Wirtschaftskriminelle nutzen heute oftmals IT-Systeme, um an ihr Ziel zu gelangen. Auch der Handel mit gestohlenen und illegalen Daten boomt im Internet. Doch dabei hinterlassen Verbrecher verräterische Spuren. Damit Täter überführt werden können, entwick Das Praxismagazin für Finanzthemen Onlineausgabe des Printmagazins Finanzen Markt & Meinungen.

 
 
01.06.2011 13:11 Uhr
IT-FORENSIK

Wirtschaftskriminellen auf der Spur

München, 01.06.2011 13:11 Uhr (JF)

Wirt­schafts­kri­mi­nelle nutzen heute oftmals IT-Systeme, um an ihr Ziel zu gelangen. Auch der Handel mit gestoh­lenen und ille­galen Daten boomt im Internet. Doch dabei hinter­lassen Verbre­cher verrä­te­ri­sche Spuren. Damit Täter über­führt werden können, entwickeln Fraun­ho­fer-Forscher neue Verfahren der IT-Forensik.

Ein Schaden von 3,43 Milliarden Euro entstand im Jahr 2009 durch Betrug und Untreue. Zu diesem Ergebnis kommt der Bundeslagebericht Wirtschaftskriminalität des Bundeskriminalamts. Straftaten, die mit Computern begangen wurden stiegen um mehr als30 Prozent. Dabei gehen Experten von einer hohen Dunkelziffer aus. Aus Imagegründen bringen viele Unternehmen interne Vorfälle nicht zur Anzeige. Forscher des Fraunhofer-Instituts für Sichere Informationstechnologie SIT in Darmstadt bauen deshalb die IT-Forensik und IT-gestützte Betrugsbekämpfung aus. Die Wissenschaftler stellen Datenspuren sicher, welche den Tathergang rekonstruieren der Beweisführung nutzen.

Wie beschlagnahmt man eine Cloud?

Aktuell beschäftigen sich die Wissenschaftler intensiv mit dem Thema Cloud Computing, das neue Herausforderungen an die Forensik stellt. Beschlagnahmte die Polizei früher Computer und Datenträger, verteilt sich der Tatort in der Cloud mittlerweile zwischen unterschiedlichen IT-Dienstleistern. Daten und Programme sind nicht mehr auf einem Computer, sondern auf einer Vielzahl von Computern in der Cloud installiert. Der Vorteil: In dem Outsourcing von IT-Ressourcen steckt für Unternehmen erhebliches ökonomisches Potenzial. Der Nachteil: »Wie kommen die Ermittlungsbehörden in der Cloud an die relevanten Datenspuren?«, ist für Dr.-Ing. Markus Schneider, stellvertretender Institutsleiter am SIT eine der nächsten großen Herausforderungen.

Gibt es heute einen begründeten Verdacht, beschlagnahmt die Polizei Rechner, Festplatten und sonstige Speichermedien. Forensiker ziehen sich davon Kopien, mit denen sie ihre Ermittlungsarbeit beginnen. Das Original bleibt als Beweisstück unverändert.

Wie geht das beim Cloud Computing, wo die Daten in weltweit verteilten Rechenzentren liegen können? Die Polizei kann nicht in ein Rechenzentrum stürmen und sämtliche Datenträger mitnehmen. Selbst wenn, dann hätte man nicht nur die Daten des Verdächtigen, sondern auch noch einer Million anderer Personen beschlagnahmt. Für den Forensiker sind nicht nur die Daten von Verdächtigen von Interesse, sondern auch die Logdaten, welche die Interaktion des Verdächtigen mit dem Cloud-Dienst wiedergeben. Auch diese müssen sichergestellt werden und außerhalb der Cloud analysiert werden, wobei jeder Cloud-Anbieter seine eigenen Logdienste und Formate hat. Das stellt die Ermittler vor große Herausforderungen. Doch damit nicht genug. Denn Cloud-Anbieter nutzen häufig selbst wieder Cloud-Dienste, und wo die Daten wirklich liegen, ist nicht klar. Ob in Deutschland oder in einem anderen Land, in dem andere Rechte gelten und womöglich gar nicht beschlagnahmt werden darf? Vielleicht ist der Verdächtige gar nicht der eigentliche Täter, sondern selbst Opfer einer perfiden Datenmanipulation geworden.

Auf welcher Rechtsgrundlage, mit welchen Werkzeugen, wie sind die Abläufe, die Prozesse, wie kommt man an die Daten heran und woher weiß man, ob man alles hat? Es könnte entlastendes Material fehlen. »Nur, wenn man alles zusammen sieht, ergibt sich ein belastbares Bild. Deswegen ist es wichtig, jeder Spur nachzugehen und objektive Beweise zu finden«, so Schneider. Das Hype-Thema Cloud Computing wirft für Sicherheitsexperten viele neue Fragen auf.

Cloud Fraunhofer SIT
Wie kommen die Ermittlungsbehörden in der Cloud an die relevanten Datenspuren? – das ist für die Forensik-Forscher die nächste große Herausforderung. (Bild © Fraunhofer SIT)

IT-Forensiker werden aber auch aktiv, wenn keine konkreten Verdachtsmomente auf verbotene Handlungen vorliegen: Zum Beispiel untersuchen sie im Auftrag von Wirtschaftsprüfern routinemäßig Finanzdaten von Unternehmen. Als Ermittler sucht man dabei die Nadel im Heuhaufen. So ist es möglich, dass zunächst unklar ist, was genau gesucht wird. Ein großes Problem sind die rasant ansteigenden Datenmengen. Jedes Jahr steigen die zu analysierenden Datenmengen, um Betrug und Unterschlagung aufzudecken, um 30 bis 40 Prozent. Ließen sich bestimmte Suchvorgänge automatisieren, wäre das für Forensiker eine enorme Hilfe. Es braucht also Software, die für das menschliche Auge unübersichtlich große Datenbestände durchsucht und Unstimmigkeiten zuverlässig und automatisch entdeckt. »Die umfangreichen Daten, die bei der Spurensuche zu berücksichtigen sind, treiben die Untersuchungskosten in die Höhe und verlangen nach automatisierten Herangehensweisen«, erklärt Schneider.

Wenn ein Detektor ständig piepst, hört man nicht mehr hin

Ein Beispiel ist die Verwendung mathematisch-statistischer Methoden, um schnell Unregelmäßigkeiten und eklatante Abweichungen in Bilanzen und Abrechnungen zu entdecken. Ein solches Vorgehen wendet man bei der Benford-Analyse an, die auf einer verblüffenden Entdeckung basiert. Es ist das Phänomen, dass die 1 als führende Ziffer einer Zahl in vielen Datenreihen erheblich häufiger vorkommt als etwa die Ziffer 9. Das ist dem Mathematiker Simon Newcomb bereits im 19. Jahrhundert aufgefallen. Diese Entdeckung wurde später von Frank Benford ein weiteres Mal wissenschaftlich belegt.

Für den Laien sieht das eher nach Magie statt fundierter Analyse aus. Wie die Ziffern in Buchungsdaten verteilt sind, scheint willkürlich. Doch man hat herausgefunden, dass auch die Ziffern von Finanzdaten, egal ob hoch oder niedrig, in vielen Fällen nach Benford verteilt sind. Eine Anwendung dieses mathematischen Gesetzes unterstützt also IT-Forensiker bei der Spurensuche.

Allerdings gibt es in der Praxis oftmals Probleme bei der Benford-Analyse. Etwa, wenn es in Unternehmen aus Sicherheitsgründen Buchungsbeschränkungen gibt. In manchen Firmen dürfen Angestellte beispielsweise nur bis maximal 50 000 Euro Rechnungen bezahlen. Diese Beschränkung hat allerdings Auswirkungen auf die statistische Verteilung der Anfangsziffern. Bestimmten Mitarbeitern steht nur ein begrenzter Wertebereich zur Verfügung, was sich auf die Verteilung von Ziffernhäufigkeiten auswirkt. Dadurch verschieben sich die Häufigkeiten, die eine Benford-Analyse fälschlicherweise Alarm schlagen lassen.

Die Folge: Werkzeuge, wie ein Zugriffskontrollsystem tragen also dazu bei, dass forensische Werkzeuge wie die Benford Analyse nicht mehr funktionieren. »Deswegen haben wir uns überlegt, wie sich die Auswirkungen von festen äußeren Einflüssen wie Buchungsgrenzen auf Ziffernverteilungen wie die Benford-Verteilung auswirken, und das in einer neuen Lösung modelliert «, erläutert Schneider.

Dazu musste man untersuchen, wie sich in einer Welt, in der es äußere Einflüsse wie Buchungsbeschränkungen geben kann, Auswirkungen auf die Ziffernverteilungen gestalten. Wie müsste eine gute Verteilung aussehen? Die Eigenschaften der Umgebung müssen in einer Art modifizierten Benford-Verteilung neu erfasst werden. »Wir berechnen eine neue Ziffernverteilung so, dass sie den real erwarteten Gegebenheiten angepasst ist. Bei der klassischen Benford-Analyse macht man das nicht. Würde man stattdessen unser Verfahren nehmen, ließ sich Geld und Aufwand sparen. Einige vertrauen der klassischen Benford-Analyse auch überhaupt nicht mehr, da diese zu viele Falschalarme produziert. Wenn ein Detektor auch bei ungerechtfertigten Fällen ständig piepst, hören sie irgendwann nicht mehr hin.«

Mit den Arbeiten zur modellgestützten digitalen Analyse ist es den Wissenschaftlern am SIT gelungen, die bisherige forensische Methodik der Wirtschaftsprüfer weiterzuentwickeln: »Wir analysieren die Besonderheiten der Buchhaltung und bilden diese in einem mathematischen Modell ab. Die klassische Benford-Analyse wird so modifiziert, dass sie die Merkmale des Unternehmens besser berücksichtigt und seltener Fehlalarm schlägt«, erklärt Schneider.

Aus der Forschungsarbeit der Forensiker ist nun ein Prototyp für eine Software entstanden. » Ein Ziel ist es, unser Verfahren als Dienstleistung oder Software zur forensischen Ermittlung z.B. für Wirtschaftsprüfer anzubieten«, schildert Schneider die Pläne.

 

  • IT-Forensik
  • Cloud Computin
  • Benford-Analyse
 
Artikel »   Drucken Versenden

 


Kommentar schreiben »



Kommentar:
Bei einer Antwort möchte ich per Email benachrichtigt werden an
      meine Emailadresse: (wird nicht veröffentlicht)

Bitte übertragen Sie die dargestellte Zeichenfolge in das rechte Feld:

* Bitte halten Sie sich an die Netikette und vermeiden persönliche Anschuldigungen, Beleidigungen und Ähnliches. Verbreiten Sie außerdem keine Unwahrheiten, Vermutungen, Gerüchte sowie rufschädigende oder firmeninterne Informationen. Beachten Sie die Rechte Anderer und urheberrechlich geschützter Quellen. Bei rechtlichen Verstößen haften Sie in vollem Umfang. Aus diesem Grund sind wir gezwungen, Ihre IP-Adresse und Ihren Provider zu speichern. Mit dem Speichern Ihres Kommentars erklären Sie sich mit diesen Regelungen einverstanden.

 

Weitere Artikel zum Thema:

nach oben
LIVE Börsenindizes

Die weltweiten Indizes werden Ihnen von

Investing.com Deutsch zur Verfügung gestellt.

Facts und Figures
"Facts" berichtet kurz und bündig über aktuelle Themen aus dem Redaktionsticker. Weitere Push-Dienste bieten wir bei...

Economics - Global Highlights

Global - national - regional.
Durch die Kooperation mit dem englischen Wirtschafts-
magazin "The Economist“ erhalten FMM-Leser einen weitreichenden Einblick in das internationale Geschehen zu den Themen Wirtschaft, Politik und Finanzen.

Wöchentliches Update interessanter Artikel...

Unternehmensnachrichten (ots-Dienst)

Von unserem Partner news aktuell
Print und Online-Specials der FMM-Redaktion
Krisen bieten Chancen und geben Neuorientierung. Den Blick nach vorne gerichtet, bieten Wirtschaft und Finanzmärkte immer wieder spannende Themen und interessante Trends. Beides wollen wir unseren Lesern in Form von Print/Online-Specials näher bringen.

Die aktuellen Themenpläne stehen ab sofort auf FMM zur Verfügung.
» Zur Übersicht aller Specials …
Prognosen und Trends
Veranstaltungshinweise
Marktkommentare von der Frankfurter Börse
Europa News
 
Finanzen Markt & Meinungen - Das Praxismagazin für Finanzthemen
Onlineausgabe des Printmagazins Finanzen Markt & Meinungen.

Portalsystem 2018 © FSMedienberatung
Contentservice: Javascript Newsticker für Ihre Internetseite RSS Feed XML 0.9
0,814 Sek.