungsbericht der hinzugezogenen Experten vor, können die an sich verantwortlichen Polizisten im Gerichtsprozess lediglich aus dem Protokoll vorlesen – ohne dass sie in der Lage sind, selbst eine Einschätzung abzugeben.

Welche Aus- und Weiterbildungsmöglichkeiten es international und im deutschsprachigen Raum gibt, stellt Teil 2 dieser Serie dar.

Nützliche Links