Tatort Datenmaterial

Das verlangt die DSGVO von der IT-Forensik

Im Zuge der Umsetzung der EU-Datenschutzgrundverordnung (DSGVO) werden die Methoden der IT-Forensik für Unternehmen immer wichtiger. Denn sollte es hinsichtlich möglicher Datenschutzverletzungen zur Anklage kommen, müssen gerichtsverwertbare digitale Spuren nachgewiesen werden können.

IT-Forensik: Sicherstellen von Beweisen am Tatort

Sicherstellen von Beweisen am Tatort: Ein IT-Forensiker muss dem Gericht eine vollständig abgesicherte und vor allem gerichtsverwertbare digitale Beweiskette anbieten können..

Weiße Schutzanzüge, Pinzette, Plastiktütchen. Wer bei dem Begriff IT-Forensik sofort an die jüngste Folge einer Krimiserie denkt, liegt gar nicht so falsch. Der Begriff Forensik umfasst schließlich alle Branchen, in denen Spuren krimineller Handlungen untersucht und zur Überführung eines Verdächtigen genutzt werden. So auch die der IT. Die Methoden der digitalen Forensik sind nicht neu, allerdings wird sich ihr Einsatz im Zuge der Umsetzung der EU-Datenschutzgrundverordnung sehr wahrscheinlich um ein Vielfaches potenzieren. Grund dafür sind die hohen Strafen, die die EU-weit gültige Gesetzesvorlage für die Sicherheit personenbezogener Daten ansetzt und deren Basis gerichtsverwertbare digitale Spuren bilden. Welche Herausforderungen und Hürden forensische Untersuchungen zur Realisierung der DSGVO mit sich bringen, bleibt abzuwarten.

„Bis zu 20 Millionen Euro oder bis zu vier Prozent des gesamten weltweit erzielten Jahresumsatzes im vorangegangenen Geschäftsjahr; je nachdem, welcher Wert der höhere ist.“ (Artikel 83, EU-DSGVO). Das sind die möglichen Bußgelder, mit denen Unternehmen bei Verstößen gegen die Richtlinien der DSGVO rechnen müssen. Von daher werden deutsche Gerichte künftig über das Maß eines möglichst abschreckend hohen Strafmaßes urteilen müssen. Um eine juristisch fundierte Entscheidung treffen zu können, sind die Richter auf digitale Spuren und Beweise angewiesen. Diese Aufgabe fällt der IT-Forensik zu. Ein IT-Forensiker muss dem Gericht eine vollständig abgesicherte und vor allem gerichtsverwertbare digitale Beweiskette anbieten können. Besteht die Möglichkeit eines Zweifels an dieser forensischen Arbeit, beispielsweise die Vermutung, dass Daten beim Transport manipuliert wurden, so kann ein Antrag auf Beweisverwertungsverbot gestellt werden. Das genügt, um einen möglicherweise berechtigten Vorwurf abzuschmettern.

Das Vorgehen der IT-Forensiker

Doch nicht nur Gerichte sind auf eine saubere Arbeit der IT-Forensiker angewiesen. Auch Unternehmen können von einer lückenlosen digitalen Beweiskette profitieren. Eine Geschäftsführung, die sich beispielsweise nicht sicher ist, ob ihre Mitarbeiter den gesetzten Vorgaben der Datensicherheit entsprechen, beauftragt ein IT-Forensik-Unternehmen. Dieses sichert in einem ersten Schritt das Datenmaterial durch einen IT-Forensiker. Anschließend werden die gesicherten Daten im Labor untersucht. Damit verdächtige Personen nicht in der Lage sind, Beweismittel vorab zu vernichten oder zu manipulieren, ist es nicht ungewöhnlich, dass das Material nachts oder spät am Abend durch die Forensiker kopiert wird.

Diese Kopie der relevanten Daten sollte immer der erste Schritt einer forensischen Untersuchung sein. Schließlich geht es darum, den Status quo in einem schnelllebigen Umfeld zu sichern. Die Originaldateien dürfen dabei zu keiner Zeit verändert werden. Für ein forensisch korrektes Abbild ist eine einfache Kopie in der Form von „copy und paste“ also nicht zulässig. Schließlich umfasst der normale Kopiervorgang nicht alle Daten vollumfänglich. Es geht allerdings darum, eine vollständige, exakte Kopie der Originaldaten zu bekommen. Nicht korrekt kopierte Daten bilden ein ähnliches Ausschlusskriterium für die Untersuchung wie die mögliche Manipulation der Datenspuren im forensischen Datenlabor.

Um diese Herausforderungen zu meistern, nutzen IT-Forensiker eigene Tools. Diese können auch dabei helfen, beispielsweise nach einem Datendiebstahl, Spuren zu sichern. Hier geht es dann darum, Dateien, Protokolle, oder die Netzwerkkommunikation verschiedener Geschäftsbereiche zu analysieren und jene Daten wiederherzustellen, die unlesbar gemacht werden sollten.

Die Arbeit im Labor

Es gibt viele Open-Source-Lösungen, die bei der anschließenden Arbeit im Labor hilfreich zur Seite stehen. Diverse Betriebssysteme bieten Werkzeuge und Mechanismen, um Datenmaterial nach Auffälligkeiten zu durchforsten. Linux bietet beispielsweise Loopback Device. Dazu stehen noch weitere Tools zur Verfügung, zum Beispiel zur Analyse von Dateien im Windows-Papierkorb oder zur Durchsicht von Festplatteninhalten. Als bekanntes Tool hat sich auch OSForensics etabliert. Es filtert das gesicherte Datenmaterial je nach Bedarf, lässt allerdings auch das Betrachten des Datenmaterials mithilfe externer Programme zu.

Die Carmao GmbH, ein Mitgliedsunternehmen des IT-Expertenverbundes 7Alliance, nutzt eine eigene Kombination aus Forensik-Tools, die sich in der jahrelangen Praxis bereits bewähren konnten. Welches Werkzeug letztlich zum Erfolg führt, ist aber völlig irrelevant: Entscheidend ist es, Zusammenhänge innerhalb des untersuchten Datenmaterials aufzeigen zu können. Aus diesen können IT-Experten wiederum ihre eigenen Schlüsse ziehen. Genau diese Kombination aus Kreativität und Erfahrung samt intelligenter Optimierungsmethoden sind extrem wichtig, um die Antwort auf bisher möglicherweise noch nicht gestellte Fragen finden zu können.

Übrigens nutzen auch Journalisten digital-forensische Werkzeuge, wenn ihnen digitales Material zugespielt wird. Kein Wunder – schließlich müssen auch sie Möglichkeiten finden, Informationen aus den zugesandten Materialien zu ziehen. Auf diese Art entstehen die bekannten Enthüllungsberichte. Ergebnisse, die auf Basis solcher Tools ans Tageslicht kommen sind vor Gericht allerdings nicht verwertbar.

Gesetzgebung erlegt Firmen Pflichten auf

Um die Arbeit der IT-Forensiker überhaupt erst möglich zu machen, müssen Firmen im Vorfeld verschiedene Vorkehrungen treffen. Unternehmen können beispielsweise Verdachtsmomente nicht ausschließen, wenn den Mitarbeitern gestattet ist, ihre privaten E-Mails über den dienstlichen Account auszutauschen. Den Grund hierfür liegt im Telekommunikationsgesetz: Ein IT-Forensiker darf private Daten ohne einen anwaltsgestützten Beschluss nicht einsehen. Auch das Bring-Your-Own-Device-Modell schadet heute mehr Firmen, als dass es ihnen nützt. Zwar mussten Firmen dank BYOD keine eigenen Smartphones anschaffen, doch wenn ein Unternehmen heute die korrekte Nutzung personenbezogener Daten vor Gericht nachweisen möchte, so ist der Eingriff in das Eigentum des Mitarbeiters, das Smartphone, nur mit Gerichtsbeschluss möglich.

Generell ist von Unternehmen in jedem Fall einzeln juristisch zu prüfen, wie potentielle Verdachtsmomente aus der Welt geschafft werden können. Dazu sollte der jeweilige Status quo im Hinblick auf die gesetzlichen Bedingungen von Bundesdatenschutz und Telekommunikationsgesetz überprüft werden. §32, Abs. 1 des Bundesdatenschutzgesetzes (BDSG) regelt beispielsweise, dass eine verhältnismäßige IT-forensische Analyse nur erfolgen darf, wenn ein begründeter Verdacht im Raum steht. Doch selbst dann wird es schwierig: Untersuchungen dürfen schließlich nicht den Bedingungen des Telekommunikationsgesetzes widersprechen, das u. a. die private Kommunikation des Arbeitnehmers vor Zugriffen von außen schützt.

Innerhalb dieser engen gesetzlichen Grenzen empfiehlt Carmao Unternehmen, schnellstmöglich Standards zu schaffen, die der IT-Forensik eine reibungslose Abwicklung ermöglichen. Diese „Forensik-Readiness“ kann beispielsweise über einen Betriebsrat erfolgen. Dieser kann festlegen, dass eine forensische Analyse unter Begleitung eines Datenschutzbeauftragten erfolgen darf. Tatsächlich sieht die Gesetzgebung eine Mitbestimmung des Betriebsrates vor, sobald etwa software-gestützte Analyse-Tools zur IT-Forensik eingesetzt werden. Unternehmen sollten sich bei einer Entscheidung für eine rechtzeitige forensische Vorsorge dabei immer vor Augen führen, dass ein mögliches Gerichtsverfahren über Jahre gehen kann. Ein Rahmenvertrag, abgeschlossen vor dem Eintritt des Worst Case, sorgt für den Kontakt zum geschulten IT-Experten, rüstet für eine schnellere potentiell notwendige Untersuchung und eine sichere Abwicklung des Ergebnisses.

Nach dem Inkrafttreten der DSGVO müssen Firmen ihre juristische Erfahrung allerdings erst stärken. Denn noch stehen die Gerichte den Entwicklungen der DSGVO unsicher gegenüber. Auch erhält die IT-Forensik, also das Vorgehen im Schadensfall, noch zu wenig Aufmerksamkeit, da für Firmen operative Themen im Vordergrund stehen.

Bildquelle: Thinkstock/iStock

©2018Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok