2005-10-13 12:52:57

Innere Sicherheit

Da der interne Datenmissbrauch eine zunehmende Gefahr darstellt, nimmt die Bedeutung der Computer Forensik weiterhin zu.

Fritz Katz

Druckversion

Auf einer Veranstaltung des CAST-Forums (Competent Center for Applied Secutity Technology) diskutierten kürzlich in Darmstadt IT-Forensiker, Forensik-Forscher, Software-Hersteller und Juristen über die neuesten Entwicklungen im Bereich des digitalen Datendiebstahls. Neben den bekannten externen Netzwerk-Attacken durch Viren, Würmer oder Hacker sind heutzutage vielmehr die internen Missbrauch-Gefahren für Unternehmensnetzwerke dominierend. Beabsichtigt oder unbeabsichtigt werden in der Firma häufig durch Bedienungsfehler in der Applikation oder gezielte Manipulation von Daten durch den Mitarbeiter die Sicherheitslücken offenbar.

Da die Loyalität zum Unternehmen, sowohl bei Arbeitnehmern als auch beim Management, immer geringer wird, haben die digitalen Detektive mittlerweile neben Delikten durch externe Quellen auch viele interne Angriffe auf geschäftskritische Informationen im Visier und können heute eine Vielzahl von Manipulationen elektronischer Daten nachweisen. Jede Veränderung oder auch ein unerlaubter Zugriff auf elektronische Daten hinterlässt nämlich Spuren. Auch das Löschen von Daten oder eMail-Korrespondenzen lässt sich rekonstruieren. Dies liegt daran, dass zum Beispiel absichtlich gelöschte Dateien nicht unwiederbringlich beseitigt werden können. Bei einem einfachen Löschen von Daten werden diese nämlich nicht vollständig beseitigt. Hier gibt das Betriebssystem die entsprechenden Sektoren einer Festplatte lediglich zur erneuten Überschreibung frei. Die Polung der Magnetpartikel, die letztlich die gespeicherten Daten darstellt, bleibt aber erhalten. Diese verschwinden oft nur aus dem „Inhaltsverzeichnis“ einer Festplatte. Selbst bei einem professionellen Überschreiben von Daten kann ein Täter dieses Restrisiko nicht ausschließen.

Weiterhin sind viele Dateien, die beispielsweise unberechtigter Weise angesehen, kopiert und eventuell ausgedruckt oder per eMail verschickt wurden, gar nicht auf der Festplatte sondern auf Servern zu finden. Daher empfiehlt sich das Überprüfen der LogFiles. Diese enthalten oftmals sehr wichtige Informationen über den Netzwerk-Verkehr und lassen Rückschlüsse auf Zugriffe und Nutzung zu. Nach Auffassung von Juristen ist es aber in Deutschland aufgrund der Rechtssprechung derzeit höchst sensibel, diese Auswertungen zumindest ohne konkreten, begründeten Verdachtsfall vorzunehmen. Das Protokollieren von eMails und der Mitschnitt der Internetsitzungen kollidiert mit dem Arbeitnehmerdatenschutz. Wenn zum Beispiel keine betriebsinterne Mitarbeitervereinbarung über die private Nutzung von eMail oder Internet besteht, können die eMails bei einem Verdacht mit ausdrücklich eingeholter Einwilligung der betroffenen Person vor Ort unter Aufsicht eines Rechtsanwalts oder durch externe, neutrale Computer Forensik Spezialisten – beispielsweise Kroll Ontrack - extrahiert und analysiert werden.