Sind Sie vorbereitet?

Erste Hilfe nach dem Datenklau

19.04.2013
Von 


Simon Hülsbömer betreut als Senior Research Manager Studienprojekte in der Marktforschung von CIO, CSO und COMPUTERWOCHE. Zuvor entwickelte er Executive-Weiterbildungen und war rund zehn Jahre lang als (leitender) Redakteur tätig. Hier zeichnete er u.a. für die Themen IT-Sicherheit und Datenschutz verantwortlich.

Was ist strafbar, was nicht?

Ralph Noll mahnt, sich nicht immer nur auf die externen Täter zu konzentrieren.
Ralph Noll mahnt, sich nicht immer nur auf die externen Täter zu konzentrieren.
Foto: PricewaterhouseCoopers

Eine Stagnation der Fallzahlen beobachtet auch Ralph Noll, IT-Forensiker bei der Wirtschaftsprüfungsgesellschaft PricewaterhouseCoopers (PwC) - zumindest im Bereich der Wirtschaftskriminalität: "Bei IT-forensischen Untersuchungen zeigt sich in etwa der Hälfte der Fälle, dass die Täter aus den eigenen Reihen stammen. Unsere Studie zur Wirtschaftskriminalität, in der wir geschädigte Unternehmen befragen, bestätigt diese Quote." Er bemängelt, dass trotz dieser Zahlen die Innentäter in Abwehrstrategien häufig nicht berücksichtigt würden: "Die IT-Sicherheitsmaßnahmen konzentrieren sich jedoch vor allem auf die Abwehr externer Täter."

Datenintegrität wahren

Wirtschaftsprüfer wie Noll nehmen im Zuge der Prüfung von Korruptions- oder Veruntreuungsfällen häufig die IT-Systeme genau unter die Lupe, um festzustellen, wann welche Daten wohin geflossen sind. "Hat ein Kunde eine Straftat entdeckt, wünscht er sich schnellstmöglich eine vollständige Aufklärung", berichtet der IT-Forensiker, der in strafrechtlich relevanten Fällen oft auch direkt mit den Ermittlungsbehörden zusammenarbeitet. Hier unterscheiden sich die mit Berufspflichten ausgestatteten Wirtschaftsprüfer von den kein öffentliches Amt ausübenden Penetrationstestern und IT-Auditoren.

Obwohl die Zahl der untersuchten Daten-unfälle derzeit nicht zunimmt, werden die forensischen Untersuchungen bei den PwC-Wirtschaftsprüfern umfangreicher. Durch den wachsenden "Gerätezoo" in den Unternehmen steige auch die Zahl der zu untersuchenden digitalen Daten, berichtet Noll.

Krisenteams im Einsatz

Wenn ein Verdacht auf Datendiebstahl bestehe, sei es zwingend erforderlich, umgehend neutrale Experten einzuschalten - auch um die Integrität beispielsweise von Logfiles zu wahren. "Interne Untersuchungen reichen meist nicht aus", stellt er klar und betont, dass im Sinne der Glaubwürdigkeit und Unabhängigkeit - vielfach aber auch im Rahmen gesetzlicher Vorgaben - ein objektiver Blick auf IT-Systeme unabdingbar ist. Das heißt aber nicht, dass betroffene Unternehmen intern gar nicht tätig werden sollen: Ein Notfallteam lässt sich im Idealfall sofort einsetzen, um anhand eines Notfallplans Informationsflüsse und Maßnahmen zu steuern.

Oft ist es die finale Aufgabe im Rahmen eines Audits durch Dienstleister wie SySS und Secunet, einen solchen Plan auszuarbeiten respektive aktuellen Gegebenheiten anzupassen. "Es lassen sich keine pauschalen Aussagen darüber treffen, wie die Notfallstrategie genau auszusehen hat", erläutert Haist. Verantwortliche sollten sich aber zumindest schon einmal Gedanken über mögliche Szenarien machen.

Das Wichtigste aus seiner Sicht ist ein Notfallteam, ein sogenanntes CERT (Computer Emergency Response Team) aus PR-Leuten, IT-Experten und Juristen, die im Fall der Fälle sofort wüssten, wer wann worüber wie zu informieren ist und welche weiteren Experten eingeschaltet werden müssen. Und wenn es nur um die Aufstellung einer Telefonliste gehe, die im entscheidenden Moment viel Zeit spare. "Manchmal suchen wir erst einen halben Tag lang nach den Telefonnummern von dem und dem Ansprechpartner, bevor wir mit der eigentlichen Arbeit beginnen können", so der Penetrationstester. Wirtschaftsprüfer Noll bestätigt, dass er selbst bei Großunternehmen nicht immer einen Notfallplan vorfindet, in dem die wichtigsten Telefonnummern stehen. Sein Fazit: "Leider sorgen immer noch viele Unternehmen erst vor, wenn sie bereits geschädigt wurden." So unheimlich und komplex das Thema Datenabfluss also erscheinen mag, die erste Hilfe nach dem GAU beginnt immer schon mit den kleinen Dingen.