Digitale Forensik

Digitale Spurensicherung

Von Christin Hohmeier · 2021

Die kriminellen Hackerbanden geben ihren Opfern kaum eine Chance ihre virtuellen Tresore und Netzwerke zu verteidigen. Wenn sie die ungeschützten Unternehmen übernehmen, die Daten verschlüsseln und mit der Beute verschwinden, versuchen Forensiker die Beweise zu sichern und die digitalen Spuren zurückzuverfolgen. Häufig bleibt der Erfolg dieser Arbeit im Dunkel.

Bis die virtuellen Alarmglocken anspringen, haben die Angreifer ihre Attacken bereits abgeschlossen, Datenbanken und Anwendungen übernommen und verschlüsselt und die Netzwerke meistens schon lange wieder verlassen. Die Sicherheitsspezialisten machen sich an die Arbeit. Während die Unterhändler des Unternehmens die Algorithmen zur Entschlüsselung der Daten ausgehändigt bekommen und mit der Wiederherstellung der Daten beginnen, übernehmen die IT-Forensiker den Fall und suchen nach den Spuren der Attacke, um nach ihren Urhebern zu forschen. Keine leichte Aufgabe: Große mittelständische Unternehmen etwa aus der Automobilindustrie betreiben Rechenzentren und Netzwerke auf allen Kontinenten. Hier laufen tausende Server und Router rund um die Uhr. Mitarbeiter:innen greifen gleichzeitig auf die Datenspeicher zu. Im Takt von Millisekunden überträgt das Unternehmen Datenströme in Produktionen und Niederlassungen.

Suche nach winzigen Spuren bei der digitalen Forensik

Das Rauschen der Datenströme ist die ideale Tarnung, in der die Kriminellen in die Unternehmen eintauchen. Sie verstecken ihre zerstörerischen Programme in weitgehend ungeschützten Bereichen, manchmal plündern sie noch in der Buchhaltung oder in den Geschäftskonten. Und in solchen ungeschützten Bereichen beginnen die Forensiker nach einem – möglicherweise – winzigen Datensatz zu suchen. Die Hoffnung ist, dass die Einbrecher beim Rückzug etwas übersehen haben – und dass die Expert:innen anhand des Angriffsvektors auf bekannte Gruppierungen schließen.

Die IT-Forensiker treten gegen Banden an, von denen sie viele als „brillant“ bezeichnen. Sie wissen, dass sie vor allem darauf vertrauen müssen, dass die Gegner einen Fehler machen. Und genau diesen einen Fehler zu finden ist aufwändig und kompliziert. Jetzt springen Big-Data-Systeme an und suchen nach Anomalien. Um allerdings aus diesen Anomalien zu schließen, dass es sich um einen Angriff oder gar um einen Straftatbestand handelt, gehört noch einmal viel Datenaufbereitung und Analyse dazu. Die Herausforderung ist es, in Millionen Daten das eine Muster zu finden, mit dem sie gerichtsfest einer bestimmten Person oder einer Gruppe den Angriff nachweisen.

Gerichtsfeste Beweise

Schließlich diskutieren Rechtsabteilung und Management die Frage, ob sie den Vorfall öffentlich machen – etwa indem sie die Beweise gegen einen mutmaßlichen Angreifer zusammenstellen und diese Person anzeigen. Doch sehr häufig werde dieser Gedanke verworfen, berichten Expert:innen. Denn das Management fürchtet um Marke und Ruf. In anderen Organisationen warnt die Rechtsabteilung vor juristischen Konsequenzen, weil persönliche Kundendaten verlorengegangen sein könnten. Die Verstöße gegen die DSGVO und die damit verbundenen, oftmals drakonischen Strafen mit persönlicher Haftung wird das Management freiwillig kaum eingestehen.

Quelle: Die Zeit; Bayerischer Rundfunk, 2021

Und für mögliche Gerichtsverfahren können die Ermittler häufig kaum mehr nachweisen, als sehr abstrakte Muster oder Indizien, die sie zu einer Beweiskette zusammenfügen. Auch in diesem Fall Raten Anwälte manchmal von einer Klage ab. Ihre Sorge ist, dass die Beweise vor den Gerichten nicht standhalten. Denn die Gegenseite ist häufig ebenso hoch gerüstet wie die Opfer: Auch kriminelle Organisationen verlassen sich auf spezialisierte Anwaltskanzleien. Die kennen die Schwächen der Netzwerke und der IT-Abteilungen sehr gut. Die Rechtsvertreter können einen Prozess platzen lassen, wenn sie den Nachweis erbringen, dass ein einzelnes notwendiges Sicherheitsupdate nicht installiert war. In so einem Fall ist das Ende versöhnlich: Opfer und Täter suchen das Gespräch. Man lernt sich kennen, man schüttelt sich die Hände und beschließt – nach einer Vereinbarung über Schweigegeld – sich in Zukunft aus dem Weg zu gehen.

Quellen:
Google Books
DeutschlandFunk Nova

Array
(
    [micrositeID] => 25
    [micro_portalID] => 25
    [micro_name] => IT-Sicherheit
    [micro_image] => 4600
    [micro_user] => 1
    [micro_created] => 1462280263
    [micro_last_edit_user] => 1
    [micro_last_edit_date] => 1567518648
    [micro_cID] => 823
    [micro_status] => 1
    [micro_cache] => 0
    [deleted] => 0
)