Computer-Forensik: Kein Fall für Dr. Watson

Auf Einladung des CAST-Forums trafen sich gestern in Darmstadt IT-Forensiker, Forensik-Forscher, Software-Hersteller und Juristen zu einer Tagung, die sich an einer Positionsbestimmung des noch jungen Fachgebietes versuchten. Im Gegensatz zu den üblichen Themen des CAST-Forums, das sich mit allem rund um die Computersicherheit beschäftigt, stand die Unsicherheit im Mittelpunkt. Wenn Würmer oder Trojaner zugeschlagen oder Rootkits eine Lücke gefunden haben, dann schlägt die Stunde der Forensiker, der Spezialisten, die sich mit dem Aufspüren und Nachweisen und der Analyse digitaler Spuren beschäftigen, die auf strafbaren Handlungen beruhen: Was passiert, wenn die IT-Sicherheit versagt hat, mehr noch, wenn Menschen sich an der IT vergreifen?

Im Gegensatz zu den viel beachteten Attacken der Viren und Würmer sitzt der Feind nach Meinung der Forensiker im Innern. Es ist der Manager, der vor Gründung einer eigenen Firma in Ruhe die Datenbestände plündert, es ist der freundliche und hilfsbereite Administrator mit einem luxuriösen Privatleben. Viele Menschen stecken heute in finanziellen Schwierigkeiten und bedienen sich dort, wo sie es können. "Die Loyalität ist geringer geworden -- auf beiden Seiten", zog Reinhold Kern, Chef-Forensiker bei Kroll Ontrack nüchtern Bilanz. Während der Datenklau, der Datenmissbrauch und vor allem die Erpressung mit gelöschten oder gestohlenen Daten rasant zunimmt, sind die Angriffswellen, die auf die Firewalls zurollen, noch das kleinste Problem der Forensiker. Bei ihrer Aufgabe, die Beweise eines erfolgreichen Computereinbruchs, einer Datenmanipulation oder einer Erpressung zu sichern und gerichtsverwertbar zu präsentieren, haben sie mit einem weiteren Feind zu kämpfen: Die betroffenen Opfer, die Systeme ausschalten oder gar neu starten und damit wichtige Spuren vernichten. "Durch das Fernsehen weiß jeder, wie wichtig die Spuren am Tatort sind, aber dass im Arbeitsspeicher 'Fingerabdrücke' liegen können, scheint niemand zu wissen", erklärt Hardo Hase, der die Tagung mit einem Überblick zum Stand der Dinge eröffnete.

Der nächste Feind der Spezialisten ist die Technik und hier besonders die Kapazität heutiger Datenträger, vor allem der Festplatten. Das Ziehen von schreibgeschützten Images, dazu die Images für die Spurensuche, lassen die Datensammlung schnell in den Terabyte-Bereich wachsen, wenn etwa in einem internationalen Korruptionsfall mehrere Server, Dutzende von Laptops, Digitalkameras, MP3-Player, Mobiltelefone und Datenspeicher aller Art durchwühlt werden müssen. Die Internationalität der Ermittlungen ist nach Alexander Geschonneck, leitender Sicherheitsberater von HiSolutions, eher die Regel denn die Ausnahme. Längst seien die "amerikanischen Verhältnisse" auch bei uns anzutreffen, würden Auftragsviren und -Würmer speziell für eine Firma geschrieben, werde Datenschutzgeld über das Internet erpresst, würden Botnets stundenweise für eine Handvoll Dollars gemietet. "Der Umgang mit fremden Sprachen und Zeichensätzen gehört bei uns zum Alltag, mitunter hilft der Griff zum altmodischen Lexikon", berichtete Geschonneck, Autor von Computer-Forensik. Als besondere Herausforderung der Computer-Forensik bezeichnete er die Schwierigkeiten, die Tragweite eines Angriffes frühzeitig zu erkennen und der "Ermittlungsangst" im Unternehmen richtig zu begegnen: Wenn ein Anfangsverdacht besteht und dann Mails und Logs in großem Stil durchsucht werden, werde das Innenklima einer Firma schweren Belastungen ausgesetzt.

Erfolgreich erwehrte sich Maximilian Dornseif von der RWTH Aachen der Forderungen der Forensiker nach besseren Tools. Dornseif, der mit seinem Institut nach Mannheim wechselt, berichtete in seinem Vortrag von der ersten akademischen Lehrveranstaltung zur Forensik, die mit großem Erfolg durchgeführt wurde. Er erklärte, dass es nicht Aufgabe der Universitäten sein könne, IT-Ermittler auszubilden und Tools zu entwickeln, sondern vielmehr Forschung (etwa bei den Dateisystemen oder der Analyse von Objektcode) zu betreiben. Auch seien Qualitätssicherung der forensischen Ansätze notwendig. Er machte auf den Umstand aufmerksam, dass es kaum wissenschaftliche Literatur zum Thema gibt und ärgerte sich über die Gutachten selbsternannter DV-Sachverständiger, die den Ruf der Forensik nachhaltig schädigen. Tools wie BlackLight oder der kommende Strider GhostBuster von Microsoft wurden von Wilhelm Dolle von interActive Systems vorgestellt und bewertet. Sie sollen die den Alltag der Forensiker prägende WOLF-Arbeit (Windows OnLine Forensik) vereinfachen.

Im Vergleich zur komplizierten Arbeit der Forensiker ist die Arbeit der Juristen noch komplizierter. Dies machten die Vorträge der auf IT-Recht spezialisierten Rechtsanwälte Henrik Becker und Jan-Peter Voß deutlich. Denn das Protokollieren von E-Mails und der Mitschnitt der Internetsitzungen kollidiert nicht nur mit dem Arbeitnehmerdatenschutz, sondern kann das Grundrecht auf informationelle Selbstbestimmung verletzen. Mit diesem Recht, das das Bundesverfassungsgericht mit dem Volkszählungsurteil 1984 festgeschrieben hat, sind weite Teile der Kommunikation der Privatsphäre der Mitarbeiter zugerechnet. Erst mit begründeten Verdachtsmomenten, beim Mobbing oder bei sexuell beleidigenden Angriffen kann im Einzelfall mitgeschnitten werden. Die Sache wird noch dadurch kompliziert, dass eine Firma, die die gelegentliche private Mail-Nutzung erlaubt, damit zum Telekommunikationsanbieter wird und das Fernmeldegeheimnis beachten muss. Auf der anderen Seite ist das technische Netzwerkmonitoring erlaubt. Werden diese Daten jedoch zum Erstellen von Täterprofilen benutzt, so zählt dies als verbotene Ermittlungsmethode. Wie kompliziert die Sachlage ist, mag das Detail zeigen, dass Forensiker sich strafbar machen, wenn sie bei ihrer Detektivarbeit auf Kinderpornografie stoßen und diese nicht zur Anzeige bringen, weil sie an einem anderen Fall "dran" sind.

Insgesamt zeigte die Veranstaltung des CAST-Forums, dass die Diskussion um die Möglichkeiten und Grenzen der Computer-Forensik erst angefangen hat. Mit dem Anstieg der unternehmensinternen Wirtschaftskriminalität wird ihre Bedeutung zweifellos wachsen. (Detlef Borchers) / (jk)