Management und Wissen

EDV-Beweissicherung

Beweissicherung bei Computerkriminalität

Von Roger Odenthal, Düsseldorf

Straftaten und Missbrauchsfälle hinterlassen eine Menge Spuren auf Computern. Um die "Fingerabdrücke" der Täter nicht bei der Beweisaufnahme zu verwischen, ist allerdings eine sorgsame Spurensicherung notwendig, die sich vom normalen Arbeiten am PC oder Server deutlich unterscheidet.

Sowohl Arbeitsplatzcomputer von Mitarbeitern als auch Server im Netzwerk sind interessante Prüfobjekte für die EDV-Revision. Bereits die "normale" Nutzung dieser Geräte ist erfahrungsgemäß nicht selten mit der Anwendung nicht lizenzierter Programme sowie der Speicherung sensitiver Firmendaten auf weitgehend ungesicherten PC-Laufwerken verbunden. Hinzu kommen eine Reihe von unter dem Stichwort Computermissbrauch zusammenzufassenden Tatbeständen wie beispielsweise Programmmanipulationen, das Ausspähen vertraulicher Informationen, das Einspielen von Viren, den unautorisierten Download von Dateien und missbräuchliche Internet-Nutzung. In Unterschlagungsfällen kann man darüber hinaus davon ausgehen, dass ein Täter seinen PC als Hilfsmittel oder Tatwerkzeug verwendet. Hierfür gibt es vielfältige Beispiele, sei es, dass er eine Nebenbuchhaltung über unterschlagene Gelder in der Tabellenkalkulation führt, Gesprächsnotizen festhält oder Belege mithilfe des Computers fälscht.

Für die Revision sind primär Dateien interessant, die sich aus aktiven Tatbeiträgen ergeben. Daneben halten die Rechner jedoch auch beweiserhebliche Tatsachen ohne direktes Zutun der Täter fest, indem sie den Zugang zum Computersystem und hierüber etwa zur EDV-Buchhaltung protokollieren, den Zugriff auf kritische Programme mitschreiben oder eine Änderungshistorie für wichtige Dateien aufzeichnen. Wichtige Informationen befinden sich häufig in Zwischenspeichern oder Auslagerungsdateien. Weiterhin legen viele Programme bei Veränderung wesentlicher Parameter oder Dateiinhalte – für den Anwender nicht immer erkennbar – Sicherungskopien an, die sich ebenfalls auf der Festplatte befinden.

Sowohl die durch den Täter angelegten Dateien als auch die passiven Aufzeichnungen führen zu "Fingerabdrücken" auf den Datenträgern, die Ermittlungen zum Tathergang unterstützen und als Beweis für die eigentliche Tat dienen können. Eine der Hauptaufgaben der Missbrauchsprüfung im Computerbereich muss daher darin bestehen, diese Fingerabdrücke für Ermittlungs- und Beweiszwecke festzuhalten.

Da es sich im wahrsten Sinne des Wortes um flüchtige Informationen handelt, sind hierbei strengste Anforderungen an das prüferische Vorgehen zu legen. In allen Missbrauchsfällen ist dem Quellenschutz, also der Sicherung von auf Festplatten oder Bändern gespeicherten Informationen vor Veränderung, größte Bedeutung zuzumessen.

Praktische Erfahrungen zeigen, dass das jeweilige Vorgehen und der Prüfungsansatz stark von der EDV-Erfahrung des einzelnen Prüfers abhängen. Ein sicherlich extremes Beispiel: Ein zur Festsetzung eines am Personal Computer tätigen Unterschlagungstäters herbeigerufener Polizeibeamter stellte zur Beweiserhebung lediglich die Tastatur sicher, um diese auf Fingerabdrücke zu untersuchen.

Revisoren fahren im Verdachtsfall häufig den betreffenden Computer kontrolliert herunter, bevor sie ihn sicherstellen. Anschließend suchen sie nach einem Neustart mit dem Dateimanager des Betriebssystems nach verdächtigen Dateien. Wird das Gerät im produktiven Betrieb noch benötigt, fertigen sie oft ein "komplettes Backup" des Datenträgers auf einer neue Festplatte oder CD-R an, mit dessen Hilfe weitergehende Untersuchungen erfolgen.

Jede der genannten Handlungen hat jedoch fatale Auswirkungen auf den Beweiswert der Untersuchung. Sie beeinträchtigen nachfolgende Analysen durch Sachverständige oder Ermittlungsstellen und führen nicht zuverlässig dazu, dass tatsächlich alle Informationen, die auf dem Datenträger vorhanden sein können, beweissicher festgehalten werden.

Quellenschutz

Zentrales Anliegen bei der Sicherstellung von Missbrauchsspuren muss es sein, den Datenträger schnellstmöglich vor jeder Form von Veränderung wie Löschung, Speicherung, Neuerstellung oder Modifizierung vorhandener Dateien zu schützen und – soweit möglich – den Computer dennoch in unveränderter Form am Arbeitsplatz zu belassen, um den mutmaßlichen Täter nicht vorzeitig zu warnen. Dem steht entgegen, dass bereits das Ein- oder Ausschalten, Herunterfahren und Starten eines Computers eine Reihe nicht beeinflussbarer Betriebssystemaktionen, wie Korrekturen von Konfigurations- und Registrierdateien, den Aufruf bestimmter Programme sowie möglicherweise – je nach Einstellung – das Löschen von Ordnern, temporären Dateien und Protokollen nach sich zieht.

Hiernach nicht mehr zugängliche Informationen hätten eventuell bereits einen ersten Anhaltspunkt für die letzten Aktionen des Anwenders auf dem Rechner vermittelt oder beispielsweise zeigen können, welche Tabellen in Bearbeitung waren oder welche Dateien beseitigt wurden. Aber selbst wenn sich keine Beweise in den betroffenen Dateien befinden, ist jeglicher Eingriff in den vorherigen Zustand der Datenspeicher nachteilig: Bereits die Modifikation einer einzelnen Datei kann durch deren Neuspeicherung auf dem Datenträger zum Überschreiben dort lagernder, prüfungsrelevanter Informationen führen.

Das Backup einer Festplatte führt normalerweise lediglich dazu, dass die vorhandenen "aktiven" Dateien auf einen neuen Datenträger übernommen werden. In der Praxis befinden sich die für nachfolgende Ermittlungen notwendigen Informationen jedoch nicht selten in gelöschten Dateien oder bereits in zum Überschreiben vorgesehenen Festplattensektoren. Diese keiner Datei mehr zugeordneten binären Informationen bleiben bei einem einfachen Backup unberücksichtigt und stehen dann für eine nachfolgende Untersuchung nicht zur Verfügung.

Ratsames Vorgehen

In einem ersten Schritt sollte die Revision zunächst klären, mit welcher Art wirtschaftskrimineller Handlung man sich auseinandersetzen muss und ob das Prüfungsergebnis nur für interne Disziplinarmaßnahmen oder darüber hinaus zur Durchsetzung zivilrechtlicher Ansprüche oder womöglich zur Einleitung eines Strafverfahrens dienen soll. In den beiden letzteren Fällen hängt der Beweiswert einer Untersuchung entscheidend von ihrer Nachvollziehbarkeit und Dokumentation ab sowie davon, dass Veränderungen des Datenträgers während des Sichtens ausgeschlossen waren. Die Verteidigung jedes mutmaßlichen Täters wird versuchen, die Zuverlässigkeit der Daten in Zweifel zu ziehen, die einem Computersystem für Beweiszwecke entnommen worden sind.

Es ist allerdings zu empfehlen, auch bei weniger kritischen internen Untersuchungen aus professionellen Gründen dem Schutz der Datenträger die gleiche Bedeutung beizumessen. Niemand kann zudem in letzter Konsequenz abschätzen, ob das Ergebnis einer Missbrauchsprüfung später nicht doch einmal zu einem Gerichtsverfahren führt.

Werkzeug

Beim Sicherstellen der Festplatte sollten spezielle Tools zur Datenrettung zum Einsatz kommen, die den Inhalt eines physischen Datenträgers in Form eines Images auf eine zweite, völlig informationsfreie externe Festplatte oder eine CD übertragen. Hieraus ergibt sich ein absolut exaktes Spiegelbild des vorhandenen Datenträgers oder zumindest eine vollständige Kopie. Diese Tools starten dabei nicht das auf der Festplatte befindliche Betriebssystem, sondern booten den Computer mit einem auf Diskette befindlichen Betriebssystem, das keine Veränderungen an der Festplatte vornimmt.

Dieses spezielle Backup dokumentieren die Spezialprogramme gleichzeitig in begleitenden Log-Files. Sie enthalten Informationen über die technischen Daten der untersuchten Festplatte, Datum und Zeit der Untersuchung sowie den Zustand der Schnittstellen für die Datenübertragung und zeichnen den Datentransfer mit einem nachvollziehbaren Prüfsummenverfahren für die einzelnen Datenpakete auf.

Tools zur physischen Kopie von Datenträgern sind häufig bei der IT-Administration vorhanden. Weiterhin gehören eine bootfähige Diskette mit Betriebssystem und Treiberdaten sowie ein externes Festplatten- oder CD-RW-Laufwerk für die parallele oder USB-Schnittstelle zu einem geeigneten Notfallset. Speziell für forensische Untersuchungen gibt es auch vorbereitete Sets bestehend aus Hard- und Software, beispielsweise IMSOLO und Image Master Solo 2 Forensic System von Intelligent Computer Solutions (siehe Kasten).

Je nach Bedeutung des Unterschlagungsfalls ist es empfehlenswert, eine zweite Kopie des Datenträgers zu erstellen. Der Originaldatenträger kann dann ausgebaut und in einem geeigneten, besonders geschützten und versiegelten Behältnis aufbewahrt werden. Bei besonderen Anforderungen an die Beweissicherung sollte man die entsprechenden Arbeiten gemeinsam mit einem Sachverständigen oder amtlichen Ermittler durchführen und diesem anschließend den Originaldatenträger überlassen. Möchte man dem Täter keinen Hinweis auf die Untersuchung hinterlassen, so kann man den zusätzlich kopierten Datenträger für die weitere Verwendung wieder in den PC einbauen.

Auswertung

Die nachfolgende Auswertung sollte mit dem erstellten Backup arbeiten. Auch in dieser Phase sollte man den Rechner von Diskette mit einem externen Betriebssystem starten. Spezielle Programme können die Festplatte unabhängig von der Dateistruktur (physisch) nach inkriminierenden Begriffen durchsuchen. Geeignete und häufig verwendete Programme sind beispielsweise ENCASE oder die Shareware Directory Snoop (siehe Kasten).

Verräterische Informationen können Namen von Konkurrenten, Lieferanten oder Produkten sein oder auch Hinweise auf auffällige Transaktionen oder Buchungstexte, wie Storno, Fehler, Abbruch, Test, Umkehr usw. Je nach Lage des Falles können auch bestimmte Auftragsnummern oder Beträge in Frage kommen. An dieser Stelle kommt es entscheidend darauf an, sich in die Gedankenwelt eines mutmaßlichen Täters hineinzuversetzen. Je besser das gelingt, desto besser ist die Informationsbasis für die entsprechende Analyse. Als Ergebnis zeigt die Software an, ob und wo entsprechende Begriffe auf der Festplatte gespeichert sind. Für die gefundenen Informationen liefern die Tools sowohl die physische Adresse auf dem Datenträger als auch einen eventuell zugehörigen Dateinamen; vor- und nachgelagerte Textzeilen sowie Datum und Uhrzeit des Suchlaufes werden ebenfalls festgehalten. Durch einen Ausdruck kann man diese Informationen zusätzlich in Papierform archivieren.

[Screenshot EnCase]
Zur Suche nach inkriminierenden Begriffen auf dem physischen Datenträger gibt es spezielle Tools (hier EnCase).

Erst nach einer solchen Analyse sollte man den Daten, sofern verdächtige Informationen gefunden wurden, mit dem "zugehörigen" Betriebssystem und seinen Anwendungen zu Leibe rücken, um die entsprechenden Dateien einer gesonderten Sichtung und Auswertung zu unterziehen.

Fazit

PCs und Server stellen ein lohnenswertes Prüffeld für die Revision dar. Hierbei sollte sich die Prüfung nicht ausschließlich auf deren ordnungsgemäße Sicherung und Administration beziehen. Untersuchungen im Hinblick auf nicht lizenzierte Programme und auf Risikopositionen durch sensitive Firmendaten auf schlecht gesicherten PC-Laufwerken oder die missbräuchliche Internet-Nutzung sind erfahrungsgemäß ebenfalls von Interesse für die Unternehmen. Sobald Mitarbeiterkriminalität ins Spiel kommt, ist darüber hinaus ein besonderes Vorgehen erforderlich, um den Beweiswert möglicher Informationen zu wahren.

Roger Odenthal ist Geschäftsführer der [externer Link] REVIDATA Unternehmensberatung GmbH, Düsseldorf.

Hard- und Software zur Beweissicherung

Weitere Informationen

© SecuMedia-Verlags-GmbH, D-55205 Ingelheim,
KES 3/2001, Seite 58