Die Möglichkeiten der digitalen Forensik für Unternehmen Daten aus zerstörter Technik gewinnen

Von Morgan Alexander

Anbieter zum Thema

Der Albtraum aller Vorgesetzten ist es, das Gefühl zu haben, dass Mitarbeiter Daten an die Konkurrenz verkaufen oder den Rechner im Büro für illegale Aktivitäten missbrauchen. Und dann fehlen Daten und Geräte sind beschädigt. Was nun?

Digitale Forensik sollte als fester Bestandteil in der IT-Sicherheit und auch im Bereich Human Ressources gesehen werden und besonders bei Compliance-Fällen regelmäßig zum Einsatz kommen.
Digitale Forensik sollte als fester Bestandteil in der IT-Sicherheit und auch im Bereich Human Ressources gesehen werden und besonders bei Compliance-Fällen regelmäßig zum Einsatz kommen.
(Bild: BillionPhotos.com - stock.adobe.com )

Es klingt pauschal und unglaubwürdig, aber selbst, wenn ein Gerät in Gänze zerstört ist, lassen sich die allermeisten Daten wiederherstellen. Digital Forensic Investigators verwenden eine Vielzahl bewährter Werkzeuge und Techniken, um gelöschte oder überschriebene Daten wiederherzustellen. Außerdem verfügen sie über Fachwissen beim Auffinden digitaler Artefakte, die bei normalen IT-Profis und -Prozessen verloren gehen oder übersehen werden würden. Die digitale Forensik kann nachweisen, wann externe Speichermedien an den Computer angeschlossen wurden und wie sich die kopierten oder übertragenen Dateien bewegt haben. Auch formatierte Geräte oder gelöschte Dateien können mit Hilfe digitalen Forensik-Verfahren wiederhergestellt werden. Die digitale Forensik ist nicht nur auf Computer ausgerichtet, fast jedes digitale Gerät kann wichtige Daten enthalten, sei es in stets digitalem werdendem Auto, selbstverständlich aber auch über Smartphones und Smartwatches.

Wie können diese Daten gerettet werden?

Wahrscheinlich haben die meisten, welche versuchen sich einen digitalen Forensiker vorzustellen folgendes Bild vor sich: klinischer Raum, auf einem Tisch liegen geordnet Einzelteile von Laptops, Rechnern und Smartphones, nach und nach wird eines der Objekte an Kabel oder Steckverbindungen angeschlossen und auf einem Bildschirm werden dann die wichtigsten Daten angezeigt. Wie sich alle denken können, ist es nicht so einfach. Digitale Forensik gleicht der Suche nach der Nadel im Heuhaufen. Große Datenmengen wie Dokumente und E-Mails können schnell wiedergefunden und hergestellt werden. Die Herausforderung ist es dann auf einem Gerät die eine gelöschte Mail, den einen gelöschten Anruf oder die eine gelöschte SMS zu finden. Experten für digitale Forensik unterstützen IT-/Cybersicherheitsabteilungen nahtlos bei der Reaktion auf Vorfälle und der Datensicherung. Sie tauchen tief in digitale Angriffe ein und finden bisher unbekannte Schwachstellen in der digitalen Infrastruktur. Experten für digitale Forensik sind ein leistungsfähiges Instrument für die Personalabteilung bei internen Untersuchungen und dem Ausscheiden von Mitarbeitern. Ein einfaches Verfahren zur Erstellung einer digitalen forensischen Kopie der Firmengeräte eines ausscheidenden Mitarbeiters kann einem Unternehmen langfristig Zeit und Geld sparen. In Fällen von gestohlenen Unternehmensdaten haben Unternehmen oft schon alle Beweise für ein Fehlverhalten gelöscht oder verloren, lange bevor ein Dieb entdeckt wird. Digitale forensische Ermittler können Hand in Hand mit technisch nicht versierten Personen arbeiten, um ihnen alle schriftlichen Antworten zu liefern.

Wie digitale Forensik einen Millionenverlust verhinderte: ein Beispiel aus der Praxis

Ende 2021 erreichte die Quantum Cyber Lab AG der Hilferuf eines mehr als 2.500 beschäftigendes, europaweit-operierendem Unternehmen aus der Automobilbranche. Was war passiert? Ein langjähriger Mitarbeiter hatte das Unternehmen verlassen. Und warum wurde dieser Umstand zum Problem? Hier müssen wir ausholen, der Mitarbeiter, welcher die betroffene Firma verließ, hatte sich Intern auf eine höhere Stelle innerhalb des Unternehmens beworben, es folgten, wie üblich, mehrere Bewerbungsrunden mit dem Resultat, dass sich die Firma gegen den internen Kandidaten entscheid und für den externen Kandidat. Nach dem diese Entscheidung gegen den internen Kandidaten getroffen war, reichte dieser seine Kündigung ein und unterschrieb zeitnah bei der Konkurrenz. So weit sind das Verhalten und der Verlust des Mitarbeiters ärgerlich, aber seine Entscheidung wohl für einige nachvollziehbar. Und bisher bewegte sich alles in gesetzlichen Rahmen. Das änderte sich aber am letzten Arbeitstag des Mitarbeiters. An diesem Tag reichten mehr als ein Dutzend Mitarbeiter ebenfalls ihre Kündigungen ein, darunter waren auch Leiter wichtiger Abteilungen oder Projekte. Prekärer wurde der Fakt dadurch, dass alle Mitarbeiter dem ehemaligen Kollegen zum gleichen Kontrahenten folgten.

Daraufhin schaltete die Kanzlei, welche die Firma vertrat und nach wie vor vertritt, die QUANTUM ein und baten diese die Geräte, Dienst-Smartphone, Laptop, der verlassenden Mitarbeiter digital forensisch zu untersuchen. Schnell wurde klar, dass diese sich dazu verabredet hatten sich dem Mitbewerber anzuschließen und auch das Datum der Kündigung wurde klar kommuniziert. Die forensische Untersuchung förderte allerdings etwas anderes zu Tage, was besorgniserregender war. Nämlich wurden in viele Geräte nicht-autorisierte USB-Sticks eingeführt, sich in die Systeme eingeloggt, dort gezielt nach Dateien gesucht und diese schließlich auf USB-Sticks gezogen. All dies geschah, wohl gemerkt, nach dem das Unternehmen die Mitarbeiter aufgefordert hatte, ihre Geräte abzuschalten und bald an die Firma zurückzuübereignen. Die Frage, die sich nun stellt, warum reagierte das Sicherheitsprogramm nicht und alarmierte den Systemadministrator? Wäre es ein Angriff von außen gewesen, heißt jemand, der extern der Firma wäre, hätte das Systeme umfassende Protokolle ausgeführt und hätte gewusst, wie es damit umzugehen hat, allerdings rechnete das System und auch die Geschäftsleitung nicht mit der kriminellen Energie der ehemaligen Mitarbeiter, welche dadurch zu Innentätern wurden, und welchen Eifer diese versuchten ihrer langjährigen Anstellung schaden wollten. Allerdings kannte die destruktive Kraft kein Ende und auf einem, von dem Mitarbeiter, zurückgesetzten Smartphone taten sich weitere Abgründe auf: dieser hatte sich Zugriff zu Dokumenten verschafft, für die er keine Freigabe hatte. Er fotografierte die Unterlagen und sendete diese ohne Umschweife an den Mitbewerber, welcher die verlassenden Mitarbeiter aufnahm.

Ein Fazit: unter den zahlreich entwendeten Dateien befanden sich umfassende Bau- und Modellpläne von schon in Benutzung befindlichen Objekten und von geplanten, Arbeitsverträge, Vertragsdetails von Zulieferern, Kundendaten, sowie eine Übersicht, welcher Mitarbeiter über welche Freigabe verfügt. Durch Hilfe der digitalen Forensik kann man die Täter zuordnen, kann jedem einzelnen dieser Menschen die von ihn gestohlen Daten zuordnen und sie dafür zur Verantwortung ziehen. Die Zusammenfassung und Auflistung wurden an Staatsanwalt und Polizei übergeben. Der Wert der Daten wird auf einen mittleren bis hohen Millionenbetrag geschätzt, wären diese in die Hände des anderen Unternehmens gefallen, hätte es wohl dazu geführt, dass das Unternehmen in eine existenzielle Krise gefallen wäre und möglicherweise die Produktion und das Geschäft hätte einstellen müssen.

Wie man sieht, sollte digitale Forensik als fester Bestandteil besonders in der Infromation Security, aber auch im Bereich Human Ressources gesehen werden und besonders bei Compliance-Fällen regelmäßig zum Einsatz kommen.

Über den Autor: Morgan Alexander ist Leiter der Cyber-Forensik bei der QUANTUM cyber lab AG. Der gebürtige US-Amerikaner arbeitete mehr als neunzehn Jahre für das US-Verteidigungsministerium als Cryptologic Technician, Intelligent Analyst und Systemadministrator. Seit 2021 ist er bei der QUANTUM cyber lab AG mit Sitz im württembergischen Schorndorf tätig und leitet dort den Bereich Digitale Forensik.

(ID:48361717)