Interview mit Robin Roeder, Digitaler Forensiker (Nordhorn)

Die Di­gi­talbran­che spe­zia­li­siert und dif­fe­ren­ziert si­ch im­mer mehr. Längst gibt es Pro­gram­mie­rer, Datenbank-, Netzwerk-, Firewall-Administratoren und so wei­ter. Re­la­tiv jung ist der Be­ruf des Di­gi­ta­len Fo­ren­si­kers. In Ab­gren­zung von di­gi­ta­len Si­cher­heits­spe­zia­lis­ten ist die­ser ei­ne Art di­gi­ta­ler Kri­mi­no­lo­ge, der de­zi­diert nach Spu­ren di­gi­ta­ler An­grif­fe sucht.

WEM: Herr Roeder, was genau ist Digitale Forensik?

Ro­bin Ro­eder: IT-Forensik ist nichts an­de­res, als das ge­naue Un­ter­su­chen ei­nes Tat­or­tes in der Kri­mi­nal­tech­nik. Nur, dass der Tat­ort in die­sem Fall ein Com­pu­ter be­zie­hungs­wei­se ein Fir­men­netz­werk ist. Als IT-Forensiker un­ter­su­che ich den „Tat­ort“ auf In­di­zi­en und Be­wei­se. Da­bei ver­su­che ich, den Tat­her­gang zu re­kon­stru­ie­ren, was wann wo wie und von wem Kri­mi­nel­les ge­tan wur­de.

WEM: Was können Sie speziell, was Digitalspezialisten weniger oder gar nicht können?

Ro­bin Ro­eder: Die Spe­zia­li­sie­rung auf die di­gi­ta­le Spu­ren­su­che ist ein kom­ple­xes Feld. Kom­plex in dem Sin­ne, dass man si­ch mit je­dem Be­triebs­sys­tem aus­ken­nen und je­de Mög­lich­keit des Da­ten­flus­ses zu­min­dest im All­ge­mei­nen ver­stan­den und ab­bil­den kön­nen muss. Spe­zia­lis­ten aus der IT ken­nen si­ch aus­ge­zeich­net in ih­rem Seg­ment aus, er­hal­ten aber durch die­se täg­li­che Ar­beit an ein und der­sel­ben Sa­che ei­nen ge­wis­sen Tun­nel­bli­ck. Da Ge­schäfts­füh­rer be­trof­fe­ner Un­ter­neh­men da­von aus­ge­hen müs­sen, dass die Mit­ar­bei­ter, die mit der Auf­klä­rung ei­nes Falls be­treut wer­den, eben­falls Teil des Kom­plotts sein kön­nen, emp­fiehlt es si­ch, den Kreis der Ein­ge­weih­ten mög­lichst klein zu hal­ten und ei­nen ex­ter­nen IT-Forensiker hin­zu­zu­zie­hen.

WEM: Warum bei Wirtschaftsspionage oder ähnlichem nicht gleich die Polizei rufen?

Ro­bin Ro­eder: Die Ab­tei­lun­gen der Kri­mi­nal­po­li­zei im Be­zug mit der Da­ten­ver­ar­bei­tung sind recht klein und so­mit über­las­tet. Dem­entspre­chend wird er­fah­rungs­ge­mäß auch er­mit­telt – meist han­delt es si­ch bei den Be­am­ten um Quer­ein­stei­ger mit ei­ner Af­fi­ni­tät zur Com­pu­ter­tech­nik, de­nen aber in der Tie­fe Kennt­nis­se feh­len. Dem­entspre­chend ma­ger fal­len dann häu­fig die Er­geb­nis­se aus. Ein IT-Forensiker kos­tet na­tür­li­ch Geld, lie­fert aber frü­hest­mög­li­ch in di­gi­ta­ler Form wich­ti­ge Be­wei­se und In­di­zi­en zu ei­ner Wirt­schafts­spio­na­ge.

Man muss si­ch fra­gen, auf wel­chem Sta­pel der Kri­mi­nal­po­li­zei der Fall lan­den soll – auf den, auf de­nen An­schul­di­gun­gen und Ver­mu­tun­gen lie­gen oder auf den, wo be­reits fest­steht, dass ei­ne Straf­tat vor­liegt und ei­ne Fir­men­e­xis­tenz be­droht ist. Hier ent­steht al­so ei­ne Dring­lich­keit bei den Be­hör­den um den Fall schnellst­mög­li­ch ab­zu­schlie­ßen, so­dass si­ch die Zeit der kri­mi­nal­po­li­zei­li­chen Er­mitt­lung auf ein Mi­ni­mum be­schränkt. Ei­ne durch die Staats­an­walt­schaft aus­ge­spro­che­ne Dring­lich­keit führt zu di­rek­ten Haus­durch­su­chun­gen.

Schluss­end­li­ch spart ein sol­ches Vor­ge­hen dem ge­schä­dig­ten Un­ter­neh­men die Ab­stel­lung der ei­ge­nen Mit­ar­bei­ter für die Er­mitt­lung und Vor­be­rei­tung vie­ler An­walts­schrei­ben mit der Kri­mi­nal­po­li­zei und der Staats­an­walt­schaft und so­mit sehr viel Geld und ver­kürzt gleich­zei­tig die Zeit bis zum Ge­richts­ter­min um meh­re­re Mo­na­te. Das sind Mo­na­te, in der der Tä­ter die Da­ten nicht wei­ter­hin ver­wen­den und so­mit dem Un­ter­neh­men kei­nen wei­te­ren Scha­den mehr zu­füh­ren kann.

WEM: Geben Sie uns konkrete Beispiele für digitale Kriminalität.

Ro­bin Ro­eder: Bei­spiels­wei­se ein ge­ra­de ab­ge­schlos­se­ner Fall, bei dem ein Mit­ar­bei­ter ein Un­ter­neh­men ver­las­sen hat, um ein Kon­kur­renz­un­ter­neh­men auf­zu­bau­en. Kur­ze Zeit spä­ter wur­de be­kannt, dass die­ser al­len Kun­den des ge­schä­dig­ten Un­ter­neh­mens Mails schick­te und die Ent­schei­der bei den Pro­jek­ten kon­tak­tier­te. Das Un­ter­neh­men be­auf­trag­te mi­ch, her­aus­zu­fin­den, ob er Da­ten aus dem Un­ter­neh­men ent­wen­det hat­te. Ich konn­te fest­stel­len, dass er die kom­plet­te Kunden- und Pro­jekt­da­ten­bank ent­wen­det hat­te und an­schei­nend mit die­sen nun hau­sie­ren ging. Der Tä­ter ist mitt­ler­wei­le straf­recht­li­ch ver­ur­teilt und kann den Pos­ten ei­nes Ge­schäfts­füh­rers nicht mehr aus­üben.

In ei­nem wei­te­ren Fall ging es um ei­nen Preis­kampf zwei­er Un­ter­neh­men. Ein no­ch vor kur­zem un­be­deu­ten­des Un­ter­neh­men un­ter­brei­te­te plötz­li­ch An­ge­bo­te, die stets knapp un­ter Prei­sen des ge­schä­dig­ten Un­ter­neh­mens la­gen. Da­bei han­del­te es si­ch al­so um In­for­ma­tio­nen, die er nicht hät­te ha­ben kön­nen. Es stell­te si­ch her­aus, dass er ei­nen Mit­ar­bei­ter im Un­ter­neh­men be­stach, der ihn mit In­for­ma­tio­nen zum ak­tu­el­len Pro­jekt­ge­schäft ver­sorgt hat. Der­zeit läuft das ak­tu­el­le Zi­vil­ver­fah­ren, in dem es um meh­re­re Mil­lio­nen Eu­ro Scha­dens­er­satz durch Ge­winn­aus­fäl­le geht.

Ein letz­tes Bei­spiel: Bei ei­nem Ha­cker­an­griff wur­de die In­ter­net­prä­senz ei­nes Un­ter­neh­mens ge­löscht. So­bald die In­ter­net­sei­te wie­der­her­ge­stellt wur­de, be­gann auch di­rekt der nächs­te An­griff und das Spiel be­gann er­neut. Die IT- Fo­ren­sik konn­te durch Aus­le­sen der Pa­ket­da­ten der In­ter­net­ser­ver nach kur­zer Zeit fest­stel­len, dass es si­ch um ei­nen deut­schen Ha­cker han­del­te, der si­ch aus Lan­ge­wei­le po­ten­zi­el­le Op­fer such­te um de­ren In­ter­net­sei­ten lahm zu le­gen. In die­sem Fall ei­nig­te man si­ch au­ßer­ge­richt­li­ch.

WEM: Wie aufwändig ist durchschnittlich eine Forensik-Analyse?

Ro­bin Ro­eder: Zum ei­nen ist es wich­tig, ob es ein in­ter­ner oder ex­ter­ner An­griff war und wie vie­le Ge­rät­schaf­ten fo­ren­si­sch unter-sucht wer­den müs­sen. Bei in­ter­nen An­grif­fen sind es meist zwei bis drei Ge­rä­te, die durch­leuch­tet wer­den müs­sen. Ein Ser­ver, ein Client-Computer und ge­ge­be­nen­falls ein Smart­pho­ne sind der Stan­dard. Ei­ne Un­ter­su­chung der ge­spie­gel­ten Da­ten dau­ert hier cir­ca drei bis fünf Ta­ge, je nach Da­ten­vo­lu­men. Bei ex­ter­nen An­grif­fen kommt es dar­auf an, ob das Vor­ge­hen des Ha­ckers be­ob­ach­tet oder ob der Hacking-Vorgang un­ter­bun­den wer­den soll. Das Un­ter­bin­den und Iden­ti­fi­zie­ren der Si­cher­heits­lü­cken so­wie das Schlie­ßen de­rer dau­ert cir­ca zwei Ta­ge. Die Be­ob­ach­tung kann si­ch je nach­dem lan­ge zie­hen. Da kommt es auf die „Krü­mel“ an, die uns der Ha­cker als Spur hin­ter­lässt. WEM: Herr Ro­eder, vie­len Dank für das Ge­spräch.

(Er­schie­nen im Weser-Ems-Manager Ma­ga­zin 03/2016)