IT-Forensik: Ermittlung bei Datendiebstahl oder Datenweitergabe

Fachbeitrag

Der Diebstahl oder die unbefugte Weitergabe von unternehmensinternen Daten – häufig eine Straftat, die sowohl von externen als auch von oftmals übersehenen internen Tätern begangen wird. Diese haben es insbesondere auf Kunden-, Bank- und Finanzdaten sowie Preis und Konditionsinformationen abgesehen. Unter Umständen liegt ein Tatverdacht im Hinblick auf eine konkrete Person vor. Es werden jedoch Beweise benötigt, um sie zur Rechenschaft zu ziehen. Ein klassischer Fall für die IT-Forensik.

Praxisfall: Ein Mitarbeiter wechselt zur Konkurrenz

Einem Mitarbeiter wird gekündigt und anschließend findet ein Arbeitsplatzwechsel zu einem unmittelbaren Konkurrenten statt. Der Mitarbeiter ist verärgert und fühlt sich unfair behandelt. Bevor er also das Unternehmen verlässt, kopiert er sich unberechtigterweise unternehmensinterne Daten, häufig Betriebs- und Geschäftsgeheimnisse, auf einen USB-Stick oder eine externe Festplatte.

In den nächsten Monaten verspürt Ihr Unternehmen einen erheblichen Umsatzverlust, da beispielsweise Ihre besagte Konkurrenz ständig die Preise unterbietet. Somit drängt sich zwangsläufig der Gedanke auf, dass ein Datendiebstahl stattgefunden hat. Im Verdacht steht der ehemalige Mitarbeiter.

Folge: Erheblicher Schaden

Laut der aktuellen KPMG e-Crime Studie 2017 beläuft sich die Schadenssumme für einen Datendiebstahl im Mittel auf bis zu 100.000 €. In den Kosten enthalten sind der eingetretene Verlust, der entgangene Gewinn, Ermittlungs- und Folgekosten sowie Bußgelder und Geldstrafen sowie ggf. Gewinnabschöpfungen.

Sind zudem personenbezogene Daten im Sinne des § 42a BDSG vom Diebstahl betroffen und drohen schwerwiegende Beeinträchtigungen für die Rechte oder schutzwürdigen Interessen der Betroffenen bzw. droht ein Risiko für die Rechte und Freiheiten der betroffenen Personen gemäß Art. 33 DSGVO, hat eine Benachrichtigung sowohl der betroffenen Personen als auch der zuständigen Datenschutzaufsichtsbehörde zu erfolgen. Damit droht ein erheblicher Imageschaden für das Unternehmen.

Ermittlung des Täters

Mit Hilfe der IT-Forensik lässt sich nachvollziehen, mit welchen Dateien der verdächtige Nutzer zuletzt interagiert hat, denn viele Interaktionen hinterlassen Spuren innerhalb des Betriebssystems. Zugleich lässt sich beispielsweise nachweisen, welche USB-Geräte zum Zeitpunkt der Interaktion an das System angeschlossen waren. Aus diesen Informationen kann unter Umständen geschlussfolgert werden, welche Dateien vom Tatverdächtigen entwendet wurden. Ist das Speichermedium sogar noch vorhanden, ist es faktisch also bei einem Diebstahlsversuch geblieben, so lässt sich der Kopiervorgang eindeutig rekonstruieren.

Auch der Arbeitsspeicher kann möglicherweise entsprechende Spuren aufweisen, die den Datendiebstahl untermauern. Erfolgte der Diebstahl hingegen über das Netz (z.B. Versand per E-Mail), so lassen sich gegebenenfalls gleichsam entsprechende Spuren finden. Dabei kann es sich beispielsweise um Spuren im Browser, im E-Mail-Client oder im Cache des Proxy-Rechners handeln. Auf diese Weise wird im Nachhinein der Schaden minimiert, da der ermittelte Täter schließlich zur Rechenschaft gezogen werden kann.

Bei der Ermittlung durch einen privaten IT-Forensiker ist darauf zu achten, die rechtlichen Grenzen der Tätigkeit nicht zu überschreiten, damit dieser sich nicht strafbar macht.

Sie haben Fragen?

Unsere Berater helfen Ihnen dabei, den Umgang mit personenbezogenen Daten in Ihrem Unternehmen rechtssicher und praxisgerecht zu gestalten. Dabei unterstützen wir Sie u.a. bei folgenden Themen:

  • Identifizierung, Sicherung und Auswertung digitaler Spuren und Beweise
  • Untersuchung auf Bedrohungen durch komplexe und gezielte Cyber-Attacken
  • Cyber Security Check zur Schwachstellenanalyse von IT-Systemen

Informieren Sie sich hier über unser Leistungsspektrum: IT-Forensik

4 Kommentare zu diesem Beitrag

  1. Soweit klar, aber Spuren lassen sich gerade hier besonders leicht fälschen bzw falsche Fährten legen. Wenn es sich also nicht um eine einmalige Tat handelt und der Täter nicht über viel Fachwissen verfügt, dann mag die Forensik zum Ziel führen. In allen anderen Fällen ist das sicher nicht so einfach. Siehe auch aktuelle Ereignisse im Zusammenhang mit „die Russen haben die USA, Frankreich, den Reichstag usw. gehackt“. Beweise stehen aus und es könnte auch jeder andere gewesen sein.

    • Untersuchungen der IT-Forensik sind in den meisten Fällen zielführend. Der Täter muss über viel Fachwissen verfügen, um Spuren derart verfälschen zu können. Das stellt allerdings einen Einzelfall dar und entspricht im Normalfall nicht den Kenntnissen der im Artikel beschriebenen Täter.

      Der Schwierigkeitsgrad einen Täter zu identifizieren ist natürlich von Fall zu Fall unterschiedlich und hängt von der Expertise der Täter ab. Es ist also davon auszugehen, dass die digitale Spurensuche bei einem Hacking-Angriff auf ein Land deutlich umfangreicher ist, da hier meist ein Verbund von hochqualifizierten Hackern hinter steht.

  2. „…beläuft sich die Schadenssumme für einen Datendiebstahl im Mittel auf bis zu 100.000 €.“
    Was ist gemeint? „Im Mittel“ also durchschnittlich? Oder „bis zu“ also maximal? Aus Statistiken und Untersuchungen brauchbare und belastbare Informationen herauszulesen ist schon schwer, solche Formulierungen machen es nicht leichter.

    • Laut der aktuellen KPMG e-Crime Studie belaufen sich drei Viertel der Schadenssummen, die durch „Datendiebstahl“ verursacht werden auf bis zu (maximal) 100.000 €. Allerdings kann die Schadenssumme in einigen Fällen geringer und in anderen Fällen auch höher ausfallen.
      KPMG hat hierzu 5 Kategorien definiert: Niedrig (unter 10.000 Euro), Mittel (10.000 bis 99.999 Euro), Hoch (100.000 bis 999.999 Euro), Sehr hoch (1 Mio. oder mehr) und keine Angaben.

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.