Schreibtisch-Tätern auf der Spur

Interview mit Jan Bindig, Geschäftsführer der DATARECOVERY®.

Laut Breach Level Index ist die Zahl der weltweit gelöschten und entwendeten Datensätze 2017 um 88 Prozent auf rund 2,6 Milliarden gestiegen. Was sind die Ursachen?

Rund die Hälfte der Datenverluste gehen auf Bedienfehler oder Fahrlässigkeit der Mitarbeiter zurück, auf Platz zwei liegen externe Cyberattacken mit 600 Millionen Datensätzen, gefolgt von interner Cyberkriminalität mit 30 Millionen Datensätzen – was einen Zuwachs von 73 Prozent entspricht. Die meisten Unternehmen verbinden Datenverluste mit Viren- und Hacker-Angriffen. Dabei kommen die Täter kommen viel häufiger aus den Reihen der eigenen Mitarbeiter.

Was sollten Unternehmen bei einem durch Mitarbeiter verursachten Datenverlust tun?

Nach Artikel 33 und 34 der Datenschutz-Grundverordnung (DSGVO) müssen Unternehmen Sicherheitsvorfälle, die im Zusammenhang mit personenbezogenen Daten stehen, innerhalb von 72 Stunden an die zuständigen Behörden melden, es sei denn, dass der Datenvorfall voraussichtlich nicht zu einem Risiko für den Betroffenen führt. Das gilt sowohl für extern als auch intern verursachte Datenverluste. Die DSGVO dürfte also dazu beitragen, das Sicherheitsbewusstsein der Unternehmen zu erhöhen.

Viele Unternehmen fürchten sich allerdings vor einem Imageverlust, wenn Sicherheitsvorfälle publik werden. Um Schwachstellen aufzudecken oder Verdachtsfällen nachzugehen, empfiehlt es sich, ein auf IT-Forensik spezialisiertes Unternehmen zu engagieren. Mithilfe modernster Ermittlungs- und Analysetechniken können sie genau feststellen, welche Vorgänge auf einem IT-System stattgefunden haben, wer dafür verantwortlich war und gerichtsverwertbare Beweise sichern.

Über Jan Bindig

Jan Bindig ist CEO der auf IT-Forensik und Datenrettung spezialisierten DATARECOVERY®. Das Unternehmen bietet schnelle und kompetente Unterstützung bei digitalen Datenverlusten aller Art. Die Wiederherstellungsquote liegt bei über 90 Prozent. Jan Bindig ist seit vielen Jahren in der IT Branche zu Hause: Neben der Spezialisierung im Bereich Reverse-Engineering war er bereits Ende der 90er Jahre in vielen IT-Projekten im Bereich Serveradministration und Netzwerksicherheit aktiv.

Nach dem Wirtschaftsinformatikstudium in Leipzig und längeren Auslandsaufenthalten unter anderem in Osteuropa und Großbritannien gründete er 2004 sein inhabergeführtes Unternehmen mit Standorten in Berlin, Hamburg, Frankfurt, Köln, Leipzig, München und Stuttgart. Als Spezialist für IT-Sicherheit ist er auch auf zahlreichen Kongressen und Konferenzen im Bereich IT-Sicherheit und E-Discovery zu finden.

Was muss man sich die digitale Beweissicherung vorstellen?

In einem ersten Schritt erstellen die IT-Forensiker einen digitalen Zwilling der Festplatte. An ihm wird untersucht, auf welche Dateien der Mitarbeiter im Verdachtszeitraum zugegriffen hat. Denn nahezu alle Interaktionen hinterlassen Spuren. So lässt sich u.a. nachweisen, welcher USB-Stick zum Zeitpunkt des Datenverlusts an den Computer angeschlossen war. Die Informationen lassen Rückschlüsse auf die vom Tatverdächtigen entwendeten Dateien zu. Auch im Arbeitsspeicher lassen sich möglicherweise noch Spuren finden. Erfolgte der Diebstahl hingegen über das Internet, können Spuren im Browser, E-Mail-Client oder im Cache des Proxy-Servers Hinweise zum Täter liefern.

Gibt es Parallelen zwischen IT-Forensik und Datenrettung?

Oftmals ja, denn in beiden Fällen geht es um die Wiederherstellung von Daten. Ebenso wie versehentlich gelöschte Daten wird auch ein Datendieb im eigenen Unternehmen seine Spuren möglichst gut verwischen. Der Schwerpunkt bei der IT-Forensik liegt natürlich auf der Informationsgewinnung, nicht unbedingt auf den Daten selbst. In beiden Fällen werden die Rohdaten auf einen anderen Datenträger kopiert. Im Rahmen der logischen Rekonstruktion werden die verloren gegangenen oder gelöschten Daten in mehreren Arbeitsschritten manuell, halbautomatisch sowie mithilfe von Spezial-Software Bit für Bit wiederhergestellt. Die Rekonstruktion kann dabei zwischen einigen Stunden und mehreren Wochen dauern, wenn die Daten verschlüsselt waren.

Bilder: DATARECOVERY

WEITERSAGEN