Der Diebstahl oder die unbefugte Weitergabe von unternehmensinternen Daten – häufig eine Straftat, die sowohl von externen als auch von oftmals übersehenen internen Tätern begangen wird. Diese haben es insbesondere auf Kunden-, Bank- und Finanzdaten sowie Preis und Konditionsinformationen abgesehen. Unter Umständen liegt ein Tatverdacht im Hinblick auf eine konkrete Person vor. Es werden jedoch Beweise benötigt, um sie zur Rechenschaft zu ziehen. Ein klassischer Fall für die IT-Forensik.
Der Inhalt im Überblick
Praxisfall: Ein Mitarbeiter wechselt zur Konkurrenz
Einem Mitarbeiter wird gekündigt und anschließend findet ein Arbeitsplatzwechsel zu einem unmittelbaren Konkurrenten statt. Der Mitarbeiter ist verärgert und fühlt sich unfair behandelt. Bevor er also das Unternehmen verlässt, kopiert er sich unberechtigterweise unternehmensinterne Daten, häufig Betriebs- und Geschäftsgeheimnisse, auf einen USB-Stick oder eine externe Festplatte.
In den nächsten Monaten verspürt Ihr Unternehmen einen erheblichen Umsatzverlust, da beispielsweise Ihre besagte Konkurrenz ständig die Preise unterbietet. Somit drängt sich zwangsläufig der Gedanke auf, dass ein Datendiebstahl stattgefunden hat. Im Verdacht steht der ehemalige Mitarbeiter.
Folge: Erheblicher Schaden
Laut der aktuellen KPMG e-Crime Studie 2017 beläuft sich die Schadenssumme für einen Datendiebstahl im Mittel auf bis zu 100.000 €. In den Kosten enthalten sind der eingetretene Verlust, der entgangene Gewinn, Ermittlungs- und Folgekosten sowie Bußgelder und Geldstrafen sowie ggf. Gewinnabschöpfungen.
Sind zudem personenbezogene Daten im Sinne des § 42a BDSG vom Diebstahl betroffen und drohen schwerwiegende Beeinträchtigungen für die Rechte oder schutzwürdigen Interessen der Betroffenen bzw. droht ein Risiko für die Rechte und Freiheiten der betroffenen Personen gemäß Art. 33 DSGVO, hat eine Benachrichtigung sowohl der betroffenen Personen als auch der zuständigen Datenschutzaufsichtsbehörde zu erfolgen. Damit droht ein erheblicher Imageschaden für das Unternehmen.
Ermittlung des Täters
Mit Hilfe der IT-Forensik lässt sich nachvollziehen, mit welchen Dateien der verdächtige Nutzer zuletzt interagiert hat, denn viele Interaktionen hinterlassen Spuren innerhalb des Betriebssystems. Zugleich lässt sich beispielsweise nachweisen, welche USB-Geräte zum Zeitpunkt der Interaktion an das System angeschlossen waren. Aus diesen Informationen kann unter Umständen geschlussfolgert werden, welche Dateien vom Tatverdächtigen entwendet wurden. Ist das Speichermedium sogar noch vorhanden, ist es faktisch also bei einem Diebstahlsversuch geblieben, so lässt sich der Kopiervorgang eindeutig rekonstruieren.
Auch der Arbeitsspeicher kann möglicherweise entsprechende Spuren aufweisen, die den Datendiebstahl untermauern. Erfolgte der Diebstahl hingegen über das Netz (z.B. Versand per E-Mail), so lassen sich gegebenenfalls gleichsam entsprechende Spuren finden. Dabei kann es sich beispielsweise um Spuren im Browser, im E-Mail-Client oder im Cache des Proxy-Rechners handeln. Auf diese Weise wird im Nachhinein der Schaden minimiert, da der ermittelte Täter schließlich zur Rechenschaft gezogen werden kann.
Bei der Ermittlung durch einen privaten IT-Forensiker ist darauf zu achten, die rechtlichen Grenzen der Tätigkeit nicht zu überschreiten, damit dieser sich nicht strafbar macht.
Soweit klar, aber Spuren lassen sich gerade hier besonders leicht fälschen bzw falsche Fährten legen. Wenn es sich also nicht um eine einmalige Tat handelt und der Täter nicht über viel Fachwissen verfügt, dann mag die Forensik zum Ziel führen. In allen anderen Fällen ist das sicher nicht so einfach. Siehe auch aktuelle Ereignisse im Zusammenhang mit „die Russen haben die USA, Frankreich, den Reichstag usw. gehackt“. Beweise stehen aus und es könnte auch jeder andere gewesen sein.
Untersuchungen der IT-Forensik sind in den meisten Fällen zielführend. Der Täter muss über viel Fachwissen verfügen, um Spuren derart verfälschen zu können. Das stellt allerdings einen Einzelfall dar und entspricht im Normalfall nicht den Kenntnissen der im Artikel beschriebenen Täter.
Der Schwierigkeitsgrad einen Täter zu identifizieren ist natürlich von Fall zu Fall unterschiedlich und hängt von der Expertise der Täter ab. Es ist also davon auszugehen, dass die digitale Spurensuche bei einem Hacking-Angriff auf ein Land deutlich umfangreicher ist, da hier meist ein Verbund von hochqualifizierten Hackern hinter steht.
„…beläuft sich die Schadenssumme für einen Datendiebstahl im Mittel auf bis zu 100.000 €.“
Was ist gemeint? „Im Mittel“ also durchschnittlich? Oder „bis zu“ also maximal? Aus Statistiken und Untersuchungen brauchbare und belastbare Informationen herauszulesen ist schon schwer, solche Formulierungen machen es nicht leichter.
Laut der aktuellen KPMG e-Crime Studie belaufen sich drei Viertel der Schadenssummen, die durch „Datendiebstahl“ verursacht werden auf bis zu (maximal) 100.000 €. Allerdings kann die Schadenssumme in einigen Fällen geringer und in anderen Fällen auch höher ausfallen.
KPMG hat hierzu 5 Kategorien definiert: Niedrig (unter 10.000 Euro), Mittel (10.000 bis 99.999 Euro), Hoch (100.000 bis 999.999 Euro), Sehr hoch (1 Mio. oder mehr) und keine Angaben.
Wir arbeiten im System auf einem Server, Mitarbeiter haben aber auch lokal Daten gespeichert.
Die Frage ist jetzt, kann ein Upload-Vorgang vom Server zu einer File-Sharing-Plattform nur lokal oder auch auf dem Server nachvollzogen werden?
Die Frage kann pauschal nicht beantwortet werden. Dies ist generell Abhängig von vielen Faktoren. Was ist das für ein Server bzw. welches Betriebssystem wird verwendet. Wie erfolgt der Upload zu einer Plattform und welche wird verwendet? Ein Upload kann z.B. via eigener Software erfolgen, oder es wird ein Remoteshare in das Dateisystem eingehängt. Eine Erörterung dieser Frage mit allen Details wird aber den Rahmen dieses Blogs sprengen.