Sicherheit von Computern und Netzwerken: 

netzeitung.deAnalysiere das Unbekannte!

01.12.2008

 Herausgeber: netzeitung.de

Sicherheit von Computern und Netzwerken 

Lupe Analysiere das Unbekannte!

Datendiebe brechen in IT-Systeme ein und verkaufen Informationen. Wie können solche Straftaten erkannt und verfolgt werden? Regine Sylvester sprach mit dem Computer-Forensiker Alexander Geschonneck - Teil 1 des Interviews.

Wie beginnt ein Fall für einen Computer-Forensiker? Ruft Sie jemand an? Herr Geschonneck, wir haben ein Problem!

Alexander Geschonneck: Ja, in der Regel wird angerufen: Wir bemerken Auffälligkeiten. Etwas ist gestohlen worden. Jemand hat an den Finanzbuchhaltungsdaten manipuliert. Helfen Sie uns bitte. Kommen Sie schnell vorbei! So fängt es an. Meistens sind die Leute aufgeregt.

Und was soll der aufgeregte Mensch machen? Den Computer abschalten? Oder alles lassen, wie es ist?

Geschonneck: Alles so lassen. Nicht Detektiv spielen. Es kommt auch darauf an, wie lange der Vorfall zurückliegt. Je früher man am Tatort ist - wir sagen tatsächlich Tatort - desto schneller kann man etwas feststellen.

Was haben Sie in Ihrer Aktentasche, wenn Sie auf solche Dienstreisen gehen?

Geschonneck: Kabel, Notebooks, Festplatten. Und andere Gerätschaften.

«Diskretion ist selbstverständlich»
Bei der Computer-Forensik geht es um die Aufklärung von Spionage, Veruntreuung, Diebstahl von Daten, Bestechung, Erpressung, Steuerbetrug unter Einsatz von Computern. Fehlt etwas?

Geschonneck: Es gibt eine klassische Formulierung: Zur Computer-Kriminalität zählt alles, was durch den Einsatz eines Computers die Tat ermöglicht, die Aufdeckung verhindert oder das Vorgehen des Täters verschleiert. Wir erweitern das heute und sagen: Alles, was rechtswidrig oder sozial schädlich ist und durch den Einsatz von Computern ermöglicht werden kann.

Bitten Ihre Auftraggeber um Diskretion?

Geschonneck: Diskretion ist selbstverständlich. Ich werde beauftragt, weil ich unabhängig bin und zur Verschwiegenheit verpflichtet.

Haben Sie Privatpersonen als Kunden?

Geschonneck: Ganz selten. In der Regel beauftragen mich Unternehmen.

Was machen Sie am Tatort?

Geschonneck: Ich sichere zuerst die Daten. Dann folgt die Analyse des Unbekannten. Wir haben ein Knäuel, wir müssen den Faden finden. Aber wo sollen wir ziehen? Jedes Unternehmen ist unterschiedlich. Was bedeutet es zum Beispiel, wenn Buchhaltungsdaten verändert wurden? Wer könnte Spuren verwischen? Wie haben Tatverdächtige miteinander kommuniziert?

«Kein Vorgang, der ohne Computer stattfindet»
Sind Sie auf sich allein gestellt?

Geschonneck: Wenn viel zu tun ist, arbeiten wir im Team. Zu meinem Team gehört ein Dutzend IT-Spezialisten. Die sitzen in Deutschland, in der Schweiz und in Österreich. Die Gesamtabteilung nennt sich Fraud-Investigation, das heißt Betrugsermittlung in der Wirtschaft, und besteht aus 60 Mitarbeitern, weltweit zirka 1000. Das gesamte Unternehmen Ernst&Young hat etwa 130.000 Mitarbeiter. Weltweit.

Was macht Ihre Abteilung genau?

Geschonneck: Wir kümmern uns um Wirtschaftskriminalität und sind in eine Betrugsermittlungseinheit eingebettet - Wirtschaftsprüfer, Anwälte, Steuerberater. Dazu gehören auch Ex-Polizisten, weil sie Ermittlungserfahrung besitzen. Sie reden mit Betroffenen, mit Verdächtigen, mit allen, die Zugang hatten. Heutzutage läuft nichts ohne Computer. Auch in der Redaktion der «Berliner Zeitung» gibt es keinen Vorgang, der ohne Computer stattfindet. Sei es ein Telefon, sei es Ihr Diktiergerät.

Deshalb haben wir ja Sicherheitsmaßnahmen. Ich darf in meinen Computer keine CD einlegen, damit sich kein Virus einnistet. Wir haben Abwehrsysteme gegen Hacker, damit niemand in das Redaktionssystem einbrechen kann. Glauben Sie, dass in der Berliner Zeitung etwas passieren könnte?

Geschonneck: Es könnte - rein hypothetisch - festgestellt werden, dass, durch Manipulationen im System, bei der Abrechnung der freien Mitarbeiter Honorar an erfundene Personen geflossen ist. Oder jemand hat sich Zugriff auf die E-Mails der Geschäftsführung verschafft, um strategische Pläne herauszufinden. Solche Dinge könnten vorkommen.

Erfahrungsgemäß wird alles Rechtswidrige, was mit Computern denkbar ist, auch gemacht. Das Verbrechen folgt den Möglichkeiten. Wenn ein Verbrecher mit einem schnelleren Auto vor der Polizei abhauen kann, wird er kein langsames nehmen. So ist es eben auch mit Computern.

Die Aufklärungsangst
Gibt es sichere Unternehmen?

Geschonneck: Niemand kann ganz sicher sein. Man muss mit Risiken leben und lernen, damit umzugehen.

Dazu kommt, dass die globale Vernetzung unsere Welt anfälliger gemacht hat.

Geschonneck: Dadurch kann ein Problem schneller über die Kontinente reisen. Computersysteme sind von überall aus angreifbar. Auch die Geschwindigkeit der News ist ein Problem. Stellen wir uns einen Einbruch in den Computer des Berliner Verlags vor, Vandalen haben die Homepage verändert: Die Information, bei denen ist eingebrochen worden, ist eine News, und sie landet als Tickermeldung bei anderen Blättern. Das könnte der eigentliche Schaden sein. Ein Imageschaden.

Daher die so genannte Aufklärungsangst?

Geschonneck: Ja. Betroffene Unternehmen haben Angst, sich an die Polizei zu wenden, weil dann eine Öffentlichwirksamkeit entsteht. Vielleicht macht sie den Schaden noch größer. Deshalb kommen sie zu uns. Wir helfen unseren Mandanten zu entscheiden, ob sie zur Polizei gehen sollen. Wenn Straftaten vorliegen, sollten die Unternehmen die Polizei informieren.

Wie erkennt ein Unternehmer, dass es einen Angriff auf seine Daten gegeben hat? Dass ein Dokument einfach weg ist, das würde vielleicht auffallen. Aber was, wenn eine Datei nur kopiert worden ist?

Externer oder interner Angriff
Geschonneck: Wenn man eine Datei kopiert, ist das Original immer noch da. Deswegen entdecken auch viele Unternehmen solche Vorfälle zu spät. Erst wenn der Schaden eingetreten ist. Wenn die geheime Rezeptur, das Patent oder die Angebotsunterlagen beim Wettbewerber gelandet sind.

Es müssen nicht immer die Hackerangriffe sein: Der Angreifer kann auch in der Firma sitzen. Interne Projektdaten besitzen großen Wert: Da ist viel Geld investiert worden, Entwicklungsarbeit, Zeit, Ressourcen. Ein anderes Beispiel: Jemand verlässt die Firma und nimmt die Kundendaten mit.

Also: Ich bin ein Unternehmer und gucke in meinen Rechner. Da ist nichts zu sehen. Da ist ja jetzt kein Loch drin. Da hat keiner was rausgehackt. Der arme Mann kann es doch nicht erkennen. Ich habe keine Ahnung, aber ich vermute, dass viel mehr Daten kopiert werden, als die Unternehmen ahnen.

Geschonneck: Die Vermutung ist richtig. Das, was wir heute über Datendiebstahl und Datenmissbrauch in der Presse lesen, ist nur die Spitze des Eisbergs.

Weiter zu

Teil 2. Lesen Sie am Dienstagvormittag auch Teil 3 des Gesprächs. Übernommen mit freundlicher Genehmigung der «Berliner Zeitung».