Analysiere das Unbekannte!

Wie beginnt ein Fall für einen Computer-Forensiker? Ruft Sie jemand an? Herr Geschonneck, wir haben ein Problem!Ja, in der Regel wird angerufen: Wir bemerken Auffälligkeiten. Etwas ist gestohlen worden. Jemand hat an den Finanzbuchhaltungsdaten manipuliert. Helfen Sie uns bitte. Kommen Sie schnell vorbei! So fängt es an. Meistens sind die Leute aufgeregt.Und was soll der aufgeregte Mensch machen? Den Computer abschalten? Oder alles lassen, wie es ist?Alles so lassen. Nicht Detektiv spielen. Es kommt auch darauf an, wie lange der Vorfall zurückliegt. Je früher man am Tatort ist - wir sagen tatsächlich Tatort - desto schneller kann man etwas feststellen.Was haben Sie in Ihrer Aktentasche, wenn Sie auf solche Dienstreisen gehen?Kabel, Notebooks, Festplatten. Und andere Gerätschaften.Bei der Computer-Forensik geht es um die Aufklärung von Spionage, Veruntreuung, Diebstahl von Daten, Bestechung, Erpressung, Steuerbetrug unter Einsatz von Computern. Fehlt etwas?Es gibt eine klassische Formulierung: Zur Computer-Kriminalität zählt alles, was durch den Einsatz eines Computers die Tat ermöglicht, die Aufdeckung verhindert oder das Vorgehen des Täters verschleiert. Wir erweitern das heute und sagen: Alles, was rechtswidrig oder sozial schädlich ist und durch den Einsatz von Computern ermöglicht werden kann.Bitten Ihre Auftraggeber um Diskretion?Diskretion ist selbstverständlich. Ich werde beauftragt, weil ich unabhängig bin und zur Verschwiegenheit verpflichtet.Haben Sie Privatpersonen als Kunden?Ganz selten. In der Regel beauftragen mich Unternehmen.Was machen Sie am Tatort?Ich sichere zuerst die Daten. Dann folgt die Analyse des Unbekannten. Wir haben ein Knäuel, wir müssen den Faden finden. Aber wo sollen wir ziehen? Jedes Unternehmen ist unterschiedlich. Was bedeutet es zum Beispiel, wenn Buchhaltungsdaten verändert wurden? Wer könnte Spuren verwischen? Wie haben Tatverdächtige miteinander kommuniziert?Sind Sie auf sich allein gestellt?Wenn viel zu tun ist, arbeiten wir im Team. Zu meinem Team gehört ein Dutzend IT-Spezialisten. Die sitzen in Deutschland, in der Schweiz und in Österreich. Die Gesamtabteilung nennt sich Fraud-Investigation, das heißt Betrugsermittlung in der Wirtschaft, und besteht aus 60 Mitarbeitern, weltweit zirka 1000. Das gesamte Unternehmen Ernst&Young hat etwa 130 000 Mitarbeiter. Weltweit.Was macht Ihre Abteilung genau?Wir kümmern uns um Wirtschaftskriminalität und sind in eine Betrugsermittlungseinheit eingebettet - Wirtschaftsprüfer, Anwälte, Steuerberater. Dazu gehören auch Ex-Polizisten, weil sie Ermittlungserfahrung besitzen. Sie reden mit Betroffenen, mit Verdächtigen, mit allen, die Zugang hatten. Heutzutage läuft nichts ohne Computer. Auch in der Redaktion der Berliner Zeitung gibt es keinen Vorgang, der ohne Computer stattfindet. Sei es ein Telefon, sei es Ihr Diktiergerät.Deshalb haben wir ja Sicherheitsmaßnahmen. Ich darf in meinen Computer keine CD einlegen, damit sich kein Virus einnistet. Wir haben Abwehrsysteme gegen Hacker, damit niemand in das Redaktionssystem einbrechen kann. Glauben Sie, dass in der Berliner Zeitung etwas passieren könnte?Es könnte - rein hypothetisch - festgestellt werden, dass, durch Manipulationen im System, bei der Abrechnung der freien Mitarbeiter Honorar an erfundene Personen geflossen ist. Oder jemand hat sich Zugriff auf die E-Mails der Geschäftsführung verschafft, um strategische Pläne herauszufinden. Solche Dinge könnten vorkommen. Erfahrungsgemäß wird alles Rechtswidrige, was mit Computern denkbar ist, auch gemacht. Das Verbrechen folgt den Möglichkeiten. Wenn ein Verbrecher mit einem schnelleren Auto vor der Polizei abhauen kann, wird er kein langsames nehmen. So ist es eben auch mit Computern.Gibt es sichere Unternehmen?Niemand kann ganz sicher sein. Man muss mit Risiken leben und lernen, damit umzugehen.Dazu kommt, dass die globale Vernetzung unsere Welt anfälliger gemacht hat.Dadurch kann ein Problem schneller über die Kontinente reisen. Computersysteme sind von überall aus angreifbar. Auch die Geschwindigkeit der News ist ein Problem. Stellen wir uns einen Einbruch in den Computer des Berliner Verlags vor, Vandalen haben die Homepage verändert: Die Information, bei denen ist eingebrochen worden, ist eine News, und sie landet als Tickermeldung bei anderen Blättern. Das könnte der eigentliche Schaden sein. Ein Imageschaden.Daher die so genannte Aufklärungsangst?Ja. Betroffene Unternehmen haben Angst, sich an die Polizei zu wenden, weil dann eine Öffentlichwirksamkeit entsteht. Vielleicht macht sie den Schaden noch größer. Deshalb kommen sie zu uns. Wir helfen unseren Mandanten zu entscheiden, ob sie zur Polizei gehen sollen. Wenn Straftaten vorliegen, sollten die Unternehmen die Polizei informieren.Wie erkennt ein Unternehmer, dass es einen Angriff auf seine Daten gegeben hat? Dass ein Dokument einfach weg ist, das würde vielleicht auffallen. Aber was, wenn eine Datei nur kopiert worden ist?Wenn man eine Datei kopiert, ist das Original immer noch da. Deswegen entdecken auch viele Unternehmen solche Vorfälle zu spät. Erst wenn der Schaden eingetreten ist. Wenn die geheime Rezeptur, das Patent oder die Angebotsunterlagen beim Wettbewerber gelandet sind. Es müssen nicht immer die Hackerangriffe sein: Der Angreifer kann auch in der Firma sitzen. Interne Projektdaten besitzen großen Wert: Da ist viel Geld investiert worden, Entwicklungsarbeit, Zeit, Ressourcen. Ein anderes Beispiel: Jemand verlässt die Firma und nimmt die Kundendaten mit.Also: Ich bin ein Unternehmer und gucke in meinen Rechner. Da ist nichts zu sehen. Da ist ja jetzt kein Loch drin. Da hat keiner was rausgehackt. Der arme Mann kann es doch nicht erkennen. Ich habe keine Ahnung, aber ich vermute, dass viel mehr Daten kopiert werden, als die Unternehmen ahnen.Die Vermutung ist richtig. Das, was wir heute über Datendiebstahl und Datenmissbrauch in der Presse lesen, ist nur die Spitze des Eisbergs.Wie entwickelt sich die Computerkriminalität? National, international? Gibt es mafiöse Netzwerke? Einen Handel?Wir haben in den letzten zehn Jahren eine zunehmende Professionalisierung bemerkt: Weg von den einzelnen Hackern, den Einzelgängern. Hin zum IT-Söldnertum, zu einer Cybermafia. Das sind Strukturen, die wie kleine Unternehmen agieren und viel Geld verdienen. Wenn kein Gewinn dahinterstünde, würde es keiner machen. So, wie Sie sich jemanden für alles Mögliche mieten können, kann man jemanden kaufen, der sich für Sie irgendwo rein hackt.Es gibt dafür ein bestimmtes Milieu?Ja, das gibt es. IT-Söldner leben davon, für andere die schmutzigen Hacker-Jobs zu erledigen.Dazu braucht es spezielles Wissen. Haben das viele?Es werden immer mehr. Es ist auch eine Generationenfrage. Junge Menschen haben viel früher und intensiver mit Computern zu tun als andere Generationen. Der Umgang mit Technik ist für die selbstverständlich. Bei einigen ist er nicht gepaart mit Unrechtsbewusstsein, sondern mit Gewinnerwartung. Das ist das Gemisch, das jemanden zum Auftragshacker werden lässt. Mit Wirtschaftsspionage kann viel Geld verdient werden: Wenn Sie einen Wettbewerbsvorteil haben, ohne dass Sie etwas in die Erforschung eines Produkts investiert haben, wenn Sie dem Konkurrenten das Zeug einfach nur klauen, dann sparen Sie vielleicht mehrere Millionen Entwicklungskosten. Dann sind die paar Tausend oder auch Hunderttausend, die ein Hacker kostet, letztendlich nichts.Diebe müssen nicht mehr einen Panzer stehlen, auseinander nehmen und irgendwohin tragen, sondern sie brauchen nur Dateien, um den Panzer nachzubauen?So ungefähr.Was sind andere häufige Fälle?Diebstahl von Kundendaten, von Identitäten. Es gibt Schwarzmarktplätze in Internet, wo für Kreditkartennummern in Kombination mit Adressen, Geburtsdaten und weiteren Informationen Geld gezahlt wird. Man kann geklaute Karten sowohl liefern als auch bestellen.Wie kann der Dieb die PIN-Nummer einer EC-Karte herausfinden?Häufig haben die Bestohlenen die PIN irgendwo aufgeschrieben oder als vermeintliche Telefonnummer notiert. Was auch passiert, das nennt sich Scimming: eine Technik, mit der Täter beobachten, wie Leute Geld abheben - mit einer Kamera oder auch mit präparierten Tastaturen. Und dann folgen sie der Person, von der sie die PIN gesehen haben und klauen gezielt die EC-Karte. Manchmal kopieren sie die Daten auch nur, sie klonen sie quasi. Und gehen einkaufen, bis sie gesperrt ist.In meiner Sparkasse gibt es einen Sichtschutz über der Tastatur.Genau deshalb. Täter lassen sich viel einfallen. Wir haben in einem Nachbarland manipulierte Supermarktkassen erlebt: Da lieferte man mit seiner EC-Karte automatisch eine Kopie. In diesem Fall wurden Lesekartengeräte mit Chips ausgestattet, die die Kartendaten per Mobilfunk zu einer Betrügerbande ins Ausland übertrugen.Was hilft?Regelmäßig die Auszüge kontrollieren.Sind Sie selber reingelegt worden?Mir ist mal eine neue EC-Karte aus dem Briefkasten gestohlen worden. Den PIN-Brief hatte jemand schon vorher abgefangen. Ich habe das erst durch eine Abhebung der Täter bemerkt.Wie viel?3 000 Euro.Und dann?Habe ich alles gemacht, was man machen sollte: Sperren lassen, Anzeige erstatten. Schnell reagieren, zur Bank gehen.Hat in Ihren Computer einer reingesehen?Ich weiß, was ich zu tun habe, um den abzusichern.Seit wann gibt es die Computer-Forensik?Das ist eine relativ junge Wissenschaft. Sie ist mit dem Aufkommen von Computerkriminalität entstanden, wir reden hier über etwa zwanzig Jahre.Was ist eine Grundvoraussetzung für Ihren Beruf?Logisches Denken.Woher kam der Anstoß? Haben Sie ein detektivisches Bedürfnis?Ich habe an der Charité bei dem Gerichtsmediziner Professor Otto Prokop als Schüler und Student gejobbt und fand das sehr, sehr spannend. Danach wollte ich Gerichtsmediziner werden, aber das Medizinstudium habe ich abgebrochen, weil mich die Informatik mehr interessierte. Jetzt mache ich eigentlich nichts anderes - Spurensammlung, Spurenanalyse, Fälle aufklären - nur dass es eben Computer sind. Und keine Menschen.Als Jugendlicher lebten Sie im Osten. Wie kamen Sie das ersten Mal an einen Computer heran?Ein Schulkamerad, ein Botschaftskind, hatte einen C 64, einen Home-Computer. Da sind wir zum Spielen hin. Wenn die anderen vom Spielen Pause machten, habe ich rumprogrammiert.Woher konnten Sie das?Das habe ich mir aus einem Buch beigebracht. Aber auch in der Erweiterten Oberschule haben wir bei VEB Secura, einem Betrieb für Mikroelektronik, im praktischen Unterricht an Bürocomputern spannende Programmier-Jobs gemacht. So gab es eine frühe Berührung.Hatte Ihr Vater Erwin Geschonneck eine Beziehung zu Ihrer Arbeit? Zu der Computerwelt? Er war schon ein alter Mann, als Sie im Beruf anfingen.Ich habe Wochenenden damit verbracht, ihm die Dinge zu erklären, die ich beruflich mache. Vergeblich. Ich habe ein Buch über Computer-Forensik geschrieben. Der Kommentar meines Vaters war nur, dass die Buchstaben zu klein waren.Bekam er noch mit, dass es ein sehr erfolgreiches Buch war, ein Standardwerk wurde?Natürlich. Er hat auch einiges gelesen und war stolz auf mich. Obwohl ich kein Arzt geworden bin. Und auch kein Schauspieler. Er wollte so sehr, dass ich in seine Fußstapfen trete.Hatten Sie ein Talent zum Schauspielen?Nein. Ich hätte bei dem Vater bestimmt alle Chancen gehabt. Ich habe damals schon erkannt, dass sich mir alle Türen geöffnet hätten, trotz mangelnden Talents, aber wegen des Namens. Einmal habe ich in einem Kinderfilm mitgespielt. Das war schön, weil ich da sehr gehätschelt wurde.Wie hieß der Film?"Des kleinen Lokführers große Fahrt."Gibt es viele Computer-Forensiker im Land?Kann ich gar nicht sagen. Heutzutage ist es eigentlich egal, wo man sitzt. Man muss nur schnell irgendwohin kommen können.Aber wenn einer in Südafrika sitzt und in Wien gebraucht wird?Das globale Netzwerk meiner Firma umfasst Leute in fast allen großen Industrienationen. Auch in Südafrika sitzen erfahrene Kollegen. Ich kann sie anrufen, die sind dann schnell vor Ort.Sie haben einen krisenfesten Beruf. Gerade heutzutage.Gerade in stürmischen Zeiten ist viel Betrugspotenzial vorhanden. Wir haben zu tun. Die Wirtschaftskriminellen schlafen nicht, nur weil eine Weltwirtschaftskrise oder eine Rezession droht.Ihr Einblick in geheime Datenwelten - berührt er sich mit dem Thema Datenschutz?Ja. Ich wurde auch zu meiner Meinung über den so genannten Bundestrojaner befragt. Mit der Novellierung des BKA-Gesetzes soll den staatlichen Verfolgungsbehörden die Möglichkeit gegeben werden, elektronische Daten zu sichern - auch ohne das Haus zu betreten. Das ist und bleibt eine heiße Diskussion, weil wir das Thema Datenschutz und Privatsphäre ernst nehmen müssen.Damit müssten Sie permanent kollidieren.Einerseits folge ich als IT-Ermittler und Computer-Forensiker dem natürlichen Drang, so viele Daten wie möglich einzusehen. Aber ich bin auch Staatsbürger und Privatmensch. Ich möchte nicht, dass die Überwachung um sich greift, dass Daten unberechtigt gesammelt und analysiert werden. Ich bin ein großer Verteidiger von Privatsphäre. Vielleicht auch, weil ich so in der Öffentlichkeit groß geworden bin, im Rampenlicht, durch meinen Vater. Ich finde, dass meine Daten mir gehören. Ich möchte nicht, dass sie jemandem gegeben werden, dem man nicht trauen kann. Der sie vielleicht nicht dafür benutzt, wofür ich sie ihm treuhänderisch überlassen habe.Wie ist es mit Video-Überwachungen in der Öffentlichkeit? Dienen sie nicht auch Ihrer und meiner Sicherheit?Aber was weiß man wirklich darüber? Vielleicht gibt es irgendwann eine Software, die an der Art des Ganges erkennen kann, ob jemand betrunken ist. Wen geht das an? Ich möchte sicher leben, aber die Risiken abwägen. Wenn zum Beispiel Daten irgendwo zentral gespeichert werden, dann liegen die da - irgendwann kommt die Begehrlichkeit. Plötzlich gibt es irgendein anderes höheres Gut, das geschützt werden soll.Welche Auflagen haben Sie im Beruf?Wir achten streng darauf, dass wir nur auf die Daten zugreifen, auf die wir zugreifen dürfen. Wir können nicht so ohne weiteres hingehen und im E-Mail-Programm des Mitarbeiters nachsehen, welche privaten Mails er verschickt hat.Müssten Sie das nicht? Wenn es einen Anfangsverdacht gibt?Wir müssen vorher Fragen des Datenschutzes, des Post- und Fernmeldegeheimnisse und der Arbeitnehmerrechte klären. Wir können da nicht wie Cowboys reinmarschieren und alles mitnehmen.Aber wenn , wie es nun einmal ist, der weitaus höchste Teil der Computerkriminalität aus dem Inneren eines Unternehmens kommt - und nicht von außen - dann bedeutet doch jeder Mitarbeiter, der Zugriff auf Daten hat, eine potenzielle Gefahr.Das Problem ist nicht der unberechtigte Zugriff, sondern der Zugriff von Berechtigten.Die aber nicht berechtigt sind, bestimmte Daten weiterzugeben.Genau. Oder sie mit eigenen Zielen zu verändern, zu manipulieren.Wie werden Daten weitergegeben?Man kann sie ganz einfach mit einem USB-Stick transportieren. Mails sind auch interessant, zum Beispiel, was Absprachen betrifft: Ein Täter möchte sich bereichern und macht ein Kickback-Geschäft im Einkauf - wenn man beispielsweise überteuert am Markt einkauft und sich die Differenz mit dem Lieferanten teilt.Stellen wir uns vor, Sie müssen und dürfen in einen fremden Mail-Ordner. Und dann hat die Kollegin da Fotos von ihrem nackten Freund. Sie wissen nicht, was Sie erwartet.Normalerweise sollten die Unternehmen regeln, ob die Mitarbeiter Mail- und Internetzugänge auch privat nutzen dürfen. Wenn es erlaubt ist, sollte es eine Klausel geben, die eine Untersuchung der Daten im Verdachtsfall ermöglicht. Die andere Variante ist, Privatnutzung komplett zu verbieten und das auch zu kontrollieren. Dann dürften wir in die Mails, weil wir nichts Privates finden. Manche Unternehmen haben auch zwei Mail-Accounts, einen für privat, einen für dienstlich. Man kann aber nicht verhindern, im Dienstaccount private Mails zu erhalten. Und manchmal stehen wir auch vor einer verschlossenen Tür: Wir dürfen an Daten nicht heran, obwohl wir wissen, hinter der Tür würden wir etwas finden.Und dann?Warten, bis der Zugriff gerechtfertigt ist. Die Polizei hat da mehr Möglichkeiten.Ich habe gelesen, dass die Unternehmen sich durch Firewalls vor Angriffen von außen schützen, aber zu wenig Sicherheitsvorkehrungen nach innen zu treffen.Das ist richtig. In den letzten Jahren gab es einen Trend zur Außenabschottung - Firewalls, wie man es aus dem Mittelalter kennt: Man hat eine mächtige Zugbrücke hochgezogen, um einen offensichtlichen Feind abzuhalten, aber hinten am Wirtschaftseingang gibt es noch eine kleine Tür. Unternehmen können sich nicht völlig abschotten. Zum Beispiel können Reinigungskräfte hereinkommen. Ein externer Mitarbeiter. Ein Besucher, der unbeobachtet durchs Gelände geht.Kann man nichts gegen machen.Man muss die Hürde so hoch bauen, dass es für einen Angreifer unwirtschaftlich wird, darüberzuspringen. Wie zu Hause: Wenn ich fremde Hunde abhalten will, genügt ein Zaun. Möchte ich einen Einbrecher abhalten, brauche ich einen hohen Zaun oder eine Alarmanlage. Für ein Unternehmen kann das bedeuten, auch die Firma zu überprüfen, die ihm die Putzfrau ins Haus schickt. Insgesamt muss man auf interne Auffälligkeiten achten.Zugriffe zu einer ungewöhnlichen Zeit? So etwas?Ja, es geht um Anomalie-Erkennung. Aber was macht man, wenn Leute rund um die Uhr arbeiten? Wir haben die Protokolldateien aller Zugriffe. Wieder so ein Knäuel. Wir müssen den Faden finden. Wir beginnen mit statistischen Verfahren - was ist wahrscheinlich, was ist nicht wahrscheinlich? Um eine Anomalie zu erkennen, muss ich wissen, wie das normale Verhalten ist. Was ist in diesem Laden normal?Sind die Systeme von PC und Apple unterschiedlich angreifbar?Im Verhältnis zu Windows sind viel weniger Angriffe auf Apple bekannt geworden. Es gibt kaum Viren, die Apple als Ziel haben, einfach weil Angreifer für Zwecke Tools entwickeln, wo sie sich den meisten Erfolg versprechen. Windows Systeme sind viel weiter verbreitet. Deshalb installieren viele Apple-Nutzer keinen Virenscanner.Ist das richtig?Da ich einer gewissen Berufsparanoia unterliege, würde ich auch bei Apple einen Schutz installieren. So wie ich mir öfter zwei Wecker stelle. Sicher ist sicher.Haben Sie auch mit Spam zu tun?Spam ist ja nur der Versand von E-Mails. Aber wenn man Systeme von Dritten verwendet, um eigene Spams zu verschicken, wird es für uns interessant. Dann geht dem Versand dieser E-Mails oft der Einbruch in ein fremdes System voraus.Aber werden nicht viele Leute durch Spams betrogen? Besonders alte Menschen könnten der Aufforderung Ihrer vermeintlichen Hausbank folgen, die Geheimnummer mitzuteilen. Da würde Schaden entstehen.Das ist das Thema Phishing. Mit gefälschten, täuschend echt aussehenden Webseiten überlistet man den Empfänger einer E-Mail und fordert ihn auf, geheime Daten preiszugeben.Und warum wird so etwas nicht aufgeklärt und bestraft?Doch. Wird es. Sie müssten bemerkt haben, dass die Banken-Spams nachgelassen haben. Der Polizei ist ein großer Ermittlungserfolg gelungen.Dafür bekomme ich jetzt Mails von angeblichen Schulfreunden, die im Spielcasino viel Geld gewonnen haben und mich zum Mitspielen auffordern. Sie haben auch schon 1000 Euro für mich hinterlegt.Nicht draufklicken. Sonst wird Ihnen irgendein Virus untergeschoben.Und was passiert dann?Dann läuft der Virus auf Ihrem Rechner. Er kann nach Kreditkartendaten suchen, oder er installiert sich und wartet auf Befehle. Zum Beispiel: "Versende 20000 Viagra-Mails nach sowieso!" Aber mit dem Thema beschäftige ich mich kaum, weil die meisten Unternehmen die Spams professionell herausfiltern.Kommen Viren auch auf meinen Computer, wenn der nicht eingeschaltet ist?Nein. Wenn der aus ist, ist er aus.Haben Sie einen großflächigen Virenangriff schon einmal beobachtet?Hab ich.Sieht man die? Ich hätte gerne irgendeine Vorstellung, ein Bild davon.Das sind keine Viecher mit Beinen dran. Das sind Programme, die eingeschleust werden, um Schaden zu verursachen.Was war Ihr aufregendster Fall?Die sind alle irgendwie aufregend. Wir arbeiten im Korruptionsbereich. Wir suchen schwarze Kassen. Sie können davon ausgehen, dass wir als eine der vier großen Wirtschaftsprüfungsgesellschaften an den ganz großen Dingern dran sind.------------------------------Foto: Alexander Geschonneck. geboren 1970 in Berlin, . Sohn des Schauspielers Erwin Geschonneck und seiner Frau Heike. Studium der Wirtschaftsinformatik. leitet als Senior Manager bei der Ernst & Young AG den Bereich Forensic Technology & Discovery Services. Autor des Standardwerks "Computer-Forensik. Computerstraftaten erkennen, ermitteln, aufklären", dpunkt.verlag. Aus dem Geleitwort: "Ich wünsche Ihnen, dass Sie dieses Buch nie wirklich anwenden müssen, empfehle Ihnen aber dennoch, sich mit den Konzepten, Werkzeugen und Verhaltensweisen zu beschäftigen, bevor es soweit ist!". lehrt Computer-Forensik an mehreren Hochschulen und bei Strafverfolgungsbehörden. liebt Fotoausstellungen und Theater. Bewegt sich privat als Jogger und beruflich als Vielflieger.Es geht um eine heiße Ware im Wirtschaftsleben. Datendiebe brechen in Sicherheitssysteme ein und verkaufen Informationen an Konkurrenten. Wie können solche Straftaten erkannt und verfolgt werden? Ein Gespräch mit dem Computer-Forensiker Alexander Geschonneck