IT-Forensik: Was tun, wenn wichtige Daten gestohlen wurden? Das rät Thorsten Logemann von intersoft consulting services
Der Feind kommt auf leisen Sohlen, knackt völlig geräuschlos auch härteste Passwörter und wird oft erst Wochen, wenn nicht gar Monate später bemerkt – dann, wenn es tatsächlich zu spät ist. Cyber-Kriminalität ist ein Thema, das in deutschen Unternehmen, aber auch in Privathaushalten in vielerlei Formen präsent ist und ganz offensichtlich zunimmt. Der Daten-Klau geht um – und kann im schlimmsten Fall helle Panik auslösen. Beispielsweise, wenn Rechner schlicht blockiert werden und der Zugriff auf Daten gegen Zahlung von Bitcoins in Aussicht gestellt wird. Thorsten Logemann, Vorstandsvorsitzender der intersoft consulting services AG in Hamburg, hat zusätzlich zur Beratung in den Bereichen Datenschutz und IT-Sicherheit auch eine eigene Abteilung für IT-Forensik aufgebaut. Das spezialisierte Team unter Projektleiterin Mariko Mittelbach stellt in einem Gutachten Beweise über den Hergang sicher, der zum Verlust der Daten geführt hat. Das trifft kleinere Betriebe, Mittelständler bis hin zu Großunternehmen gleichermaßen. Fall für Fall eine Suche nach der Nadel im Heuhaufen. Im besten Fall wird der digitale Dieb enttarnt.
Krimineller Hintergrund
„Es gibt im Wesentlichen zwei Arten, die zum Verlust von Daten führen“, erläutert Logemann. „Entweder durch gezielten Diebstahl oder durch Schadsoftware, zum Beispiel Verschlüsselungs-Trojaner. Zwei von drei Datendiebstählen in Unternehmen werden allerdings intern begangen, etwa weil ein Mitarbeiter, der gekündigt hat, seine Kundendateien mitnimmt – in der Annahme, die habe er ja gesammelt, also seien das seine eigenen. Das ist natürlich juristisch nicht korrekt. Ein Drittel entfällt auf externe Zugriffe.“ Dazu zählt auch die gezielte Wirtschaftsspionage, bei der Auftrags-Hacker in Unternehmensnetzwerke eindringen, um beispielsweise eine geheime Konstruktionszeichnung zu beschaffen.
Thorsten Logemann: „Wir bieten professionelle IT-Forensik an, nicht zu verwechseln mit Datenrettung. Das machen andere. Unsere Spezialisten werden von Unternehmen beauftragt, wenn der Verdacht besteht, dass Daten abfließen oder verschwunden sind. Wir suchen auf den Festplatten in den Rechnern nach den Spuren, die Angreifer hinterlassen, und schreiben ein fundiertes Gutachten. Wenn wir beauftragt werden, gibt es in der Regel einen kriminellen Hintergrund. Ermitteln muss die Kriminalpolizei, wir zeigen nur auf, was wie geschehen ist.“ Die meisten Fälle landen indes nicht vor Gericht, weil Unternehmen meistens nicht darauf erpicht sind, dass ihr Fall an die Öffentlichkeit gerät. Logemann: „Die weitaus meisten Fälle werden außergerichtlich geklärt, indem die Diebe eine Unterlassungserklärung unterschreiben müssen.“
Die Suche nach dem digitalen Fingerprint ist eine Aufgabe für Experten. Im Team von Mariko Mittelbach sind zertifizierte IT-Forensiker, professionelle Ermittler mit Polizeihintergrund und Juristen. Logemann: „IT-Forensiker arbeiten immer unter Zeitdruck. Es kommt also durchaus vor, dass sie nachts mit dem Geschäftsführer einer Firma vor Ort die Rechner und Daten sichern. Auf der Seite IT-Forensiker.de haben wir deshalb extra eine 24 Stunden Hotline eingerichtet. Außerdem haben wir ein eigenes forensisches Labor auf höchstem technischen Niveau, in dem wir entsprechende Prüfprogramme fahren.“ Wenn die Spezialisten von intersoft consulting gerufen werden, ist der Schaden allerdings durchweg schon passiert. „Die Kunst der Datendiebe besteht darin, nicht aufzufallen. Einer Studie zufolge dauert es durchschnittlich 210 Tage, bis jemand merkt, dass etwas nicht stimmt. Die Bösen wissen das auch. Sie wollen möglichst lange unerkannt bleiben.“
Trojaner per Fotodatei
Was auffällig ist: „Oft gehen Mitarbeiter in Unternehmen sorglos vor, da sie ja meinen, alles sei perfekt abgesichert. Was mich persönlich desillusioniert: Auf Firmenrechnern finden sich massenhaft pornografische Fotos – weil die Nutzer glauben, dass das da nicht auffällt. Privat trauen sie sich das eher nicht. Was viele nicht wissen: Fotodateien eignen sich bestens, um Schadsoftware einzuschleusen. Vor einiger Zeit gab es sogar Fälle, bei denen die typischen Trojaner über Bewerbungsfotos in die IT-Systeme getragen wurden. Da wird man dann nicht mal misstrauisch.“ Die Urheber für viele kriminelle IT-Fälle sieht Logemann vor allem in Russland und in China. Dort habe man den Datenklau offenbar als Geschäftsmodell entdeckt . . . wb
>> Web: www.it-forensiker.de
Daten – Währung des 21. Jahrhunderts
Daten haben einen Wert und werden üblicherweise im Darknet gehandelt, also in jenem verschlüsselten Teil des Internets, in dem beispielsweise auch Tauschbörsen für kinderpornografische Fotos existieren und in bestimmten Kreisen Anleitungen zum Bombenbau ausgetauscht werden – ein Tummelplatz für Kriminelle. Ein Großteil der Aktivitäten wird von Experten als illegal eingestuft, darunter auch der Handel mit gestohlenen Daten. Thorsten Logemann: „Im Darknet werden Datensätze üblicherweise zu Paketen à
100 oder 1000 Stück angeboten. Wie hoch der Preis ist, hängt von der Qualität der Daten ab. Gezahlt wird ausschließlich in Bitcoins. Eine einfache Adresse kostet nur ein paar Cent; eine verifizierte Mailadresse, also eine, die wirklich zu einer Person gehört, bringt vielleicht zehn bis
20 Cent. Habe ich Name, Adresse und Kreditkarten-Informationen inklusive Prüfnummer, steigt der Wert schon auf
25 bis 45 Dollar. Wenn es dem Angreifer gelingt, im großen Stil Daten zu stehlen, die schon bei einer einfachen Kaufaktion bei Amazon oder Ebay anfallen, ist damit also richtig viel Geld zu machen.“
Es ist heutzutage ein Leichtes, an Daten heranzukommen, die auf Handys abgespeichert sind. Logemann: „Da werden Smartphones kurzerhand so manipuliert, dass sie als Scanner funktionieren. Über die Nearfield-Kommunikation auf Kreditkarten kann ich im Gedränge die Daten von der Karte in der Handtasche der Frau auslesen, die neben mir in der U-Bahn steht, ohne dass ich sie berühre. Auf Smartphones speichern die Leute gern ihre Passwörter, ihre Kreditkartennummer und sogar die Prüfziffer. Das wissen die Bösen auch.“ Besonders anfällig seien Androit-Betriebssysteme. Und weiter: „Der Datendieb schaut erstmal, was er so findet und wen das interessieren könnte. Grundsätzlich gilt: Egal, was er findet – es gibt immer jemanden, der sich dafür interessiert und der dafür zahlt. Beispielsweise für die typischen privaten Porno-Schnappschüsse auf dem Handy – das ist mittlerweile ein Massenphänomen. Dafür gibt es einen regelrechten Markt.“ wb
So sichere ich mich ab
Sind die Daten weg, ist der Schaden groß. Doch wie lässt sich der IT-SuperGAU vermeiden? Dazu hat Thorsten Logemann einen einleuchtenden Vorschlag: „Mein Rat: Viele Unternehmer sollten nicht so viel Geld in die Software stecken, sondern lieber in Menschen investieren, die wirklich Ahnung von IT haben. Zumeist sitzt das Problem vor dem Rechner. IT ist ein komplexes Thema. Aber auch Leute, die IT nur nutzen, können dazu beitragen, ihr Unternehmen sicherer zu machen. Ein Thema ist der regelmäßige Wechsel von Passwörtern. Auch sollte jedem klar sein, dass man einen USB-Stick, der zufällig auf dem Parkplatz liegt, nicht einfach in den Rechner steckt – dummerweise sind die Menschen aber so neugierig, dass dieser Klassiker immer wieder passiert und auf diesem simplen Weg Trojaner ins System bringt.“
Eine wichtige Frage an jeden Unternehmer: Welche Daten muss ich wirklich schützen? Was gehört zu den absolut wichtigen Kerndaten, und wer darf/muss darauf Zugriff haben? Und noch ein Punkt: Datensicherung ist ein Muss, aber: „Ist jemals ausprobiert worden, ob das Backup überhaupt funktioniert? Was ist, wenn es das nicht tut, weil die Daten zu oft kopiert wurden? Ein kleiner Fehler und nichts geht mehr. Dazu brauche ich einen Notfallplan und eine Backup-Strategie“, sagt Thorsten Logemann. „Die Bösen, das sind nicht mehr die Script-Kiddies von damals, die sich als Helden feierten, wenn es ihnen gelang, eine Homepage zu hacken. Das sind heute hochprofessionelle Leute. Hacking ist eine Form von Kunst. Da sucht jeder seinen eigenen kreativen Weg, um sein Ziel zu erreichen – und deshalb sind diese Leute auch so gefährlich.“ wb
