Das Sichern von Beweisen hilft den Strafverfolgungsbehörden bei der Ermittlung der Täter.
Systemadministrator informieren
Falls Sie auf Ihrem Firmencomputer einen Virus oder Trojaner finden, sollten Sie umgehend Ihren Systemadministrator informieren und das Gerät vom Netzwerk trennen.
Falls Sie den Befall nicht intern melden, droht Ihrem Unternehmen weiterer Schaden, den Sie in der Regel nicht einschätzen können.
Viren und Trojaner können von Ihrem Gerät aus sich auf andere Geräte weiterverbreiten und z.B. Firmendaten an Dritte weiterleiten.
System prüfen, Schaden ermitteln
Unternehmen und Privatpersonen sollten nach einem Viren- und Trojanerfund in Ihrem Netzwerk eine ausführliche Systemprüfung durchführen und ermitteln, ob auch andere Geräte betroffen sind.
Sollten Sie intern nicht über das entsprechende Knowhow verfügen, holen Sie sich externe Hilfe, z.B. über spezialisierte Fachleute von Ihrem Anti-Viren-Hersteller oder einem auf Computerforensik spezialisierten Anbieter.
Achten Sie insbesondere darauf, ob die Viren oder Trojaner Systeme mit sensiblen Daten oder Diensten befallen haben. Dazu zählen Geschäfts- und Kundendaten, mögliche Patente oder Steuerungssysteme in der Produktion.
Viren und Trojaner nicht eigenständig entfernen!
Nehmen Sie zunächst keine eigenständigen Versuche zur Entfernung der Schadsoftware vor. Nur so ist es möglich, dass die Polizei Beweise sichern und Ermittlungen einleiten kann.
Die Experten der Polizei werden Ihnen weitere Handlungsempfehlungen geben und Sie beraten, ob zusätzlich externe Experten mit einbezogen werden müssen oder sollten.
Beweise sichern
Je nach Sachverhalt wie z.B. bei Onlinebetrug sind andere Maßnahmen zur Beweissicherung notwendig.
– Fertigen Sie Ausdrucke des Bestell-Schriftverkehrs an.
– Sichern Sie mögliche Chatprotokolle, z.B. per Screenshot oder fotografieren Sie den Bildschirm.
– Sichern Sie vorhandene Log-Dateien, z.B. vom Server oder Browserverlauf.
– Halten Sie Rücksprache mit der Polizei, wenn Sie sich unsicher sind oder allgemeine Hilfe benötigen!
HINWEIS: Bitte beachten Sie, dass Sie sich bei einer Sicherung von kinder- oder jugendpornographischem Material selbst strafbar machen können. Grundsätzlich ist ein reines Aufbewahren von beweiserheblichem Material zum alleinigen Zwecke der Übergabe an die Polizei nicht bedenklich. Halten Sie jedoch in jedem Fall vorher Rücksprache mit der Polizei und ggf. mit einem Rechtsanwalt.
Beweissicherung durch die Polizei
Strafverfolgungsbehörden sind in der Lage, Beweise so zu sichern, dass der laufende Geschäftsbetrieb in Firmen nicht oder nur geringfügig beeinträchtigt wird. Zusätzlich besteht auch die Möglichkeit einer Echtzeitanalyse im operativen Betrieb.
Strafverfolgungsbehörden können vor Ort auch Beweise sichern, die nur im Internet abrufbar sind (E-Mail-Server, Clouds-Speicher, Webserver).
Eine Beschlagnahmung von Servern oder Computern findet in der Regel nicht statt. Die Sicherstellung der Betriebsfähigkeit des Unternehmens steht dabei stets im Vordergrund.
Strafverfolgungsbehörden sind angewiesen, fallbezogen zu ermitteln und nur Beweise zu sichern, die im direkten Bezug zur Onlinestraftat stehen.
Es gilt die Einhaltung datenschutzrechtlicher Prinzipien bei der Datenverarbeitung wie Datensparsamkeit, Zweckbindung und Erforderlichkeit.
Eine Weitergabe von Firmendaten führt i.d.R. nicht dazu, dass sichergestellte Beweismittel z.B. an das Finanzamt bzw. den Zoll, oder Video- oder Musiksammlungen auf Urheberrechtsverstöße geprüft werden.
Nach Rücksprache mit den Geschädigten helfen oft auch externe IT-Experten bei der Beweissicherung.
Weiterführende Links
BSI für Bürger: BSI Leitfaden IT-Forensik
TeleTrust.de Informationstag „IT-Forensik mit hilfreichen PDFs
Polizei-praevention.de: Informationen zur Online-Strafanzeige
Computerstrafrecht.info: Was ist IT-Forensik?