Wirtschaftskriminalität ist ein weit verbreitetes Phänomen. Ans Licht der Öffentlichkeit gelangen meist jedoch nur die spektakulärsten Fälle. Doch auch in kleinerem Rahmen sind gefälschte Bilanzen, Veruntreuungen, Sabotage, Industriespionage oder Unregelmäßigkeiten bei Insolvenzen keine Seltenheit. Alleine Unfreiwilliger Helfer dabei sind heute Computer und Co., ohne die in Zeiten der Digitalisierung in Unternehmen so gut wie nichts mehr geht. Mehr als 90 Prozent aller Dokumente werden mittlerweile elektronisch erstellt, weniger als ein Drittel davon werden jemals ausgedruckt. Somit liegen Businesspläne, Verträge, Kalkulationen und anderes mehr oftmals ausschließlich in elektronischer Form vor. Attacke Angriffe auf diese unternehmensrelevanten Daten geschehen dabei sehr häufig durch den "Feind" im Inneren. "60 bis 80 Prozent aller illegalen Aktivitäten erfolgen durch eigene Mitarbeiter, bis hinauf in die oberste Führungsetage", berichtet Reinhold Kern, verantwortlicher Manager für Computerforensik beim Datenrettungsunternehmen Kroll Ontrack . Er und seine Spezialisten werden gerufen, hat ein Unternehmen den Verdacht, dass sich jemand unberechtigt an vertraulichen Daten zu schaffen gemacht hat. Die Datendetektive sehen dabei auch das vermeintlich Unsichtbare: "Jede Aktivität, jede Änderung an einem PC oder Datenträger hinterlässt Spuren. Wie Pathologen können wir im Nachhinein, sozusagen 'post mortem', den Fragen nachgehen, wer, was, wo, wie, wann am Rechner gemacht hat", betont Kern. Daten Fokus der Computerforensik ist die Wiederherstellung und Sicherung zum Beispiel von gelöschten Daten, die Recherche und Analyse von Indizien, die in digitaler Form vorliegen sowie ihre gerichtsfeste Dokumentation. Bevor eine forensische Untersuchung angegangen werden könne, müssten jedoch die Datenschutzbestimmungen geprüft werden, betont der Experte. Kopie Meist nachts oder am Wochenende werden die forensischen Kopien von den in Betracht kommenden Datenträgern gezogen. Im Labor werden von der Originalkopie weitere Arbeitskopien gezogen, die Originalkopie wird versiegelt und im Safe aufbewahrt. Selbst absichtlich gelöschte Daten können die digitalen Spurensucher aufspüren. "Auch kleinste Teile von Daten sind für uns Hinweise, die wir wie Schnipsel aus dem Papierkorb zusammenpuzzeln", erzählt der Spezialist. Beweise Die Beweiskraft elektronischer Dokumente hängt aber auch davon ab, ob der wirkliche Benutzer identifiziert werden kann: "War es der Mitarbeiter, der sonst an diesem Arbeitsplatz sitzt, oder nur jemand, der sich das Passwort beschafft hat?", macht Kern deutlich. Wird anhand der zeitlichen Abfolge bestimmter Vorgänge sichtbar, dass der offizielle Benutzer etwa zu einem bestimmten Zeitpunkt auf Urlaub war, trägt dieses Wissen der Entlastung des vermeintlich Verdächtigten bei. Interpretaion Nicht die Datenherstellung an sich, sondern die Interpretation der Spuren sei das eigentlich Knifflige bei der Computerforensik, betont Kern. Und erzählt zur Veranschaulichung von dem Fall eines schwedischen Universitätprofessors, auf dessen Computer kinderpornografisches Material gefunden worden war. Er verlor seinen Job, wurde verurteilt und musste ins Gefängnis. Nach seiner Haftentlassung ließ er den Rechner erneut von Computerforensikern untersuchen. Diese entdeckten, dass die Bilder über einen Trojaner auf den Rechner gelangt und dort gespeichert worden waren und der Verurteilte keine der Bilddateien jemals geöffnet hatte. Spuren Mit Fingerspitzengefühl und speziellen Tools entdecken Computerforensiker digitale Spuren, die darüber Auskunft geben können, ob jemand an einem PC Daten abgesaugt, geändert oder gelöscht hat. (Karin Tzschentke / DER STANDARD Printausgabe, 11.12.2007)