Interview mit Robin Roeder, Digitaler Forensiker (Nordhorn)
Die Digitalbranche spezialisiert und differenziert sich immer mehr. Längst gibt es Programmierer, Datenbank-, Netzwerk-, Firewall-Administratoren und so weiter. Relativ jung ist der Beruf des Digitalen Forensikers. In Abgrenzung von digitalen Sicherheitsspezialisten ist dieser eine Art digitaler Kriminologe, der dezidiert nach Spuren digitaler Angriffe sucht.
WEM: Herr Roeder, was genau ist Digitale Forensik?
Robin Roeder: IT-Forensik ist nichts anderes, als das genaue Untersuchen eines Tatortes in der Kriminaltechnik. Nur, dass der Tatort in diesem Fall ein Computer beziehungsweise ein Firmennetzwerk ist. Als IT-Forensiker untersuche ich den „Tatort“ auf Indizien und Beweise. Dabei versuche ich, den Tathergang zu rekonstruieren, was wann wo wie und von wem Kriminelles getan wurde.
WEM: Was können Sie speziell, was Digitalspezialisten weniger oder gar nicht können?
Robin Roeder: Die Spezialisierung auf die digitale Spurensuche ist ein komplexes Feld. Komplex in dem Sinne, dass man sich mit jedem Betriebssystem auskennen und jede Möglichkeit des Datenflusses zumindest im Allgemeinen verstanden und abbilden können muss. Spezialisten aus der IT kennen sich ausgezeichnet in ihrem Segment aus, erhalten aber durch diese tägliche Arbeit an ein und derselben Sache einen gewissen Tunnelblick. Da Geschäftsführer betroffener Unternehmen davon ausgehen müssen, dass die Mitarbeiter, die mit der Aufklärung eines Falls betreut werden, ebenfalls Teil des Komplotts sein können, empfiehlt es sich, den Kreis der Eingeweihten möglichst klein zu halten und einen externen IT-Forensiker hinzuzuziehen.
WEM: Warum bei Wirtschaftsspionage oder ähnlichem nicht gleich die Polizei rufen?
Robin Roeder: Die Abteilungen der Kriminalpolizei im Bezug mit der Datenverarbeitung sind recht klein und somit überlastet. Dementsprechend wird erfahrungsgemäß auch ermittelt – meist handelt es sich bei den Beamten um Quereinsteiger mit einer Affinität zur Computertechnik, denen aber in der Tiefe Kenntnisse fehlen. Dementsprechend mager fallen dann häufig die Ergebnisse aus. Ein IT-Forensiker kostet natürlich Geld, liefert aber frühestmöglich in digitaler Form wichtige Beweise und Indizien zu einer Wirtschaftsspionage.
Man muss sich fragen, auf welchem Stapel der Kriminalpolizei der Fall landen soll – auf den, auf denen Anschuldigungen und Vermutungen liegen oder auf den, wo bereits feststeht, dass eine Straftat vorliegt und eine Firmenexistenz bedroht ist. Hier entsteht also eine Dringlichkeit bei den Behörden um den Fall schnellstmöglich abzuschließen, sodass sich die Zeit der kriminalpolizeilichen Ermittlung auf ein Minimum beschränkt. Eine durch die Staatsanwaltschaft ausgesprochene Dringlichkeit führt zu direkten Hausdurchsuchungen.
Schlussendlich spart ein solches Vorgehen dem geschädigten Unternehmen die Abstellung der eigenen Mitarbeiter für die Ermittlung und Vorbereitung vieler Anwaltsschreiben mit der Kriminalpolizei und der Staatsanwaltschaft und somit sehr viel Geld und verkürzt gleichzeitig die Zeit bis zum Gerichtstermin um mehrere Monate. Das sind Monate, in der der Täter die Daten nicht weiterhin verwenden und somit dem Unternehmen keinen weiteren Schaden mehr zuführen kann.
WEM: Geben Sie uns konkrete Beispiele für digitale Kriminalität.
Robin Roeder: Beispielsweise ein gerade abgeschlossener Fall, bei dem ein Mitarbeiter ein Unternehmen verlassen hat, um ein Konkurrenzunternehmen aufzubauen. Kurze Zeit später wurde bekannt, dass dieser allen Kunden des geschädigten Unternehmens Mails schickte und die Entscheider bei den Projekten kontaktierte. Das Unternehmen beauftragte mich, herauszufinden, ob er Daten aus dem Unternehmen entwendet hatte. Ich konnte feststellen, dass er die komplette Kunden- und Projektdatenbank entwendet hatte und anscheinend mit diesen nun hausieren ging. Der Täter ist mittlerweile strafrechtlich verurteilt und kann den Posten eines Geschäftsführers nicht mehr ausüben.
In einem weiteren Fall ging es um einen Preiskampf zweier Unternehmen. Ein noch vor kurzem unbedeutendes Unternehmen unterbreitete plötzlich Angebote, die stets knapp unter Preisen des geschädigten Unternehmens lagen. Dabei handelte es sich also um Informationen, die er nicht hätte haben können. Es stellte sich heraus, dass er einen Mitarbeiter im Unternehmen bestach, der ihn mit Informationen zum aktuellen Projektgeschäft versorgt hat. Derzeit läuft das aktuelle Zivilverfahren, in dem es um mehrere Millionen Euro Schadensersatz durch Gewinnausfälle geht.
Ein letztes Beispiel: Bei einem Hackerangriff wurde die Internetpräsenz eines Unternehmens gelöscht. Sobald die Internetseite wiederhergestellt wurde, begann auch direkt der nächste Angriff und das Spiel begann erneut. Die IT- Forensik konnte durch Auslesen der Paketdaten der Internetserver nach kurzer Zeit feststellen, dass es sich um einen deutschen Hacker handelte, der sich aus Langeweile potenzielle Opfer suchte um deren Internetseiten lahm zu legen. In diesem Fall einigte man sich außergerichtlich.
WEM: Wie aufwändig ist durchschnittlich eine Forensik-Analyse?
Robin Roeder: Zum einen ist es wichtig, ob es ein interner oder externer Angriff war und wie viele Gerätschaften forensisch unter-sucht werden müssen. Bei internen Angriffen sind es meist zwei bis drei Geräte, die durchleuchtet werden müssen. Ein Server, ein Client-Computer und gegebenenfalls ein Smartphone sind der Standard. Eine Untersuchung der gespiegelten Daten dauert hier circa drei bis fünf Tage, je nach Datenvolumen. Bei externen Angriffen kommt es darauf an, ob das Vorgehen des Hackers beobachtet oder ob der Hacking-Vorgang unterbunden werden soll. Das Unterbinden und Identifizieren der Sicherheitslücken sowie das Schließen derer dauert circa zwei Tage. Die Beobachtung kann sich je nachdem lange ziehen. Da kommt es auf die „Krümel“ an, die uns der Hacker als Spur hinterlässt. WEM: Herr Roeder, vielen Dank für das Gespräch.
(Erschienen im Weser-Ems-Manager Magazin 03/2016)