Der Tatort ist makellos, geradezu hochglanzpoliert. Die Opferzahl enorm. Unfassbar hoch: knapp eine halbe Milliarde. Blut ist keines geflossen, dafür aber etwas anderes: Daten – und das massenweise. Konkret handelt es sich um einen Hackerangriff auf den Hotelkonzern Marriott. Ab 2014 stehlen Hacker unbemerkt jahrelang personenbezogene Daten von Gästen der Marriott-Hotel-Tochter Starwood. Namen, Adressen, Passnummern und Geburtsdaten –im Stillen bis weit hinein ins Jahr 2018 abgeschöpft. Ermittelt wird, als das Datenleck endlich auffällt, nicht mit dem Fingerabdruck-Set, sondern mit dem Computer. Die IT-Forensik hilft, diesen Fall aufzuklären und die mutmaßlichen Täter zu ermitteln. Doch was ist IT-Forensik genau?
IT-Forensik – eine Definition
Der Begriff IT-Forensik setzt sich aus der Abkürzung für Informationstechnik und dem Überbegriff für das wissenschaftlich-technische Arbeitsgebiet, der Forensik, zusammen. Die Hauptaufgabe der Forensik ist es, kriminelle Handlungen zu untersuchen, nachzuvollziehen und bestenfalls aufzuklären. Eine einheitliche Definition für das Forensik-Teilgebiet der IT-Forensik hat sich bisher noch nicht durchgesetzt, dennoch lässt sich ihr Aufgabengebiet abstecken: Es handelt sich um eine Datenanalyse, die auf jeglichen Datenträgern oder in Computernetzwerken vorgenommen wird und Vorfälle nachvollziehen, offenlegen und aufklären soll. Zudem können auch strafbare Handlungen im Bereich der Computerkriminalität aufgedeckt und nachgewiesen werden. Konkret bedeutet IT-Forensik also, dass von Experten im digitalen (online) Bereich, in Netzwerken und / oder auf Datenträgern nach Beweisen für Vorfälle oder Verbrechen gesucht wird. Dies geschieht meist in drei Phasen:
Secure: Sicherung der potenziell wichtigen Daten und Anfertigung einer Arbeitskopie (sog. Forensisches Duplikat) mittels Write-Blocker, die einen unerlaubten Schreibzugriff / Datenveränderung verhindert.
Analyse: Je nach gewählter Analysemethode, die sich am neusten Stand der Technik orientieren muss, werden die gewonnen Daten nun ausgewertet. Diese Analyse muss für unabhängige Dritte verständlich sein.
Present: Das Ergebnis der Untersuchung muss zielgruppengerecht aufbereitet werden.
Es wird deutlich, dass es in dieser digitalen Forensik-Art vor allem um eines geht: Daten. Damit diese zu untersuchenden Daten geschützt und beste Analyseergebnisse erzielt werden können, ist der Datenschutz in der IT-Forensik enorm wichtig. Datenschutzverletzungen greifen tief in das Recht auf informationelle Selbstbestimmung der Betroffenen ein.
IT-Forensik im Unternehmen: Rettung in der Not
Die digitale Forensik, gerade der Bereich der IT-Forensik, kann für Unternehmen insbesondere dann relevant werden, wenn es beispielsweise einen Angriff auf die eigene IT-Struktur gegeben hat. Datenschutzverletzungen können vor Gericht zur Anklage kommen – vor allem dann, wenn sie nicht gemeldet wurden – und für Unternehmen ist es spätestens dann enorm wichtig, ob die Datenpanne durch eigene, vermeidbare Fehler zu Stande gekommen ist oder nachzuweisen, dass ein IT-Angriff vorliegt. Für die Klärung solcher Sachverhalte und für die Gewinnung gerichtsverwertbarer digitaler Spuren ist die IT-Forensik zuständig.
Aber auch unternehmensintern ist die Anwendung der digitalen Forensik möglich: Etwa dann, wenn Unternehmen auf Grund von Verdachtsfällen prüfen müssen, ob Mitarbeiter der unternehmensinternen Datensicherheit nachkommen oder andere Verdachtsmomente bestehen, die durch eine digitale forensische Analyse bestätigt oder widerlegt werden können.
Stichwort Forensic Readiness
Zwar gibt es für die IT-Forensik auch Open-Source-Lösungen, doch gerade, wenn es sich um personenbezogene Daten handelt, die ausgewertet werden sollen, ist enorme Vorsicht geboten. Der Datenschutz und Gesetze zum Schutz der Privatsphäre von Mitarbeitern oder anderen betroffenen Personen können eine forensische Untersuchung, die zwingend von Experten vorgenommen werden sollten, nicht nur einschränken, sondern sogar blockieren. In Vorbereitung auf digitale forensische Untersuchungen ist eine Sicherheitsstrategie nötig – die sogenannte Forensic Readiness oder auch Digital Forensic Readiness (DFR). Diese sollte von jedem Unternehmen bereits im Vorfeld definiert werden. Um dabei Gesetzeskonflikte mit der DSGVO zu vermeiden, muss für die organisatorischen, personellen und technischen Maßnahmen der DFR unbedingt juristischer Rat hinzugezogen werden. Und anschließend im Falle einer Untersuchung der Rat von IT-Experten.
Eben solche Experten haben übrigens nach einer langwierigen datenschutzkonformen Untersuchung Ende 2018 herausgefunden, wer hinter dem jahrelangen Hackerangriff gegen die Hotelkette Marriott steckt: der chinesische Geheimdienst. Dass sich dieser nun zwar für IT-Forensik, jedoch keineswegs für Datenschutz interessiert, ist geradezu paradox.
Autorin: Kathrin Strauß
Artikel veröffentlicht am: 08. August 2019
