Disk-Forensik/ Rechtliche Rahmenbedingungen/ Behörden
Strafrechtliches Vorgehen
BearbeitenEine strafrechtliche Verfolgung wird entweder mit einer Strafanzeige oder von Amts wegen selbst eingeleitet. Die eingereichte Strafanzeige enthält die gesammelten Beweise des Incident-Response Teams.
Von Amts wegen wird verfolgt, wenn eine Reihe von unabhängigen Systemen von dem Angriff betroffen sind oder während der Ermittlung festgestellt wird, dass es weitere Geschädigte gibt.
Inanspruchnahme des Verursachers
BearbeitenEin Angriff verursacht Schäden, wobei meist nur die direkten und indirekten finanziellen Schäden betrachtet werden. Ein Angreifer kann sowohl zivilrechtlich als auch strafrechtlich zur Verantwortung gezogen werden. Zivilprozess und Strafprozess sind voneinander unabhängig und können nebeneinander ablaufen. Bei einem Zivilprozess muss der Täter bekannt sein.
In vielen Fällen muss der Verantwortliche aber erst gefunden werden. Hierfür ist die Strafverfolgung zuständig. Hat die Strafverfolgungsbehörde den Täter ausgeforscht, dann werden die entsprechenden Personalien an den Geschädigten weiterleiten. Die geschädigte Organisation kann auf zivlerechtlichem Wege auch eine wirtschaftliche Wiedergutmachung fordern.
Tatortprinzip
BearbeitenEin wichtiger Faktor ist der Ort, wo der Schaden auftritt. Ein Tatort ist dort, wo ein Täter eine strafbare Handlung in die Tat umgesetzt hat. In der Computerkriminalität wird ein Hilfstatort angenommen, da der Tatort oft unbekannt ist. Der Hilfstatort ist dort, wo der Angreifer den Schaden angerichtet hat. Der geographische Standort eines angegriffenen Systems ist somit ein sehr wichtiges Detail.
Befindet sich der angegriffene Server nicht am Verwaltungssitz des Unternehmens, dann werden die ersten Schritte meist am Verwaltungssitz der Firma getätigt werden. Danach wird der Ermittler auch den tatsächlichen Standort begutachten.
Ist ein Angriff erkannt worden und die ortszuständige Polizeistelle oder das Gericht ist nicht bekannt, dann soll die nächstgelegene Polizeidienststelle verständigt werden. Diese wird den Betroffenen an die zuständige Stelle weiter verweisen. Auch die Zuständigkeit sollte im Vorfeld geklärt werden. Besonders wichtig ist das Feststellen der Zuständigkeit, wenn sich das System nicht im Unternehmen befindet. Hostet man ein System außerhalb vom Österreich (im Ausland), ist es sinnvoll die Anzeige auch im Ausland zu stellen.
Zivilrechtliches Vorgehen
BearbeitenDas zivile (bürgerliche, private) Recht regelt die Rechte des Einzelnen. Im materiellen Recht ist nicht geregelt, was geschieht, wenn jemand seine Leistung nicht erfüllt. Ziel eines Zivilprozesses ist die Feststellung, ob überhaupt ein zivilrechtlicher Anspruch besteht.
Ein Zivilverfahren kann parallel zum Strafverfahren geführt werden, falls der Täter bereits bekannt ist. Um für das Zivilverfahren Beweise zu erhalten, kann das Strafverfahren hinzugezogen werden. Dieses hat nämlich bessere Möglichkeiten um zu Beweisen zu kommen.
Im Vergleich zu Strafverfahren wird die Beweislage nicht so streng überprüft, sondern es zählen die aussagekräftigeren Beweise.
Die Entscheidung, ob ein Zivilprozess geführt wird oder nicht kann zu einem späteren Zeitpunkt getroffen werde. Wichtig ist nur, dass schnell entschieden wird, ob der Täter ermittelt werden soll oder nicht, da mit jedem Tag das Auffinden schwieriger wird.
Darstellung in der Öffentlichkeit
BearbeitenWird in Unternehmen ein Sicherheitsvorfall erkannt, dann handeln die Unternehmen unterschiedlich. Die einen ziehen externe Berater bei der Untersuchung mit ein, die anderen fürchten um ihr Image in der Öffentlichkeit. Die Unternehmen schätzen ihren Ansehensverlust der durch den Einbruch entstanden ist höher ein, als den tatsächlichen Schaden. Daher erstatten Unternehmen in den wenigsten Fällen eine Strafanzeige.
Wird eine Strafanzeige erstatte, dann kommt es in wenigen Fällen wirklich zu einer Hauptverhandlung und somit zu einer Veröffentlichung. Bevor es zu einer Hauptverhandlung kommt, gibt es die Möglichkeit, dass der Straftäter eine Strafe akzeptiert.
Ob es zu einer Presseveröffentlichung kommt, entscheidet der Staatsanwalt. Dabei muss er beachten, dass dadurch der Täter ebenfalls informiert wird. Der Staatsanwalt wird somit nur die Öffentlichkeit um Hilfe bitten, wenn er sich dadurch eine Verbesserung der Ermittlungssituation (z.B. Hinweise aus der Bevölkerung) erhofft.
Beweissituation bei der privaten Ermittlung
BearbeitenGeschädigte Unternehmen können auch private Ermittler mit der Sammlung von Beweisen beauftragen. Der Grund, warum sich Unternehmen für eine private Ermittlung entscheiden, ist der Ansehensverlust, das Bedürfnis eigene Geheimnisse zu wahren oder mangelndes Vertrauen in die Fähigkeiten von Strafverfolgungsbehörden.
Private Ermittler sind nicht an die Strafprozessordnung gebunden. Daher ist beispielsweise für die Ermittlung im Ausland keine Rechtshilfe von den ausländischen Behörden nötig. Einem privaten Ermittler stehen keine Zwangsmittel wie Durchsuchung, Beschlagnahme oder Vernehmung zur Verfügung. Der privat Ermittler ist aber an alle Rechtsnormen wie beispielsweise Datenschutz, Arbeitsrecht und Vertragsrecht gebunden.