Disk-Forensik/ Rechtliche Rahmenbedingungen/ Unternehmen
Für die Ermittlung im Bereich der Data-Forensik sind zahlreiche Voraussetzungen erforderlich. Werden diese Voraussetzungen nicht geschafft, dann ist es fast unmöglich während der Untersuchung alle nötigen digitalen Beweismittel ordnungsgemäß zu sammeln.
Organisatorische Vorbereitung
BearbeitenSind Firmen oder Organisation von Computerkriminalität betroffen, dann sind diese oft nur unzureichend oder überhaupt nicht auf einen Schadensfall vorbereitet. Viele Mitarbeiter und Manager beschäftigen sich erst mit dem Thema, wenn ein Schaden entstanden ist bzw. vermutet wird. Dann sind die Mitarbeiter und Manager mit der Beantwortung der vielen Fragen einfach überfordert.
Wurden Fragen bezüglich Computerkriminalität im Vorfeld geklärt, kann für die Schadensbegrenzung und Ausforschung des Täters im Ernstfall mehr Zeit aufgewendet werden. Aufgrund dieser Unwissenheit wird die Zeit im Ernstfall in das Schadensmanagement gesteckt. Ein Angreifer nutzt diese Zeit aber bereits um seine Spuren zu verwischen, Daten zu stehlen oder zu löschen.
Eine organisatorische Vorbereitung beinhaltet auch juristische Fragen. Hierbei sind folgende Punkte zu klären:
- Wer entscheidet bei welchen Vorfällen?
- Wer entscheidet, ob eine strafrechtliche Verfolgung angestrebt wird oder nicht?
- Wer koordiniert die zu treffenden Maßnahmen?
- Wer informiert die Entscheidungsträger?
- Wer ist für die Beweiserhebung verantwortlich?
- Wer dokumentiert den Sachverhalt?
Beim Feststellen eines Angriffs muss zusätzlich noch entschieden werden, ob der Angreifer strafrechtlich oder zivilrechtlich verfolgt wird.
Unternehmensumfeld
BearbeitenIn einem Unternehmen kann die Vorbereitung bezüglich Computerkriminalität in drei Teile unterteilen werden:
- Organisatorische Voraussetzungen
- Verantwortlichkeiten
- Incident-Response Team
Organisatorische Voraussetzungen
BearbeitenIn der Wirtschaft ist es oft so, dass Sicherheitsvorfälle entweder nicht als solche erkannt, vertuscht oder einfach übersehen werden. Aus diesem Grund muss definiert werden, ab wann ein Verdacht zu einem Vorfall und somit weiter verfolgt wird. Weiters muss festgelegt werden, welche weiteren Maßnahmen notwendig sind. Um solche Entscheidungen treffen zu können, muss es eine unternehmensweite Security-Policy geben, in welcher der genaue Ablauf festgelegt wird.
Für den Inhalt der Security-Policy empfiehlt die NIST [5] folgende Schwerpunkte:
- Organizations should have a capability to perform computer and network forensics
- Organizations should determine which parties should handle each aspect of forensics
- Incident handling teams should have robust forensic capabilities
- Many teams within an organization should participate in forensics
- Forensic considerations should be clearly addressed in policies
- Organizations should create and maintain guidelines and procedures for performing
Nachdem der Inhalt der Security-Policy fixiert wurde, müssen die Sicherheitsverantwortlichen ernannt werden.
Der Inhalt der Security-Policy muss verständlich und klar sein. Die erste Instanz eines Sicherheitsvorfalls ist der Mitarbeiter oder der Systemadministrator. Ein Mitarbeiter wird im Normalfall den Administrator kontaktieren. Der Systemadministrator sollte die Policy vor Ort haben um beurteilen zu können, wie weitere vorgegangen werden soll. Hierbei ist vor allem essentiell, ob es sich um einen Sicherheitsvorfall handelt oder nicht. Dadurch kann der Systemadministrator entscheiden, welche Schritte als Nächstes eingeleitet werden. Wird ein Sicherheitsvorfall erkannt, wird als Nächstes der Sicherheitsverantwortliche hinzu gezogen. Der Sicherheitsverantwortliche leitet die nächsten Schritte in die Wege.
In der Organisation sollte außerdem festgelegt werden, ob die Rechte des Untersuchenden ausgeweitet werden, wenn ein Sicherheitsvorfall vorliegt.
Verantwortlichkeiten
BearbeitenIn erster Linie ist die Organisation dafür verantwortlich, die notwendigen Grundvoraussetzungen zu schaffen. Das sind einerseits die organisatorischen, aber auch die finanziellen und technischen Voraussetzungen.
Dazu gehören auch „awareness“-Schulungen der Mitarbeiter, technische und rechtliche Schulung des Sicherheitsverantwortlichen und vor allem natürlich auch das forensische Know-how des Incident-Response Teams.
Es liegt in der Verantwortlichkeit eines jeden Mitarbeiters, verdächtige Aktivitäten und Vorgänge dem Verantwortlichen melden. In den meisten Fällen ist das entweder der Administrator oder der Sicherheitsverantwortliche. Je nach Definition in der Security-Policy.
In der Verantwortlichkeit des Sicherheitsverantwortlichen liegt es nun zu entscheiden ob zu der internen Untersuchung durch das Incident-Response Team auch ein externes Team, oder beim Verdacht auf ein Verbrechen auch die Kriminalpolizei hinzugezogen wird. Da solche Entscheidungen möglichst rasch getroffen werden müssen, muss der Sicherheitsverantwortliche für solche Ausnahmesituationen erweiterte Rechte besitzen, dabei forensischen Untersuchungen jede Minute zählt, um die Beweise zu sichern. Der Täter könnte nämlich nach wie vor in der Lage sein, die Beweise zu vernichten oder zu verschleiern.
Das Incident-Response Team hat nun die Verantwortung, die Beweise so zu sichern, dass diese vor Gericht auch anerkannt werden. Das alles sollte allerdings auch möglichst wenig Einfluss auf die Produktivität des Unternehmens haben.
Incident-Response Team
BearbeitenDas Incident-Response Team soll in erster Linie aus Mitarbeitern bestehen, welche das notwendige Basiswissen mitbringen. Eine sinnvolle Zusammenstellung wäre:
- der Sicherheitsverantwortliche
- ein Vertreter der Serveradministratoren
- ein Vertreter der Netzwerkadministratoren
- ein oder mehrere Forensik Experte(n)
- ein Vertreter der Rechtsabteilung
- evtl. ein Mitarbeitervertreter
Das Team sollte möglichst klein gehalten werden, da so schnell Entscheidungen getroffen werden können. Die Teammitglieder müssen auch in kritischen Situationen einen klaren Kopf bewahren und außerdem zuverlässig sein.
In manchen Fällen ist eine Zusammenarbeit mit externen Partnern oder Behörden notwendig. Die Aufgabe besteht nun darin, Entscheidungen zu treffen und die notwendigen Maßnahmen einzuleiten.
Werden eigene Untersuchungen beschlossen, liegt es in der Verantwortung des Incident-Response Teams, diese Untersuchungen technisch und rechtlich korrekt durchzuführen.
Mitarbeiterüberwachung
BearbeitenUnter eine Überwachung am Arbeitsplatz versteht man meist die Überwachung des E-Mailverkehrs und die Internetnutzung durch den Arbeitgeber. Für die Überwachung am Arbeitsplatz gibt es keine gesetzlichen Regelungen, daher ist das Arbeitsrecht, das Datenschutzgesetz und das Telekommunikationsgesetz herbeizuziehen.
Datenschutzgesetz
BearbeitenIn Österreich gibt es seit 2000 eine neu überarbeitete Version des Datenschutzrechtes. Dieses inkludiert das Datenschutzgesetz, das Telekommunikationsgesetz und das E-Commerce Gesetz.
Der Datenschutz schützt jede natürliche und juristische Person, [vgl. S.35, 9]
- vor der Geheimhaltung von personenbezogenen Daten
- vor der Achtung von Privat- und Familienleben
- unzulässiger Ermittlung, Speicherung, Auswertung und Weitergabe ihrer Daten.
Das Datenschutzgesetz wird nur angewendet werden eine Verarbeitung von personenbezogenen Daten vorliegt. Der Datenschutz ist ein Grundrecht und besteht gegenüber dem Staat, Unternehmen und privat Personen, die Daten verarbeiten.
Personenbezogenen Daten sind „Angaben über Betroffene, deren Identität bestimmt oder bestimmbar ist“ [S.1279, 6]. Durch das Datenschutzgesetz werden folgende personenbezogene Daten unterschieden:
- bestimmt personenbezogene Daten: Vorname, Nachname, Geburtsdatum
- bestimmbar personenbezogene Daten: Sozialversicherungsnummer, Kundennummer bei einem Unternehmen
- nur indirekt personenbezogen Daten: Kundenummer eines anderen Unternehmens
Besonders schützenswürdige Daten bezeichnet der Gesetzgeber als sensible Daten. Sensible Daten einer natürlichen Person sind [vgl. S.1280, 6]:
- rassische und ethnische Herkunft
- politische Meinung
- Gewerkschaftszugehörigkeit
- religiöse oder philosophische Überzeugung
- Gesundheit
- Sexualleben
Der einfachste Weg, damit der Arbeitgeber personenbezogene Auswertungen durchführen kann, ist eine Zustimmung seines Mitarbeiters. Dadurch entledigt er sich aller datenschutzrechtlicher Probleme. Gibt es keine Zustimmung vom Mitarbeiter, dann muss der Arbeitgeber laut Datenschutzgesetz vorgehen und einen Zweck angeben, warum die personenbezogenen Daten benötigt werden.
Da der Arbeitgeber die IT-Ausrüstung am Arbeitsplatz zur Verfügung stellt, kann er Maßnahmen ergreifen, um die Systemfunktionalität zu gewährleisten. Personenbezogene Daten dürfen nur erfasst werden, wenn sie für die Systemkontrolle erforderlich sind.
Werden bei einer solchen routinemäßigen Systemkontrolle signifikante Abweichungen von der „normalen“ IT-Nutzung festgestellt, können weitere Untersuchungen vorgenommen werden. Jedoch muss für eine weitere Untersuchung der Verdacht auf strafrechtlich Vergehen oder firmenschädigendes Verhalten vorliegen. Einige Beispiele für ein solches Verhalten ist der Besuch pornografischer Internetseiten, Kinderpornografie, Download illegaler Software, das Beschädigen der Firewall oder die Veruntreuung von Geld.
Bei einer polizeilichen Ermittlung wird das Datenschutzgesetz grundsätzlich nicht außer Kraft gesetzt. Die Behörden können aber bei einer Ermächtigung durchaus auch Daten sammeln, auf die sie nach dem Datenschutzgesetz keinen Zugriff hätten.
Datenschutz im Arbeitsalltag
BearbeitenSoftwareprogramme ermöglichen dem Firmenchef das Überwachen der PC-Aktivitäten. Technisch können hier beispielsweise Daten über die besuchten Internetseiten, die benutzen Programm, die E-Mails oder die Tastenanschläge gespeichert werden. Durch das Aufzeichnen der eingegebenen Tastenkombinationen kann der Arbeitgeber die Aktivität seiner Mitarbeiter feststellen. Diese Softwareprogramme können so eingerichtet werden, dass der Mitarbeiter diese Überwachung nicht wahrnimmt [8].
Technisch ist beinahe alles möglich, rechtlich betrachtet ist nicht. Bevor eine derartige Software verwendet werden darf, müssen die Mitarbeiter davon in Kenntnis gesetzt werden, wofür die aufgezeichneten Daten ermittelt bzw. aufgezeichnet werden.
Fallbeispiel 1:
Herr Mustermann speichert auf seinem Firmencomputer private E-Mails. Der Chef von Herrn Mustermann liest diese E-Mails [vgl. S.11, 7].
In der Firma von Herrn Mustermann ist das Speichern von privaten E-Mails auf dem Firmencomputer erlaubt. Wenn der Chef von Herrn Mustermann nun die privaten E-Mails von seinen Mitarbeitern liest, dann bricht der Chef das Fernmeldegeheimnis.
Gestattet der Chef von Herrn Mustermann private E-Mails auf dem Firmencomputer nicht, dann kann der Chef davon ausgehen, dass alle gesendeten und empfangenen E-Mails einen dienstlichen Charakter haben. Somit handelt es sich bei den E-Mails um das Eigentum der Firma und der Chef kann die E-Mails einsehen.
Fallbeispiel 2:
Während eines Bewerbungsgesprächs wird Herrn Mustermann ein Formular vorgelegt, idem er seine „Hobbies“ und „schwere Krankheiten“ angeben muss [vgl. 10, 7].
Hobbies werden im Datenschutz als personenbezogene Daten eingestuft. Personenbezogene Daten sind Daten, die mit Herrn Mustermann in Verbindung gebracht werden können. Hobbies fallen also unter den Begriff personenbezogene Daten. Diese Daten wird Herr Mustermann im Formular ausfüllen, außer er hat das Gefühl, dass die Firma diese Daten nicht benötigt.
Im Falle der Krankheiten handelt es sich um sensible Daten. Herr Mustermann kann diesbezüglich die Aussage verweigern. Für seine beruflichen Qualifikationen ist diese Information nicht erforderlich.
Fallbeispiel 3:
Der Chef von Herrn Mustermann wertet Logfiles aus, in denen nur ersichtlich ist, welcher Computer zu welchem Zeitpunkt einen bestimmten Dienst in Anspruch genommen hat. [vgl. S.35, 9]
Mit der Auswertung der Logfiles kann nur festgestellt werden, welcher Computer zu welchem Zeitpunkt einen bestimmten Dienst in Anspruch genommen hat. Aufgrund dieser ausgewerteten Daten ist nicht ersichtlich, welcher Mitarbeiter den Computer verwendet hat. Da in diesem Fall keine personenbezogenen Daten verwendet werden, ist die Logfile-Auswertung durchaus erlaubt.