in Counterforensics

Whistleblower, einseitige Ermittlungen, übermotivierte Behörden und negative Schlagzeilen suchende Medien bedrohen Unternehmen aller Größenordnungen durch die Verwendung von aus dem Kontext gerissener Daten und voreingenommene Darstellungen in ihren jeweiligen Argumentationen.

Seit Enron und ähnlicher “high profile” Fälle ist das Verlangen gewachsen, Unternehmen, Manager, Wirtschaftsprüfer und Anwälte zu kriminalisieren. Daraus ist eine gefährliche Tendenz erkennbar: Das Prinzip der Unschuldsvermutung wurde und wird immer mehr zum Prinzip der „Schuldsvermutung“.

Die Prüfung von Ermittlungsergebnissen in Zuge von Gutachten, die Aussagen von Gericht-Sachverständigen und die Analyse von Daten von Untersuchungsergebnissen der Ermittlungsbehörden zeigen wiederholt und in einer alarmierenden Steigerungsrate, dass es zu einfach geworden ist Argumente „out of context“ und zum Nachteil der Beschuldigten einzusetzen.

Es gibt zahlreiche Gründe für diese Entwicklung und auf einige können wir keinen Einfluss nehmen: subjektive Ermittler, einseitige Medienberichterstattung, Erfolg getriebene Ermittlungsbehörden, die ihre Existenz zu rechtfertigen bemüht sind und Oberflächlichkeit, die es viel zu einfach macht mit Halbwahrheiten und unbewiesenen Anschuldigungen aufzutreten.

Zwei wesentlichen Problemen, die mit für diesen Zustand verantwortlich sind, können wir aber sehr effektiv entgegen treten:

  1. Unvollständige und einseitige Ermittlungen
  2. Unkontrollierte IT-Landschaften, die organisch mit ihren Unternehmen gewachsen sind, in Verbindung mit Management ohne ausreichenden Wissensstand über den Verbleib und Umgang mit hochsensiblen Daten

Beide Bereiche und mehr können mit dem Ansatz der Counter Forensic effektiv bewältigt werden.

Der verzweifelte Anruf eines bekannten Wirtschaftsanwaltes sendet unser Forensik Team direkt in die IT-Abteilung der Staatsanwaltschaft Wien. Die STA hat einen scheinbar schlüssigen Ermittlungsbericht vorgelegt, der auf Daten basiert, die nach einer HD unter Verschluss gehalten werden. Die übliche Akteneinsicht – sprich, Übergabe einer Kopie der elektronischen Daten – wird mit dem Hinweis auf Datenschutzprobleme verweigert.

Die üblichen Reviewplattformen sind stationär und können daher nicht vor Ort gebracht werden. Der STA lässt eine Akteneinsicht jedoch nur vor Ort unter Kontrolle der IT-Expertin der STA zu. Unsere Toolbox beinhaltet jedoch auch eine mobile Reviewplattform und innerhalb von 24 Stunden ist Hard- und Software vor Ort und die Reviewer können loslegen. Nach einigen Arbeitstagen und mit Hilfe von einer mit künstlicher Intelligenz arbeitenden Analysesoftware, finden wir entlastendes Material, dass im Ermittlungsbericht keinerlei Niederschlag fand.

Ermittlungsbehörden verfügen heute nicht über ausreichende personelle und technische Kapazität – wiewohl über Technik und Know How. Dies führt zu einseiten Ergebnissen und vermeidbaren Fehlern. Diese Ergebnisse werden dann nicht auf einer technischen Ebene sondern auf einer rein rechtlichen Ebene angezweifelt. All dies zu Lasten der zu Untersuchenden.

Der Standard für Ermittlungen sieht vor, jede Ermittlung mit einer Arbeitshypothese zu beginnen, welche in Form eines Fallmodelles in einer künstlichen Umgebung vernetzt dargestellt wird. Die Verbindungen zwischen Personen, Firmen, Email Kommunikation, Bewegungsmuster, Telefonaten, Banken und Konten werden verknüpft und als Fallvisualisierung präsentiert. Auf dieser Basis ist das Fallmodell laufend um Ergebnisse zu ergänzen und zu prüfen. Dadurch erkennt der Ermittler (auf beiden Seiten) auf einen Blick Schwachstellen in der Beweiskette, fehlende Informationen und oftmals auch Verbindungen, die sie/er vorher gar nicht so erkannt haben.

Wir sind zu oft mit rein auf Suchbegriffen basierenden Analyseergebnissen konfrontiert, die auf Basis der Arbeitshypothese belastendes Material zu Tage gefördert haben. Da diese Ergebnisse für die Ermittler schlüssig erscheinen, sind sie zufrieden und beenden ihre Ermittlungen. Im weltweiten Magazin der internationalen Dachorganisation für Ermittlungen im Wirtschaftsbereich “ACFE”[1] hat die amerikanische Staatsanwältin Leslie R. Caldwell in einem Interview der Ausgabe Mai/Juni 2015 folgende Aussage in Bezug auf die Enron-Ermittlungen gemacht: „Wenn uns die Transaktionen zu kompliziert waren – und Verdächtige über die Art der Transaktionen gelogen haben – war es viel einfacher für uns, uns auf die Lüge zu konzentrieren, als die Transaktion zu untersuchen.“

Das ist ein objektiver Ermittlungsansatz? „einfacher“? Es gibt immer mehr als nur eine Wahrheit und jede Wahrheit ist abhängig vom Auge des Betrachters. Zusätzlich sind wir verpflichtet be- und entlastendes Material gleichermaßen zu analysieren und zu berücksichtigen.

Schließlich lügen Menschen aus vielen verschiedenen Gründen – insbesondere bei strafrechtlichen Ermittlungen. Zahlreiche Publikationen (viele auch in ACFE´s “Fraud Magazine”) behandeln die Fehlinterpretation von Ermittlern in Bezug auf körpersprachliche Signale und daraus abgeleitete Annahmen in Bezug auf Wahrheitsgehalt von Aussagen der Befragten. Der forensische Autor und frühere FBI Ermittler Joe Navarro schrieb: ”Ermittler missinterpretierten oft nonverbale Stress Signale als Lüge und übten Druck auf unschuldige Verdächtige aus, die schließlich gestanden.”[2]

Diese Aussagen berücksichtigend, ist es sehr fragwürdig wie sicher erstens die Annahmen auf Basis von „Lügen“ sind und zweitens wie akkurat die Beweise auf Basis dieser Annahmen sind. Das Enron ein Betrugsfall war, steht außer Zweifel, die oben beschriebene Art der Ermittlung und der Ermittlungsansatz von Caldwell erscheinen dennoch fragwürdig.

Meine Erfahrung aus 20 Jahren Ermittlungsarbeit, Sachverständigentätigkeit und Zeugeneinvernahmen zeigt, dass Beweise immer öfter ohne ausreichenden Kausalzusammenhang präsentiert werden. Die rhetorischen Fähigkeiten von Anwälten und Staatsanwälten werden dafür eingesetzt unschlüssige Beweisketten als schlüssig darzustellen und aus dem Zusammenhang gerissene Informationen als Beweise zu präsentieren. Das mangelnde Verständnis mancher Richter und deren Beisitzer über die heute erforderlichen Ermittlungsanforderungen, -schritte und –techniken bei Datenmengen von hunderten Gigabytes und Millionen Emails fördert diese Entwicklung zusätzlich.

Zu viele Mandanten oder Verdächtige glauben immer noch, dass Datenaufbereitung, -suche und –analyse so ähnlich wie “Google” und “Windows Explorer” funktionieren um Bekannte über Facebook zu identifizieren.

Dieses Delta, oder besser Riesenkluft, zwischen Annahme und Wissen über Datenforensik, Datenanalyse und die notwendigen Software Werkzeuge, die erforderlich sind eine Beweiskette, einen Kausal- und Adäquanzzusammenhang zu analysieren und aufzubereiten ist eine massive Bedrohung für Unternehmen, Reputationen und manchmal Leben.

Dies bringt mich direkt zum nächsten übermächtig scheinenden Problem der heutigen Daten Forensik und Analyse: Big Data!

Vor gerade einmal 15 Jahren, hatte ein durchschnittliches Email Konto (pst-file) eine Speicherkapazität von rd. 20 MB Emails, während wir heute pst-files mit 2 GB und mehr haben. Während dieser enormen Geschwindigkeit in der Entwicklung von IT-Systemen, der ständigen Veränderung bei Anbietern und Entwicklern hat sich die IT-Umwelt von Unternehmen parallel dazu oft „organisch“ entwickelt.

IT-Abteilungen sind die “Wunderknaben” und Beschützer der sensibelsten und dunkelsten Geheimnisse eines Unternehmens, während das durchschnittliche Wissen des Senior Executive Managements kaum das eines Grundschülers übersteigt.

Nun füge man noch den dichten Terminkalender und folglich den Zeitmangel von Managern hinzu, sich eingehend mit IT-Systemen und IT-Sicherheit auseinander zu setzen. Diese Faktoren und das blinde Vertrauen in die IT-„Wunderknaben“ führt zu einer unkontrollierten Flut an Hoch-Risiko-Daten in den Datenarchiven von Unternehmen, die vom Management nicht wahrgenommen werden. Denn die permanente Daten- und Informationsflut, der Manager heute ausgesetzt sind, lässt diese Hoch-Risiko-Daten schnell in ewige Vergessenheit geraten. Ewig? Eben nur bis zur nächsten Steuerprüfung, Hausdurchsuchung, Whistleblower Indiskretion, etc.

John Naisbitt[3] sagte: “We are drowning in information but starving for wisdom”. Diese Aussage ist das letzte Teil des oben beschriebenen Puzzles an Ursachen, die Unternehmen, Manager und Aufsichtsräte in teure und höchst bedrohliche Situationen bis hin zu Gerichtsverfahren bringen.

Führen Sie sich folgenden Fall vor Augen: Ein Whistleblower sendet inmitten zum Signing eines beachtlichen M&A Deals einen detaillierten Brief an die Investoren, der Namen, Daten und Anschuldigungen betreffend Bestechungen in mehreren Ländern enthält. Abgesehen davon, dass viele dieser Anschuldigungen Jahre zurück lagen, war keiner der jetzt verantwortlichen Manager in den jeweiligen Positionen als die behaupteten Sachverhalte verwirklicht werden hätten sollen. Die Investoren aus Deutschland und den USA stoppten sofort den gesamten Prozess und verlangten eingehende Untersuchungen und vollständige Offenlegung aller Daten.

Drei Anwaltskanzleien und drei Forensikteams aus drei verschiedenen Ländern mit unterschiedlichen Ansätzen, Software-Tools und Anforderungen mussten eingesetzt werden um den gesamten Email Datenbestand der fraglichen Periode zu analysieren, um möglichst alle Täter zu identifizieren.

Die Kosten für die Forensik alleine gingen in die Hunderten Tausend zuzüglich von Rechtsberatungskosten, die die Millionengrenze überstiegen. Das Ergebnis war die Identifikation von fünf Verdächtigen, die Anzeige dieser Personen und weitere Zeitverluste durch die nachfolgenden strafrechtlichen, zivilrechtlichen und arbeitsrechtlichen Verfahren.

Die heute verfügbaren Software Toolboxen sind bei professioneller Anwendung und Ausführung die korrekte Antwort auf solche Bedrohungen. „Predictive coding”[4] oder “content analysis”[5] Software Systeme arbeiten mit “künstlicher Intelligenz” um Daten mit höchster Effizienz und Geschwindigkeit zu analysieren.

Die RAND Corporation hat in ihrer 2012 veröffentlichten Studie[6] über die Kosten in Gerichtsverfahren festgestellt, dass das Hauptproblem und Hauptkostentreiber der gängigen e-Discovery Ansätze die exorbitanten Kosten der Dokumentenprüfung durch Anwälte und den enormen Zeitdruck, dem sie unterliegen, sind. Mit “künstlicher Intelligenz” arbeitende Werkzeuge von “Top of the Art“ Forensik Teams reduzieren dieses Problem massiv.

“Mr. Wolf”, der Charakter eines berühmten Kino-Blockbusters, welcher beigezogen wird um unlösbare Probleme doch zu lösen, sagt es noch direkter: “Ich bin hier um Euch zu sagen, was zu tun ist und wenn Selbsterhaltung ein Grundinstinkt ist, den Ihr besitzt, dann macht das besser und besser schnell. ”

So rüde diese Wort klingen, ist es für Unternehmen und Manager der einzige Weg Probleme zu lösen, bevor die “schmutzige Bombe” explodiert und sich viel Geld zu ersparen. Counter-Forensik Teams arbeiten mit den höchsten technischen Standards und identifizieren Bedrohungen und Risiken, die in den tiefen der unternehmerischen Serverlandschaften, cache files, index files, Back-up Geräten und Email-Exchange Servern schlummern.

Wenn Counter Forensik Teams potentielle Risiken innerhalb der Daten eines Mandanten identifizieren müssen Rechtsabteilungen und –berater zwingend hinzu gezogen werden. Die Risiken müssen wirtschaftlich und rechtlich beurteilt und Gegenmaßnahmen zu deren Minimierung eingeleitet werden. Abhängig vom Alter der Daten, lokalen und internen Compliance Vorschriften und dem rechtlichen Umfeld beinhalten geeignete Maßnahmen alles von der sicheren und kompletten Vernichtung bis hin zu einer sicheren und versiegelten Aufbewahrung dieser Daten in externen Archiven (zB beim Rechtsanwalt oder Steuerberater).

Für die meisten Menschen bedeutet das Löschen von Daten immer noch der Einsatz der kleinen Müllbox am Bildschirm von Windows-Rechnern und in Folge ist das Missverständnis groß, was eigentlich richtiges und Compliance gemäßes Vernichten von Daten bedeutet. Computer speichern Daten, Datenfragmente und Datenspuren in verschiedensten Bereichen des lokalen Rechners und der Serversysteme. Alles weniger als die Datenvernichtung gemäß des deutschen “BSI-Löschstandard VSITR” oder des US-amerikanischen Standard “DoD-5220.22-M (E)” ist nicht ausreichend.

Daher setzen wir Counter Forensik Spezialisten höchst komplexe Software ein, die es uns gestattet Daten und Datenspuren in allen Bereichen der IT-Landschaft unserer Klienten zu finden und die Spuren zu diesen sehr realen Bedrohungen zu identifizieren, mit denen die Klienten durch eine moderne IT- und Email Compliance schon im Vorfeld hätten umgehen können.

Counter Forensik beinhaltet die wichtigsten technologischen Ansätze zur Daten Zerstörung, Defragmentierung, Daten Verschiebung und IT Compliance. Während die ersten drei Ansätze Methoden sind den Datenhaushalt von Unrat, den andere hinterließen, zu befreien, ist die letzte Methode der Ansatz zur Anwendung zeitgemäßer IT-Compliance in Bezug auf Erhalt oder Vernichtung von Daten im laufenden Geschäftsprozess.

“Quis custodiet ipsos custodies?” – Wer bewacht die Wächter?[7] Die Aufgabe von Counter Forensik ist, diejenigen mit ihrer Verantwortung zu konfrontieren, die aus einer Macht- und Autoritätsposition heraus agieren. Der Ansatz dazu ist, die Prüfer zu prüfen, indem man ihre technischen und analytischen Ansätze hinterfragt und ihnen die Möglichkeit nimmt aus dem Kontext gerissen zu untersuchen und zu argumentieren.

 

 

[1] www.acfe.com – Association of Certified Fraud Examiners

[2] FRAUD Magazine, September/October 2014: A clue to deception?

[3] John Naisbitt, author of „Megatrends“, www.naisbitt.com

[4] PREDICTIVE CODING AND THE PROPORTIONALITY DOCTRINE: A MARRIAGE

MADE IN BIG DATA by Ralph C. Losey: “Predictive coding uses a type of AI programing that allows the computer, a/k/a the machine, to learn from attorney instruction. This is called active machine learning, which is one application of AI.”

[5] Content analysis is „a wide and heterogeneous set of manual or computer-assisted techniques for contextualized interpretations of documents produced by communication processes in the strict sense of that phrase (any kind of text, written, iconic, multimedia, etc.) or signification processes (traces and artifacts), having as ultimate goal the production of valid and trustworthy inferences.“

[6] Where the Money Goes: Understanding Litigant Expenditures for Producing Electronic Discovery (“RAND

Report”)

[7] “Satires” by Roman poet Juvenal and discussed by Plato in „The Republic“

Recent Posts

Kommentieren

Suchbegriff eingeben und Enter klicken