Bis der Spion im System enttarnt war, waren schon jede Menge Daten nach außen geflossen. Ein ehemaliger IT-Mitarbeiter, so erzählt der Cyber-Forensiker Alexander Geschonneck von der Beratungsgesellschaft KPMG, hatte sich noch während er in dem Unternehmen arbeitete eine Hintertür ins System gebaut. "So konnte er nach Belieben auf das System zugreifen und seine ehemaligen Kollegen ausspionieren", sagt er. Bis er von Geschonneck und seinem Team enttarnt wurde.
Für das Unternehmen war der Angriff ein Schock. Doch Hacker-Angriffe, Datendiebstähle aller Art oder Datenmanipulationen sind in deutschen Firmen keine Seltenheit. "Fast täglich kommt so etwas vor", sagt der Forensiker von der KPMG. Und das sind natürlich nur die Anfragen, die er bekommt. Dass sich ein Wettbewerber am Markt Zugriff auf Forschungsdaten, Angebotsdaten, Personalstrukturen oder Kalkulationen verschaffe, geschehe sehr häufig. "Da werden Hacker beauftragt - und schon ist der Konkurrent im System", erzählt Geschonneck. Solche Angriffe treffen auch Behörden, erzählt die Referatsleiterin des Bundesamts für Sicherheit in der Informationstechnik (BSI), Isabel Münch.
Die Ghost-Busters unter den ITlern
Zeit, die Cyber-Forensiker zu rufen - die Ghost-Busters unter den ITlern. "Wir sind die digitale Feuerwehr", sagt Geschonneck. "Wir werden gerufen, wenn einem Unternehmen bereits ein Schaden entstanden ist, oder es vermutet, dass es angegriffen wurde", sagt er. Die Aufgabe des Forensikers ist das Spurensichern und Auswerten selbst - nicht das Schließen von Sicherheitslücken. "Wir sehen uns die Daten an und schauen, ob das Unternehmen tatsächlich angegriffen wurde. Dann identifizieren wir den Täter und die Schwachstelle, über die er ins System gelangt ist, damit das Unternehmen sie schließen kann", erzählt Geschonneck. Das geschehe mit technologischen Mitteln, aber auch mit klassischen Methoden wie Interviews und gründlichen Dokumentenrecherchen.
Anomalien jagen gehen
Im Fall des spionierenden Mitarbeiters war das Entdecken mühsam: "Das Unternehmen hatte eine Anomalie-Erkennung durchgeführt. Dabei war aufgefallen, das Accounts aktiv waren, die nicht hätten aktiv sein sollen", sagt Geschonneck. Er und seine Kollegen machten sich an die Arbeit. Mit dem analytischen Forensischen Rechenzentrum, das speziell dafür entworfen wurde, werteten sie Terabytes an Logfiles aus, die aus dem kompromittierten System stammten, und versuchten herauszufinden, was im System passierte. "Das ist ein sehr spezielles Vorgehen, das einige Zeit dauert", sagt Geschonneck.
In diesem Fall kamen sie dem Ex-Mitarbeiter auf die Schliche. Doch das gelingt nicht immer. "Viele Angriffe werden gar nicht erst gesehen, oder die Hacker verwischen Spuren", sagt er. "Der Täter kommt nicht durch die Haustür oder übers Kellerfenster, sondern durch das angelehnte Toilettenfenster - und macht dann das Fenster wieder hinter sich zu", vergleicht Münch. Mit Standardsystemen sei so ein Angriff kaum zu identifizieren. Das macht das Entdecken von Einbrüchen umso schwerer. Auch sei es möglich, dass das Unternehmen aus Versehen selbst die Spuren des Täters verwische, während es eigentlich die Daten sichern wollte, fügt Geschonneck hinzu. "Aber wir haben eine gute Quote", lacht er.
Hände aus der Keksdose
Nicht immer hat der Forensikexperte so viel Zeit, wie er benötigt. "Im schlimmsten Fall müssen wir den Zugang des betroffenen Netzwerks sofort sperren", sagt er. Dann legt das Unternehmen den Schalter um. "Wenn wir den Täter mit den Händen in der Keksdose erwischen, müssen wir ihn da oft schnell rausbringen - aber wenn nur noch Krümel da sind, müssen wir diese einsammeln und untersuchen." Und die Lücken seien oft groß. Häufig es kennen Unternehmen ihre eigenen Kronjuwelen gar nicht, meint Geschonneck. Wichtige Daten werden nicht geschützt, und der Diebstahl wird dann auch nicht bemerkt.
Die größte Schwachstelle bleibe aber der Mitarbeiter: "Da werden Daten auf USB-Sticks und mobilen Endgeräten einfach aus dem Unternehmen getragen", sagt er. Und warnt: "Es kann jeden treffen - und es wird jeden treffen." Kein Wunder, dass die Nachfrage nach Cyber-Forensikern sehr groß ist. Nicht nur der KPMG-Experte sucht ständig neue Mitarbeiter. "Cyber-Forensiker sind so wertvoll wie ein Goldnugget", sagt die Sicherheitsexpertin Münch.
Unter Personalmangel leidet auch das BSI, das derzeit ein Fünf-Mann-Forensikteam beschäftigt, neben weiteren Mitarbeitern für Penetrationstests und ähnlichem. "Zwar können wir nicht die Gehälter der freien Wirtschaft zahlen", sagt Münch. "Dafür sind wir aber unabhängiger und können mehr in die Tiefe der Systeme gehen. Zudem ist unsere Arbeit sehr abwechslungsreich."
Die Master-Forensiker
Die IT-Sicherheit steht nicht erst seit der NSA-Affäre auf dem Plan. Inzwischen gibt es bereits eine Ausbildung zum Cyber-Forensiker: An der Hochschule Albstadt-Sigmaringen können sich seit 2010 jährlich etwa 30 Studenten in den Online-Master-Studiengang "Digitale Forensik" einschreiben. "Der Studiengang ist ein Querschnitt aus Informatik, Methodik und Jura", erklärt Professor Martin Rieger, der den Studiengang mit Kollegen der Ludwig-Maximilians-Universität und der Friedrich-Alexander-Universität Erlangen-Nürnberg begründete.
Ein IT-Studium, im Haupt-oder Nebenfach, sei die Voraussetzung, um den berufsbegleitenden Master zu studieren, sagt Rieger. Nicht nur Unternehmen interessiert die digitale Forensik brennend: "Die Hälfte der Studenten sind Strafermittler, etwa im Bereich Urheberrechtsverletzungen, Rauschmitteldelikte oder Kinderpornografie", sagt er. Die Absolventen sollen später in der Lage sein, zum Beispiel gelöschte Kontakt-Listen wieder herstellen zu können oder Container zu öffnen, erklärt Rieger.
Vor Gericht verwertbar
Das wichtigste, was sie im Master lernen: "Vor allem geht es um die gerichtsverwertbare Erhebung und Aufbereitung von Beweismaterial", erklärt Rieger. Gerichtsfest bedeutet in diesem Fall, dass die Daten selbst nicht verändert werden dürfen, sondern nur mit einer Bit-genauen Kopie. "Das Verfahren muss bestimmten rechtlichen Linien folgen", sagt der Professor. Deshalb sei die juristische Ausbildung der Experten so wichtig. Diesen Aspekt kennt auch Forensiker Geschonneck: Die Analyse von digitalen Daten muss rechtlich erlaubt sein - würden die Cyber-Forensiker etwa Persönlichkeitsrechte verletzen, hätten die Beweise vor Gericht keine Aussagekraft, betont er. Kommt es zum Gerichtsprozess, muss der Forensiker auch als Gutachter auftreten können. "Zudem muss er sein Vorgehen allgemein verständlich vermitteln können", sagt Rieger.
Nicht immer muss es zum Prozess kommen: Wenn Unternehmen Hilfe suchten, werde meist gar nicht die Justiz eingeschaltet, sondern zunächst Konsequenzen für die IT gezogen, meint Rieger. "Ein IT-Sicherheitsstudiengang ist das aber nicht", betont er. Erst dieses Jahr werden die ersten Master-Forensiker fertig. "Unternehmen fragen uns schon nach den Absolventen", sagt Rieger. "Der Bedarf an Cyber-Forensikern ist sehr groß."
Quereinsteiger und Künstler
Aber schon heute arbeiten einige Informatiker in dem Beruf. "Die heutige Chef-Forensiker sind meist auf Umwegen dazu gekommen", sagt Münch vom BSI. "Klassischerweise sind es bei uns Quereinsteiger", erzählt sie. Geschonnecks Lebenslauf bestätigt das: Er ist studierter Wirtschaftsinformatiker und befasst sich schon seit knapp 20 Jahren mit digitaler Spurensicherung. "Ich habe schon 1995 an einem Rechenzentrum an der Uni Hacker gejagt", erzählt er. "Seitdem hat mich das Thema nicht mehr losgelassen."
Um ein guter Cyber-Forensiker zu werden, bedarf es vor allem einer Eigenschaft: Alle drei sind sich einig, dass sie um die Ecke denken können müssen. "Mit einem festen Rezeptbuch kommt man beim Spurensuchen eben nur bis zu einer gewissen Ecke", sagt Münch. "Ich brauche Leute, die in den riesigen Codemengen, die sie vor sich haben, Muster entdecken oder Ideen haben, wie solche Muster aussehen könnten. Wir brauchen Künstler."
Das setzt natürlich beste IT-Kenntnisse voraus. Aber der Experte müsse sich nicht in jeder Software perfekt auskennen, sagt die BSI-Referatsleiterin. "Bei uns arbeiten die Experten im Team. Schließlich kann sich nicht einer allein mit allem auskennen", sagt sie. Einer kenne sich mit SAP aus, ein anderer mit Oracle-Datenbanken, ein weiterer mit Webbrowsern. Daher sei es auch wichtig, dass Soft Skills vorhanden seien: Weiß einer nicht weiter, muss er mit anderen kommunizieren können. Nur so kann man den Verbrechern auf die Spur kommen.