Hier die offizielle Pressemitteilung von KPMG.

Ich habe den Entwurf noch nicht abschließend aus dem Sicht der IT-Forensik und Forensischen Datenanalyse bewertet, aber ich möchte den Entwurf der Leserschaft nicht vorenthalten. Hier isser.

Im Jahr 2008 wurden in der Polizeilichen Kriminalstatistik (PKS) insgesamt 84.550 Fälle von Wirtschaftskriminalität registriert (2007: 87.934). Das bedeutet gegenüber dem Vorjahr einen Rückgang von 3,8 Prozent (3.384 Fälle). Im zweiten Jahr in Folge sind somit die Fallzahlen zurückgegangen. Der Anteil der Wirtschaftskriminalität an den insgesamt polizeilich bekannt gewordenen Straftaten betrug allerdings 2008 wie auch im Jahr 2007 1,4 Prozent.

Im Jahr 2008 wurden insgesamt 35.493 Tatverdächtige registriert (2007: 37.654); 5,7 Prozent weniger als im Vorjahr.

Der durch die Wirtschaftskriminalität verursachte Schaden belief sich 2008 auf 3,43 Milliarden Euro. Verglichen mit dem Vorjahr (4,12 Milliarden Euro) entspricht dies zwar einer Abnahme von 16,7 Prozent, verdeutlicht aber die nach wie vor gravierenden Auswirkungen der Wirtschaftskriminalität.
Zum Vergleich: Der in der PKS registrierte Schaden aller erfassten Delikte beträgt rund 10 Milliarden Euro. Damit hat die Wirtschaftskriminalität einen Anteil von rund 34 Prozent an der Gesamtschadenssumme. Besonders hohe Schäden werden im Bereich der Insolvenzdelikte und der Betrugsdelikte registriert.
Das tatsächliche Schadenspotenzial der Wirtschaftskriminalität wird jedoch erst deutlich, wenn man die nicht quantifizierbaren immateriellen Schäden betrachtet. Wettbewerbsverzerrungen durch Wettbewerbsvorsprünge des mit unlauteren Mitteln arbeitenden Wirtschaftsstraftäters, die gesundheitliche Gefährdung und Schädigung Einzelner als Folge von Verstößen gegen das Lebens- und Arzneimittelgesetz, das Arbeitsschutzrecht oder das Umweltstrafrecht, aber auch mögliche Vertrauensverluste in die Funktionsfähigkeit der bestehenden Wirtschaftsordnung machen beispielhaft deutlich, welches Schadenspotenzial die Wirtschaftskriminalität in sich birgt. Hinzu kommt, dass in diesem Deliktsbereich ein hohes Dunkelfeld vermutet wird, das u. a. auf der mangelnden Anzeigebereitschaft der Geschädigten beruhen dürfte.

Straftaten aus dem Bereich der Wirtschaftskriminalität werden immer häufiger mit Hilfe des Internets begangen. Die Anzahl dieser Fälle ist im Jahr 2008 gegenüber dem Vorjahr um 77 Prozent auf 16.437 gestiegen. Dies bedeutet, dass im Jahr 2008 bei mehr als jedem fünften Fall von Wirtschaftskriminalität das Internet genutzt wurde.

Auch im Bereich der Organisierten Kriminalität (OK) sind Wirtschaftsdelikte von zentraler Bedeutung. Rund 17 Prozent aller 2008 gemeldeten OK-Fälle wiesen Merkmale der Wirtschaftskriminalität auf.

Quelle: BKA

Download der PKS

In einer Art Paneldiskussion mit zwei Mac Forensik Softwareherstellern (Macforensicslab und BlackBag Technologies) und einem Computer Forensik Spezialisten des L.A. County Sheriff’s Department werden die zahlreichen Vorzüge der Mac-Plattform unterstrichen.  Zusätzlich gibt es auch Präsentationen von einigen Mac Forensics Tools (MacLogPick, MacQuisition, MacForensicsLab). Auffällig ist aber, dass am Anfang in einer Art Namedropping die Behörden genannt werden, die ihr Labor bereits standardmäßig mit Apple Hardware betreiben. Neben diesem recht offensichtlichen Anliegen und der obligatorischen Vorstellung der Xserve-Plattform als Laborumgebung in diesem kostenlosen Seminar (there is no such thing as a free lunch ) wird recht kurzweilig die Arbeit in einem Labor erläutert und auch das Thema Forensics Field Triage im Zusammenhang mit Live Response wird ausreichend gewürdigt..

Hier geht es zum Seminar.

Und da ja auch die 4. Auflage meines Buches vor der Tür steht, hier ein Hinweis auf weitere Mac Forensic Tools.

* Stark reduzierter Hauptspeicherbedarf für größere Datei-Überblicke, d. h. Datei-Überblicke von Partitionen mit besonders vielen Dateien, was das Öffnen und Analysieren von Partitionen erlaubt mit vielen mehr Millionen Dateien (rd. 100% mehr) bei gleich viel verfügbarem RAM als früher. Beachten Sie, daß das Format der Datei-Überblicke sich geändert hat, so daß frühere Versionen Datei-Überblicke von v15.4 und später nicht öffnen können!

* Mit den Befehlen “Vor” und “Zurück” im Positionsmenü und den Vor- und Zurück-Schaltern in der Symbolleiste können Sie bequem zurückkehren zu bestimmten Einstellungen des Verzeichnis-Browsers. Dies berücksichtigt erkundeten Pfad,
rekursiv oder nicht rekursiv, Sortierkriterien, Ein-/Aus-Zustand aller Filter, Einstellungen einiger Filter sowie einige Verzeichnis-Browser-Optionen. Die Befehle Vor und Zurück erlauben auch das erneute Aktivieren eines zuvor aktiven Datenfensterns, wenn Sie zwischen einzelnen Fenstern hin- und herwechseln. (nur mit forensischer Lizenz)

* Bestimmte Filter verhalten sich jetzt etwas “intelligenter”, wenn man von einem übergeordneten Objet zu einem Unterobjekt navigiert oder umgekehrt, so daß er sich selbständig abschaltet, wenn das sinnvoll ist. Nur mit forensischer Lizenz. Beispiele:
- Wenn Sie einen Filter verwenden, um rekursiv nur extrahierte E-Mails aufzulisten, und dann eine einzelne E-Mail doppelt anklicken, um im Verzeichnis-Browser einen Blick auf ihre Datei-Anhänge zu werfen, wird der Filter automatisch deaktiviert, so daß Sie diese Datei-Anhänge tatsächlich sehen können. Ein einfacher Klick auf den Zurück-Schalter bringt sie dann wieder zur vorherigen Liste aller E-Mails zurück, aktiviert den Filter
wieder und wählt die doppelt angeklickte E-Mail aus, so daß Sie die Begutachtung aller E-Mails komfortabel mit der nächsten E-Mail in der Liste fortsetzen können!
- Wenn Sie einen Filter verwenden, um sich auf Videos oder Dokumente zu konzentrieren, und dann ein Video oder ein Dokument doppelt anklicken, um die exportierten Einzelbilder des Videos zu sehen bzw. die im Dokument eingebetteten Bilder, dann wird der Filter ebenfalls automatisch abgeschaltet.
- Wenn Sie sich Video-Einzelbilder in der Gallerie als kleine Miniaturansichten ansehen und die Rücksetz-Taste drücken oder den Menübefehl “Übergeordnetes Objekt aufsuchen” aufrufen, um zu dem Video zu navigieren, aus dem das Einzelbild exportiert wurde, z. B. um dieses Video anzuschauen, dann wird der Attributfilter für Video-Einzelbilder deaktiviert, so daß das Video tatsächlich im Verzeichnis-Browser aufgelistet wird. Ein einfacher Klick auf den Zurück-Schalter kehrt zur vorherigen Übersicht der Einzelbilder zurück, aktiviert den Filter wieder und wählt das betreffende Einzelbild erneut aus!
- Dies funktioniert analog mit Datei-Anhängen von E-Mails, wenn Sie gelegentlich für relevante Datei-Anhänge einen Blick auf die enthaltene E-Mail werfen (und diese ausdrucken oder in einen Bericht aufnehmen) möchten.

Diese zwei neuen Features zusammen, intelligente Filter auf der einen Seiten und Vor-/Zurück-Navigation im Verzeichnis-Browser auf der anderen Seite, sollten die Bedienbarkeit der Software weiter stark verbessern.

* Es ist jetzt möglich, Verzeichnisse und Dateien mit Unterobjekten, die im Asservatüberblick aufgelistet sind, von dort aus zu erkunden, indem man sie doppelt anklickt. Dann rückt automatisch das Datenfenster in den Vordergrund, das das Asservat
repräsentiert, das jenes Verzeichnis bzw. jene Datei enthält. Mit dem Zurück-Befehl (zweimal anwenden) kann man bequem zurück zum Asservat-Überblick gelangen, oder man aktiviert das Fenster, das den Asservat-Überblick enthält, einfach selbst wieder, z. B.
durch Klick auf die Registerkarte.

* Es ist jetzt möglich, die Anzahl von Suchtreffern zu ausgewählten Suchbegriffen in der Suchbegriffsliste abzulesen und auch zu kopieren. Diese Zahlen basieren auf den aktuellen Einstellungen für die auf dem Bildschirm aufgelisteten Suchtreffer und hängen ab von Filtern, dem erkundeten Pfad, etwaigen UND-Verknüpfungen von Suchbegriffen usw. (nur mit forensischer Lizenz)

* Man kann nun auch im Index nach mehr als 1 Suchbegriff auf einmal suchen. Es ist außerdem jetzt möglich, die beiden Optionen für die Index-Suche bei einer Index-Suche vom Asservat-Überblick aus zu steuern. (betrifft nur forensische Lizenzen)

* Typischweise können in NTFS-Dateisystemen nun noch mehr gelöschte Dateien bei der intensiven Dateisystem-Datenstruktur-Suche gefunden und im erweiterten Datei-Überblick untergebracht werden als zuvor. Diese gelöschten Dateien können mit Dateiname, Pfad, Zeitstempeln usw. aufgelistet werden. (nur mit forensischer
Lizenz)
* X-Ways Forensics kann nun oft den echten Löschzeitpunkt von ehemals existierenden Dateien in NTFS-Dateisystemen bei der intensiven Dateisystem-Datenstruktur-Suche ermitteln und in der entsprechenden Spalte im Verzeichnis-Browser eintragen. Noch
mehr Löschzeitpunkte können gefunden und eingetragen werden, wenn die Datei $UsnJrnl:$J eingesehen oder im Vorschaumodus betrachtet wird. Dies ist ein einzigartes Feature. Nur mit forensischer Lizenz. Nicht zu verwechseln mit dem sog. Löschdatum,
das Ihnen andere forensische Tools in NTFS-Dateisystemen u. U. anzeigen, für Dateien, die in dem Dateisystem nicht mal gelöscht wurden.

* Option zum Ausschließen ehemals existierender Dateien aus dem Datei-Überblick bei desse Erzeugung. Nützlich, wenn Sie sich für gelöschte Dateien nicht interessieren oder Sie diese gar nicht ansehen dürfen. S. Option des Datei-Überblicks.

* Option zum Ausschließen der je nach Partitionsgröße lang dauernden Suche nach FILE-Records außerhalb der $MFT aus der intensiven Dateisystem-Datenstruktursuche bei NTFS-Dateisystemen.

* Verbesserte StreamMRU-Decodierung für den Registry-Bericht, um Kenntnis von Ordnern auf Wechseldatenträgern zu erlangen.

* Verbesserte Erkennung von Sektorgröße und alternativen Layouts von Apple-Partitionstabellen in Roh-Images von CDs und DVDs.

* Unterstützung von HFS+-Dateisystemen auf optischen Medien oder in Images mit einer Sektorgröße von 2048 Bytes. Betrifft nur forensische Lizenzen.

* Möglichkeit, die Attribute “Temporärdatei” und “nicht zu indexieren” einer Datei auf Ihrem eigenen Datenträger in Datei | Eigenschaften zu setzen oder zu entfernen, über die Buchstaben T bzw. X.

* Weitere der .dir-Dateien, in denen Datei-Überblicke gespeichert sind, .xfi-Index-Dateien sowie Image-Dateien werden nicht mehr von Windows indexiert, wenn die Indexierung eingeschaltet ist, um  Zeit und Plattenplatz zu sparen. Gilt für von v15.4 erzeugte Dateien.

* Das Wechseln zwischen dezimalen und hexadezimalen Offsets durch Klicken in der Offset-Spalte funktionierte in bestimmten Situation in v15.2 und v15.3 nicht mehr. Das wurde behoben.

* Eine Endlosschleife tritt nun nicht mehr auf, die beim Erzeugen eines Index zum Einfrieren führen konnte, wenn das Schreiben von Index-Dateien auf ein entferntes Netzlaufwerk fehlschlug.

* Wenn während des Speicherns eines Falls unter einem anderen Namen/an einem anderen Ort das Auto-Save-Intervall ablief, bracht dies die “Speichern unter”-Operation mit Fehlermeldungen ab. Dies wurde verhindert.

* Wenn dieselbe Datei zum selben Datei-Conainer erneut hinzu- gefügt wird und wenn von der ersten Version der Datei im Container nur Metadaten übertragen wurden (also kein Datei-Inhalt), weil sie nur indirekt mit kopiert wurde, um den Pfad von einem ihrer Unterobjekte im Container korrekt zu replizieren, und wenn dieselbe Datei dann beim zweiten Mal explizit mit Inhalt kopiert wird, dann ersetzt die neue Version mit Inhalt
nun seit v15.3 SR-1 die alte Version ohne Inhalt. Zurvor wäre die Datei nicht erneut kopiert worden.

* Wenn mehrere Suchbegriffe in der ursprünglichen Version 15.3 in der Parallelen Suche bei eingeschalteter GREP-Syntax verwendet wurden, wurde tatsächlich nur der erste Begriff gesucht. Dies wurde mit v15.3 SR-1 behoben.

* Als Teil des Registry-Berichts werden nun weitere Informationen über Benutzerkonten aus dem SAM-Registry-Hive extrahiert. (seit v15.3 SR-1)

* Der Script-Befehl “Convert” unterstützt nun die Parameter “hiberfil Binary” zur automatisierten Dekompression von hiberfil.sys. (seit v15.3 SR-1)

* Verläßlichere Erkennung von Dateisystemen in Partitionen, die von konventionellen Apple-Partitionstabellen definiert sind. (seit v15.3 SR-1)

* Mehr Informationen im Nachrichtenfenster beim Erweitern des Datei-Überblicks in mehreren Asservaten auf einmal darüber, welches Asservat gerade bearbeitet wird. (seit v15.3 SR-2)

* Eine alltägliche Situation beim Erweitern des Datei-Überblicks ist, daß Dateien in per Header-Signatur-Suche gefundenen Zip-Archiven nicht geöffnet werden können, weil die Zip-Archive unvollständig oder beschädigt sind. In diesem Fall wird die Anzahl der Fehlermeldungen, die im Nachrichtenfenster ausgegeben werden, mittlerweile beträchtlich reduziert, die betroffenen Dateien werden in der Attributspalte mit “Dateiinhalt unbekannt” gekennzeichnet und es werden keine weiteren Versuche unternommen, solche Dateien zu öffnen. Dies sollte das Erweitern des Datei-
Überblicks beschleunigen und die allgemeine Stabilität verbessern. (seit v15.3 SR-2)

* Das NTFS-Attribut für “nicht zu indexieren” wird nun in der Attributspalte als “X” ausgegeben. (seit v15.3 SR-2)
* Mehr Informationen über $UsnJrnl:$J im Vorschau-Modus. (seit v15.3 SR-2)

* Der Registry-Bericht extrahiert nun Festplatten-Signaturen und Partitionsstartsektoren aus “MountedDevices”-Einträgen. (seit v15.3 SR-2)

* Ein scheinbarer Verlust von Suchtreffern konnte in bestimmten Situationen auftreten. Dies hatte mit der neuen Speicherart für Suchtreffer in v15.3 zu tun und wird seit SR-3 verhindert. Suchtreffer, die aufgrund dieses Fehlers scheinbar verlorengingen,

werden von v15.3 SR-3 und später automatisch wiederhergestellt, sofern keine neuen Suchläufe im selben Asservat angestoßen wurden
* Suchtreffer in der decodierten Version von PDF/HTML/…-Dateien konnten u. U. in v15.3 vor SR-3 mit falschem Inhalt dargestellt werden, abhängig vom Sortierkriterium. Dies wurde mit v15-3 SR-3 behoben.

* Das Öffnen von großen NTFS-Partitionen (nicht das Erstellen des Datei-Überblicks, sondern das bloße Öffnen und jedes Öffnen) ist nun deutlich schneller. (seit v15.3 SR-3)

* Die Bezeichnungen der Registerkarten von Fenstern, die interpretierte Images oder Partitionen in Images repräsentieren, sind nun kürzer, so daß mehr Registerkarten auf den Bildschirm passen. Die Partitionsnummern werden zudem in den Registerkarten nicht herausgekürzt, auch wenn der Name des Images lang ist. (seit v15.3 SR-3)

* Die Anzeige der RAID-Komponente und der relativen Sektornummer in intern rekonstruierten RAIDs in der Informationsspalte wurde korrigiert für RAID Level 0. Sie funktionierte bisher nur für RAID Level 5. (seit v15.3 SR-3)

* Der Fall wird nun wieder sofort nach dem Abschluß oder dem Abbruch einer Suche gespeichert, so daß Suchtreffer nicht verlorengehen, sollte das Programm vor dem nächsten regulären Speichern des Falls abstürzen. (seit v15.3 SR-4)

* Möglichkeit, Dateien mit Wiederherstellen/Kopieren incl. Pfad zu kopieren, wenn Teil des Pfades ein Verzeichnis ist, dessen Name lediglich aus einem Punkt besteht. Nützlich für Dateien, die assoziiert sind mit Spuren von alten NTFS-Stammverzeichnissen.Allein nur der Punkt ist für Windows ein unzulässiger Name; daher wird “.” beim Herauskopieren umbenannt in “_”. (seit v15.3 SR-4)

* Verhindert, daß unser Firmenname als Ersatz für eine fehlende ursprüngliche “X-Mailer”-Zeile in E-Mails eingefügt wird, die aus Outlook-Ordnern “Gesendete Objekte” extrahiert werden. (seit v15.3 SR-4)

* Daß der Fallbericht nach seiner Erzeugung nicht geöffnet werden konnte, wenn der vom Benutzer angegebene Dateiname keine .html-Endung hatte, wurde behoben. (seit v15.3 SR-4)

• Forensic Video Report
• Forensic Media Report
• Forensic VCR Report
• ICQ Chat Messages Report
• Firefox 3 History Report
• Whois Report

Während es zum Firefox und Whois Reporter nix zu sagen gibt (tut genau, was es soll und wie andere Freeware-Tools auch), sind die anderen drei Werkzeuge eine nähere Betrachtung wert. Wer sich einmal Stunde um Stunde mit der Sichtung von Videobändern beschäftigen musste (oder den Unglücksraben aus dem Team dabei beobachtet hat ) weiß, dass es auch effektiver gehen muss. Der Entwickler der Software schreibt zu seinem Tool Forensic VCR Report:

“Bei der Forensischen Auswertung von analogen Videobändern stößt man als Auswerter oft schnell an die Leistungsgrenzen. Sämtliche Videobänder, ob nun VHS, Hi8 oder DV müssen erst langwierig gesichtet werden, um möglicherweise kompromittierendes Material, welches durchaus in einem “normalen” Video versteckt sein könnte zu finden. Um die Zeiten für die Sichtung eines solchen Videofilmes zu verkürzen wurde Forensic VCR Report entwickelt. Forensic VCR Report generiert Einzelbilder aus einem abspielenden Videofilm und schneidet diese von handelsüblichen TV-Karten oder Video Schnittkarten mit. Dabei ist es nicht mehr notwendig das Video in Realzeit zu sichten, sondern nachdem die Videofilm “Preview” vollständig ist, einfach noch die Snapshoots einzusehen.
Da Forensic VCR Report Voreinstellungen bezüglich der Videolänge und der Snapshoot Zeit zulässt, kann auch ein automatisierter Mitschnitt, zum Beispiel über Nacht realisiert werden.
Desweiteren ist Forensic VCR Report in der Lage mehrfach gestartet zu werden, um somit auch mit mehr als einem Video Gerät, also zum Beispiel mit 2 TV Karten zu arbeiten.”

Hat man die Filme bereits digital vorliegen, kann man Eyewitness Video Report nehmen. Auch hier werden aus dem Bildern evidente Frames als Bild extrahiert und in einer Timeline als Report ausgegeben. Diese Funktionalität gibt es dort zusätzlich übrigens auch als Addon für X-Ways Forensics.

Alle Tools laufen unter Windows. Mehr zu Eyewitness Forensic Software findet sich unter www.tatortgruppe.de

Eher durch Zufall bin ich über eine Trainingsession von Guidance (EnCast) gestoßen, die sich mit dem Auffinden von Facebook-Chat Spuren mit EnCase beschäftigt. Nach meiner Beobachtung trifft man zunehmend auf solche oder ähnliche Fragestellungen. Der im Video gezeigte Ansatz macht aber auch deutlich, dass wir in diesem Bereich noch am Anfang stehen, auf komfortable Analysemöglichkeiten zugreifen zu können. Nun zum Guidance-Ansatz: Das EnScript Facebook Chat Parser enthält eine Library zum Interpretieren des JSON (JavaScript Object Notification) Formats. Damit lassen sich dann die Strukturen nach Artefakten aus einem Facebook-Chat durchsuchen. Die Anwendung des EnScripts erfolgt wie gewohnt, im Browser-Temp Verzeichnis die entsprechenden Dateien auswählen und dann den Facebook Chat Parser starten. Das Ergebnis (mit hoffentlichen wenigen Duplicates ) lässt sich dann in Excel darstellen. Der Facebook Chat Parser steht im EnCase Support Portal zum Download bereit.

Direktlink EnCast Facebook Artifacts

Da das Remote-Wiping nicht ganz vollständig arbeitet, kann man trotzdem auf Daten zugreifen.  Das System einfach in den Recovery-Mode versetzen und eine neue Firmware aufspielen. Das Dateisystem wird dann zwar zerstört, aber alles was bis dahin noch da ist, lässt sich recovern. Will man das Gerät partout nicht remote wipen lassen, kann man es in den Flugmodus versetzen

Hier ist noch ein älteres Recording aus dem dem Jahre 2008, welches sich mit älteren Versionen des iPhone beschäftigt.  iPhone Forensics Demonstration, 2008 . Damals ging es sowohl um die Umgehung des Passcodes als auch um die Wiederherstellung von vermeintlich gelöschten Datenspuren.

Eine Zusammenfassung diverser forensischer Methoden für iPhones findet sich hier.

Notiz an mein Tagebuch: keine Aufnahmen meines Hinterkopfs mehr zulassen oder lustige Mütze aufsetzen.

Update: Jetzt ist es quasi amtlich. Das vermeintliche Posting mit der Tatankündigung im Internet ist eine Fälschung. So leicht kann man Ermittler und die liebe Öffentlichkeit auf die falsche Fährte führen.  Soetwas nennt man landläufig auch Trugspuren.

Zuerst natürlich der übliche Disclaimer, dass es sich hier meine private Meinung handelt.

Was ist geschehen? Ein Unternehmen, dass häufiger große Aufträge zu vergeben hat und allein durch seine Größe rein statistisch einem gewissen Korruptionsriskio unterliegt, möchte gerne seiner Pflicht gegenüber dem Eigentümer und auch den gesetzlichen Bestimmungen nachkommen, um Bestechung, Korruption und andere kriminelle Handlungen aufzudecken. Denn hierbei kann dem Unternehmen und damit seinen Eigentümern ein größerer Schaden entstehen. Es gibt ein Standardvorgehen, wie man sich schnell einen Überblick über diesbezügliche Sachverhalte gerade bei großen Datenmengen verschafft. Man nimmt sich die vorhandenen (legal erhobenen Daten aus Kreditoren- und Debitorenbuchhaltung, sowie die Personalstammdaten) und schaut sich Auffälligkeiten an. Vom Grundsatz her sollte dies bei Personaldaten pseudonymisiert geschehen. Gibt es eine Auffälligkeit – wir sagen dazu Red Flag – wird eine Tiefenprüfung durchgeführt – wie sonst auch – und dem Verdacht dann nachgegangen. Es ist also keine Datenspionage, sondern eine standardmäßige Prüfungshandlung. Die Frage ist dabei, wo kommen die Daten her und welche weiteren Erkenntnisse fließen in die Analyse ein?

Welche Dinge schaut man sich bei einer Forensischen Datenanalyse normalerweise an? (ganz kurzer und unsortierter Auszug eines Prüfplans)

• Prüfung auf doppelte Einträge bei Namen
• Prüfung auf doppelte Einträge bei Adressen
• Prüfung auf doppelte Einträge bei Telefonnummern
• Prüfung auf doppelte Einträge bei Bankverbindungen
• Prüfung auf doppelte Felder wie Geburtsdaten, Bemerkungen und Eintrittsdaten etc.
• Prüfung auf Zahlungen an inaktive Angestellte
• Prüfung auf bekannte Namen von Mitarbeitern (Abgleich Personalstammdaten)
• Prüfung auf bekannte Adressen von Mitarbeitern (Abgleich Personalstammdaten)
• Prüfung auf bekannte Telefonnummern von Mitarbeitern (Abgleich Personalstammdaten)
• Prüfung auf bekannte Kontonummern/Bankverbindungen von Mitarbeitern (Abgleich mit Personalstammdaten)
• Freigabe von Bestellungen durch den Ersteller
• Freigabe von Bestellungen durch den Ersteller der Banf
• Freigabe von Bestellungen durch nicht-autorisierte Mitarbeiter
• Freigabe von Bestellungen innerhalb eines kurzen Zeitintervalls nach der Erstellung
• Freigabe von Bestellungen an Wochenenden und zu ungewöhnlichen Tageszeiten
• Prüfung auf Wareneingänge ohne Bezug zu einem Bestellungvorgang / BANF
• usw.

Wie dem auch sei, die Forensische Datenanalyse ist ein sehr wichtiges Instrument in großen Unternehmen oder über längere Zeiträume, Anhaltspunkte für dolose Handlungen zu finden. Gibt es einen Treffer für ein Red Flag, bedeutet dies nicht, dass letztendlich auch wirklich etwas dran ist. Die eigentliche Ermittlungsarbeit folgt dann auf den produzierten Ergebnissen. Allerdings müssen auch hier die gesetzlichen Grenzen eingehalten werden. Weiterhin sollte der Auftraggeber einer solchen Forensischen Datenanalyse genau überlegen, wer mit einer solchen Analyse beauftragt wird und aus welchen Quellen die zu untersuchenden Daten stammen.

Zum Schluss möchte ich noch darauf hinweisen, dass es dem Auftraggeber bewusst sein sollte, welchen Analysen auf welcher Datenbasis durchgeführt werden, damit jederzeit dazu auch Auskunft gegeben werden kann.

Ich habe in diesem Zusammenhang eine kleine Umfrage gestartet, die aber eher technischer Natur ist (siehe Rechts unten in der Sidebar).

Auch wenn an verschiedener Stelle ein Trauermarsch auf die Cebit geblasen wird, werde ich auch in diesem Jahr wieder einen Vortrag auf dem c’t Heise-Stand im Rahmen des Forums “Sicherheit und IT-Recht” halten. Thema des diesjährigen Vortragswird “RAM Forensics – forensische Analyse von Hauptspeicherinhalten” sein.

Donnerstag, 5.3.2009, 16:00-17:00, Halle 5, Stand E38