Forensische Spurensicherung: Fehler bei internen Untersuchungen können teuer werden
Meine Hände schwitzten, hektisch flogen meine Finger über die Tasten des Laptops, um schnell noch die forensische Software zu starten, während es sich draußen anhörte, als versuche jemand die Tür einzutreten. „Sofort aufmachen“, hörte ich jemanden rufen und mein Herz klopfte schneller. Wir waren hier doch schon so weit gekommen. Plötzlich war es draußen still. Hatten sie aufgegeben oder war es nur die Ruhe vor dem Sturm…?
Bei meiner Geschichte handelt es sich nicht um den Anfang eines abgedroschenen Actionthrillers, sie spiegelt vielmehr einen meiner ersten Einsätze als Computer Forensiker bei einer internen Untersuchung wider. Der Betriebsrat eines Automobilzulieferers war drauf und dran körperliche Gewalt anzuwenden, nur um uns vom Sichern von Daten abzuhalten. Was heute bereits einige Jahre zurückliegt, ist nur eine von vielen guten Geschichten, die ich gerne in geselliger Runde zum Besten gebe. Denn erfahrungsgemäß geht bei internen Untersuchungen eigentlich so gut wie immer etwas schief.
Interne Untersuchungen & VerSanG
Viele solcher Situationen lassen sich durch gute, vorausschauende Planung und dem richtigen Know-how vermeiden oder zumindest entschärfen. Gerade im Hinblick auf den neuen Referentenentwurf des VerSanG wird die professionelle Durchführung von internen Untersuchungen immer wichtiger. Der Strafrahmen liegt nun, wie beim Kartellrecht, bei bis zu 10% Jahresumsatzes eines Unternehmens. Eine Minderung ist jedoch durch frühzeitige und vollständige Kooperation mit den Behörden möglich: Es kann sich für Unternehmen also finanziell erheblich lohnen, gut auf interne Untersuchungen vorbereitet zu sein. Die rechtliche Einschätzung soll jedoch nicht Teil meines Beitrages sein, hierfür sind die Kollegen der Anwaltskanzleien zuständig.
Häufige Fehler bei internen Untersuchungen
Was ich aber tun möchte, ist, dem Leser über ein paar Fehler aus vergangenen Fällen berichten. In der Hoffnung, dass sich diese in Zukunft nicht wiederholen:
1. Unzureichend Daten sichern
Am Anfang einer Untersuchung weiß man in den seltensten Fällen genau in welchem Zeitraum und bei welchen Angestellten ein Compliance-Verstoß vorgefallen ist – bestenfalls liegen gewisse Hinweise vor. In einigen Fällen vergehen mehrere Monate zwischen der ersten Sammlung vermeintlicher Beweismittel und deren Durchsicht. Das ist der Fall, wenn Daten von Mitarbeitern, die ursprünglich von sekundärem Interesse waren, durch neue Erkenntnisse doch in die Untersuchung einbezogen werden. Hier besteht die Gefahr, dass in der Zwischenzeit weitere Indizien gelöscht worden sein könnten – sowohl wissentlich als auch durch bestehende Löschvorschriften. In den ersten Schritten der Untersuchung heißt es also sichern, sichern, sichern. Dies bedeutet nicht, dass die Daten das Unternehmen verlassen müssen. In „meinem“ Fall oben hat man sich im Endeffekt darauf geeinigt, dass wir die Daten zwar weiter sichern durften, diese allerdings vorerst - verschlüsselt und in Beweistüten eingeschweißt - im Safe der Rechtsabteilung verbleiben würden. Eine häufig gewählte Kompromisslösung, um alle Indizien zu sichern. Und: Datenspeicherung kostet heute sehr wenig – Daten zu verlieren kann allerdings sehr teuer werden.
2. Daten kopieren
Daten sollten bei einer internen Untersuchung nicht kopiert, sondern forensisch gesichert werden. Der Unterschied besteht darin, dass beim bekannten Kopieren bestimmte Meta-Daten – der elektronische Fingerabdruck von Dokumenten – verändert werden können. Probieren Sie es selbst aus! Kopieren Sie ein beliebiges Dokument von einem Ordner in einen anderen auf Ihrem Computer – die Kopie entspricht nicht mehr der Originaldatei. Sie erhält z.B. das Erstellungsdatum von heute.
Derartige elektronische Informationen können aber ein wichtiges Beweismittel sein, deren Veränderung nicht nur den Beweis verändert, sondern zudem die Validität aller anderen Meta-Daten (zuletzt geöffnet, Autor, zuletzt gedruckt, versandt, kopiert etc.) in Frage stellt. Zwar können in relativ simplen Fällen mit den richtigen Programmen auch interne IT Teams verlässlich Daten exportieren, gerade bei komplexen IT Landschaften, Sichern von Laptops und Handys und bei großen Datenmengen sollte jedoch besser ein ausgebildeter IT Forensiker hinzugezogen werden – dieser hilft bei der Identifikation und effizienten Sammlung von potentiell wichtigen Daten, liefert entsprechende Berichte und kann als Gutachter vor Gericht erscheinen.
3. Gelöschte Daten als Hinweisgeber
Ein weiterer, oft übersehener Teil einer Untersuchung sind die Daten, die vom Benutzer (absichtlich zur Vertuschung) gelöscht wurden. Die meisten Nutzer wissen mittlerweile, dass sie auch den Papierkorb leeren müssen, um Daten zu „löschen“. Die wenigsten wissen jedoch, dass Daten von den gängigen Betriebssystemen nicht gelöscht werden, lediglich der Speicherplatz wird zum Überschreiben freigegeben. Das kann man sich vorstellen, wie ein Buch ohne Inhaltsverzeichnis – man kann zwar nicht mehr sehen auf welcher Seite ein Kapitel beginnt, aber die Kapitel existieren noch (sind aber zum Überschreiben freigegeben). Mit den richtigen forensischen Tools – ich nenne hier EnCase und FTK Imager als zwei der gängigsten Werkzeuge – werden nicht nur die sichtbaren Dateien gesichert, sondern es wird eine 1:1 Kopie vom Original angelegt. Das bedeutet, dass auch die freigegebenen Bereiche mit kopiert werden. So kann man diese später auf verborgene Hinweise untersuchen. Man spricht hier von einer vollständigen forensischen Kopie, einem „Full Image“. Damit ist sichergestellt, dass bei einer Untersuchung der IST-Zustand zum Zeitpunkt der Datensammlung analysiert wird, auch wenn die Daten auf dem betroffenen Laptop vielleicht schon seit Monaten überschrieben sind.
4. Suchen in Outlook
Der Fehler, den ich persönlich am besten nachvollziehen kann, ist die Prüfung von E-Mails in Outlook oder anderen E-Mail-Programmen mittels der bereits vorhandenen Suchfunktion. Schließlich findet diese ja zuverlässig meine eingegebenen Schlagworte, richtig? Leider ist es nicht ganz so einfach. Diese Suchfunktionalitäten sind für den Tagesgebrauch gedacht. Sprich, um ein Dokument zu finden von dem man weiß, dass es existiert. Und nicht um Daten vollständig und verlässlich auszuwerten. So zeigt Outllook z.B. nur eine begrenzte Anzahl von Suchergebnissen an. Es zeigt auch nur die Daten an, die aktuell auf dem System verfügbar sind und verfügt über keinerlei Anzeige, ob die E-Mails überhaupt vollständig durchsuchbar („indiziert“) sind. Zudem sind die Suchmöglichkeiten gegenüber den Fähigkeiten spezieller Suchwerkzeuge, wie sie in forensischer Software zu finden sind, sehr limitiert. Kurz gesagt: Nutzen Sie die Outlook Suchfunktion nicht für Ihre interne Untersuchung, wenn diese erfolgreich werden soll. Die Suche findet weder alle Ergebnisse, noch ist sie verlässlich.
Das waren nun meine Top 4 Fehler, die es bei der Durchführung einer internen Untersuchung tunlichst zu vermeiden gilt. Ich bin überzeugt, dass uns dieses Thema in den nächsten Jahren eng begleiten wird. Denn auch wenn das Verbandsanktionsgesetz und dessen Umsetzung noch einige Zeit dauern wird, können sich Entscheidungen zur IT-Infrastruktur und Unternehmensrichtlinien, die heute getroffen werden – auch im Hinblick auf die „Zeit nach Corona“ – nachhaltig auf die Durchführung von internen Untersuchungen in der Zukunft auswirken. Wir werden in den nächsten Monaten noch weitere Beiträge zu „Do´s“ und „Don’ts“ einstellen. Natürlich können Sie uns bei Fragen immer gerne per E-Mail erreichen!