Wirtschaftskriminellen auf der Spur

Ein Schaden von 3,43 Milliarden Euro entstand im Jahr 2009 durch Betrug und Untreue. Zu diesem Ergebnis kommt der Bundeslagebericht Wirtschaftskriminalität des Bundeskriminalamts. Straftaten, die mit Computern begangen wurden stiegen um mehr als30 Prozent. Dabei gehen Experten von einer hohen Dunkelziffer aus. Aus Imagegründen bringen viele Unternehmen interne Vorfälle nicht zur Anzeige. Forscher des Fraunhofer-Instituts für Sichere Informationstechnologie SIT in Darmstadt bauen deshalb die IT-Forensik und IT-gestützte Betrugsbekämpfung aus. Die Wissenschaftler stellen Datenspuren sicher, welche den Tathergang rekonstruieren der Beweisführung nutzen.

Wie beschlagnahmt man eine Cloud?

Aktuell beschäftigen sich die Wissenschaftler intensiv mit dem Thema Cloud Computing, das neue Herausforderungen an die Forensik stellt. Beschlagnahmte die Polizei früher Computer und Datenträger, verteilt sich der Tatort in der Cloud mittlerweile zwischen unterschiedlichen IT-Dienstleistern. Daten und Programme sind nicht mehr auf einem Computer, sondern auf einer Vielzahl von Computern in der Cloud installiert. Der Vorteil: In dem Outsourcing von IT-Ressourcen steckt für Unternehmen erhebliches ökonomisches Potenzial. Der Nachteil: »Wie kommen die Ermittlungsbehörden in der Cloud an die relevanten Datenspuren?«, ist für Dr.-Ing. Markus Schneider, stellvertretender Institutsleiter am SIT eine der nächsten großen Herausforderungen.

Gibt es heute einen begründeten Verdacht, beschlagnahmt die Polizei Rechner, Festplatten und sonstige Speichermedien. Forensiker ziehen sich davon Kopien, mit denen sie ihre Ermittlungsarbeit beginnen. Das Original bleibt als Beweisstück unverändert.

Wie geht das beim Cloud Computing, wo die Daten in weltweit verteilten Rechenzentren liegen können? Die Polizei kann nicht in ein Rechenzentrum stürmen und sämtliche Datenträger mitnehmen. Selbst wenn, dann hätte man nicht nur die Daten des Verdächtigen, sondern auch noch einer Million anderer Personen beschlagnahmt. Für den Forensiker sind nicht nur die Daten von Verdächtigen von Interesse, sondern auch die Logdaten, welche die Interaktion des Verdächtigen mit dem Cloud-Dienst wiedergeben. Auch diese müssen sichergestellt werden und außerhalb der Cloud analysiert werden, wobei jeder Cloud-Anbieter seine eigenen Logdienste und Formate hat. Das stellt die Ermittler vor große Herausforderungen. Doch damit nicht genug. Denn Cloud-Anbieter nutzen häufig selbst wieder Cloud-Dienste, und wo die Daten wirklich liegen, ist nicht klar. Ob in Deutschland oder in einem anderen Land, in dem andere Rechte gelten und womöglich gar nicht beschlagnahmt werden darf? Vielleicht ist der Verdächtige gar nicht der eigentliche Täter, sondern selbst Opfer einer perfiden Datenmanipulation geworden.

Auf welcher Rechtsgrundlage, mit welchen Werkzeugen, wie sind die Abläufe, die Prozesse, wie kommt man an die Daten heran und woher weiß man, ob man alles hat? Es könnte entlastendes Material fehlen. »Nur, wenn man alles zusammen sieht, ergibt sich ein belastbares Bild. Deswegen ist es wichtig, jeder Spur nachzugehen und objektive Beweise zu finden«, so Schneider. Das Hype-Thema Cloud Computing wirft für Sicherheitsexperten viele neue Fragen auf.

Wie kommen die Ermittlungsbehörden in der Cloud an die relevanten Datenspuren? – das ist für die Forensik-Forscher die nächste große Herausforderung. (Bild © Fraunhofer SIT)

IT-Forensiker werden aber auch aktiv, wenn keine konkreten Verdachtsmomente auf verbotene Handlungen vorliegen: Zum Beispiel untersuchen sie im Auftrag von Wirtschaftsprüfern routinemäßig Finanzdaten von Unternehmen. Als Ermittler sucht man dabei die Nadel im Heuhaufen. So ist es möglich, dass zunächst unklar ist, was genau gesucht wird. Ein großes Problem sind die rasant ansteigenden Datenmengen. Jedes Jahr steigen die zu analysierenden Datenmengen, um Betrug und Unterschlagung aufzudecken, um 30 bis 40 Prozent. Ließen sich bestimmte Suchvorgänge automatisieren, wäre das für Forensiker eine enorme Hilfe. Es braucht also Software, die für das menschliche Auge unübersichtlich große Datenbestände durchsucht und Unstimmigkeiten zuverlässig und automatisch entdeckt. »Die umfangreichen Daten, die bei der Spurensuche zu berücksichtigen sind, treiben die Untersuchungskosten in die Höhe und verlangen nach automatisierten Herangehensweisen«, erklärt Schneider.

Wenn ein Detektor ständig piepst, hört man nicht mehr hin

Ein Beispiel ist die Verwendung mathematisch-statistischer Methoden, um schnell Unregelmäßigkeiten und eklatante Abweichungen in Bilanzen und Abrechnungen zu entdecken. Ein solches Vorgehen wendet man bei der Benford-Analyse an, die auf einer verblüffenden Entdeckung basiert. Es ist das Phänomen, dass die 1 als führende Ziffer einer Zahl in vielen Datenreihen erheblich häufiger vorkommt als etwa die Ziffer 9. Das ist dem Mathematiker Simon Newcomb bereits im 19. Jahrhundert aufgefallen. Diese Entdeckung wurde später von Frank Benford ein weiteres Mal wissenschaftlich belegt.

Für den Laien sieht das eher nach Magie statt fundierter Analyse aus. Wie die Ziffern in Buchungsdaten verteilt sind, scheint willkürlich. Doch man hat herausgefunden, dass auch die Ziffern von Finanzdaten, egal ob hoch oder niedrig, in vielen Fällen nach Benford verteilt sind. Eine Anwendung dieses mathematischen Gesetzes unterstützt also IT-Forensiker bei der Spurensuche.

Allerdings gibt es in der Praxis oftmals Probleme bei der Benford-Analyse. Etwa, wenn es in Unternehmen aus Sicherheitsgründen Buchungsbeschränkungen gibt. In manchen Firmen dürfen Angestellte beispielsweise nur bis maximal 50 000 Euro Rechnungen bezahlen. Diese Beschränkung hat allerdings Auswirkungen auf die statistische Verteilung der Anfangsziffern. Bestimmten Mitarbeitern steht nur ein begrenzter Wertebereich zur Verfügung, was sich auf die Verteilung von Ziffernhäufigkeiten auswirkt. Dadurch verschieben sich die Häufigkeiten, die eine Benford-Analyse fälschlicherweise Alarm schlagen lassen.

Die Folge: Werkzeuge, wie ein Zugriffskontrollsystem tragen also dazu bei, dass forensische Werkzeuge wie die Benford Analyse nicht mehr funktionieren. »Deswegen haben wir uns überlegt, wie sich die Auswirkungen von festen äußeren Einflüssen wie Buchungsgrenzen auf Ziffernverteilungen wie die Benford-Verteilung auswirken, und das in einer neuen Lösung modelliert «, erläutert Schneider.

Dazu musste man untersuchen, wie sich in einer Welt, in der es äußere Einflüsse wie Buchungsbeschränkungen geben kann, Auswirkungen auf die Ziffernverteilungen gestalten. Wie müsste eine gute Verteilung aussehen? Die Eigenschaften der Umgebung müssen in einer Art modifizierten Benford-Verteilung neu erfasst werden. »Wir berechnen eine neue Ziffernverteilung so, dass sie den real erwarteten Gegebenheiten angepasst ist. Bei der klassischen Benford-Analyse macht man das nicht. Würde man stattdessen unser Verfahren nehmen, ließ sich Geld und Aufwand sparen. Einige vertrauen der klassischen Benford-Analyse auch überhaupt nicht mehr, da diese zu viele Falschalarme produziert. Wenn ein Detektor auch bei ungerechtfertigten Fällen ständig piepst, hören sie irgendwann nicht mehr hin.«

Mit den Arbeiten zur modellgestützten digitalen Analyse ist es den Wissenschaftlern am SIT gelungen, die bisherige forensische Methodik der Wirtschaftsprüfer weiterzuentwickeln: »Wir analysieren die Besonderheiten der Buchhaltung und bilden diese in einem mathematischen Modell ab. Die klassische Benford-Analyse wird so modifiziert, dass sie die Merkmale des Unternehmens besser berücksichtigt und seltener Fehlalarm schlägt«, erklärt Schneider.

Aus der Forschungsarbeit der Forensiker ist nun ein Prototyp für eine Software entstanden. » Ein Ziel ist es, unser Verfahren als Dienstleistung oder Software zur forensischen Ermittlung z.B. für Wirtschaftsprüfer anzubieten«, schildert Schneider die Pläne.