Nur wer komplett offline ist, kommt ohne IT-Forensik aus. Aber warum ist das so und was ist IT-Forensik?
Als Teildisziplin der Forensik geht es auch hier um eine methodische Vorgehensweise zur Beantwortung verschiedenster Fragestellungen z. B. im Rahmen einer Ermittlung oder einer Vorfalluntersuchung in einer Organisation. Sachverständige für IT-Forensik untersuchen dabei je nach Fall und Ziel verschiedenste IT-Geräte, ganz klassisch vom PC/Server über Mobiltelefone bis hin zu “smarten” Steuerungsanlagen oder vielleicht sogar auch mal einem vernetzten Kühlschrank.
Weil die IT mit Querschnittsfunktionen mittlerweile praktisch jeden Lebensbereich durchdrungen hat, kommen auch immer mehr Menschen und Organisationen mit der IT-Forensik in Kontakt. Insbesondere dann, wenn es in Bezug auf IT nicht um vertragliche Meinungsverschiedenheiten, einen “einfachen” Störfall oder eine möglichst verlässliche Aufwandsschätzung geht, sondern um Computer als Tatmittel oder Tatort, um Daten als wertvolle Spurenträger oder als lohnende Beute für Täter.
Ist die wertvolle Ware in der Industriemetzgerei wegen eines versehentlich falsch eingestellten Thermostats aufgetaut und verdorben, oder weil jemand aus dem Internet die Anlage “gehackt” hat? Konnte ein Unternehmen nur deshalb mittels “Ransomware” erfolgreich kompromittiert und erpresst werden, weil der Angriff so ausgefeilt ablief, oder weil der Administrator selbst einfachste präventive Maßnahmen nicht implementiert hatte? Wird dem Angeklagten zurecht die Begehung einer Tat mit IT als Tatmittel vorgeworfen, oder gibt es vielleicht wirklich einen „wahren Täter“?
Identifizierung fallrelevanter Informationen
Bei der Untersuchung und Aufklärung kann eDiscovery (electronic discovery) wertvolle Hilfe leisten. Es geht dabei darum, aus einer größeren Menge elektronisch gespeicherter Informationen (ESI) durch strukturiertes Vorgehen (EDRM – electronic discovery reference model) und unter Nutzung geeigneter Werkzeuge (eDiscovery-Software als „LegalTech“) effizient und effektiv fallrelevante Informationen (die sich in „losen“ Dokumenten und Kommunikation wie E-Mails oder Chats befinden kann) vollständig zu identifizieren, nachvollziehbar dokumentiert sicherzustellen und zu sichern, aufzubereiten, komfortabel zu reviewen (mit Stichworten und anhand formaler Merkmale zu durchsuchen und zu filtern, auffällige zu markieren – „Tagging“–, sowie diese inhaltlich zu sichten und intellektuell zu würdigen), und schließlich gerichtsverwertbar als digitale Beweise zu exportieren.
In kleineren Verfahren ist eine Vollsichtung auch mit allgemein verfügbaren “Bordmitteln” wie E-Mail-Clients mit Datenimport noch möglich, aber nicht notwendig effizient. Dennoch lohnt sich auch hier eDiscovery häufig, z. B. um bestimmte Werte oder Muster zu erkennen. In größeren Verfahren (mehrere Zielpersonen = Custodians, viele Datenquellen zu einem Custodian, lange Untersuchungszeiträume, viele Duplikate) sind jedoch fortgeschrittene Verfahren zwingend vonnöten, da sonst die Gefahr besteht, wichtige Spuren nicht zu finden, den Überblick zu verlieren und zu viel Aufwand zu produzieren.
Hier können externe IT-Sachverständige mit eDiscovery-Leistungen entlang der gesamten EDRM-Wertschöpfungskette sowohl technisch als auch inhaltlich unterstützen, damit Anwälte sichergehen können, dass zu elektronischen Beweisen und ihrer Verarbeitung das professionell Mögliche getan ist, und sie letztlich die „rauchenden Colts“ auch nachweisen können.
Essentielle neue Erkenntnisse durch Einholen einer Zweitmeinung
Etwa in Strafverfahren oder arbeitsgerichtlichen Auseinandersetzungen kann das Einholen einer “Zweitmeinung” zielführend sein. Weil niemand allwissend und besonders die Welt der IT abstrakt und oft nicht “greifbar” ist, kann selbst eine schlüssig und präzise argumentierte IT-Begutachtung alternative Hergänge außer Acht gelassen oder Wahrscheinlichkeiten völlig falsch eingeschätzt haben.
Eine solche Zweitmeinung wird zwar zunächst den eigenen (finanziellen) Aufwand erhöhen, bietet aber die Chance, einen IT-Fall mit der Erfahrung eines IT-Forensikers bewerten und so vielleicht essentielle neue Erkenntnisse einbringen zu können. Mögliche Fragen sind hier z. B., ob Zeitstempel korrekt interpretiert wurden, Protokolleinträge wirklich nur “diese eine” Bedeutung haben können, oder vielleicht auch weitere oder Spuren falsch-positiv als Nutzungsspuren gewertet und so irrtümlich einer Person zugeordnet wurden, oder nicht.
Eine goldene Regel ist die angemessene Beachtung des Faktors Zeit. So hat der Autor Fälle begleitet, in denen wichtige Spuren schon “verwischt” und die eigene Sicht der Dinge damit nicht mehr zu belegen war, aber auch Fälle, in denen ein kurzes Gespräch in einer frühen Phase ausgereicht hat, die eigene Position zu verorten und entsprechend effizient zu handeln.
Über den Autor
Dipl.-Wirt.-Inf. Martin Wundram
Gründer und Co-Geschäftsführer der DigiTrace GmbH
sowie von der IHK zu Köln öffentlich bestellter und
vereidigter Sachverständiger für Systeme und
Anwendungen der Informationsverarbeitung,
insbesondere IT-Sicherheit und IT-Forensik
Quelle NJW 14/2020