Partner von
Partner von

Digitale Detektive

Wenn nach einem Festplatten-Crash alles verloren scheint, schlägt die Stunde der Datenretter. Sie wenden private Katastrophen genauso ab wie Unternehmensuntergänge, und auch Staatsanwälte freuen sich, wenn die Plattenprofis verräterische Datenreste aufspüren, die Kriminelle hinterlassen haben.




Sie war immer so dynamisch und zuverlässig. Doch vielleicht hatte man ihr einfach zu lange zu viel zugemutet. Als sie auf die Intensivstation kam, hielt man sie schon für tot. Ihr Ableben kam unerwartet und traf die ehrlich trauernden Angehörigen (die anonym bleiben wollen) ziemlich unvorbereitet. Doch, und das ist die kleine Sensation, die in der Krankenakte penibel festgehalten ist: Die dahingegangene Festplatte konnte wieder zum Leben erweckt werden – mit einer Pinzette, einer Lupe und viel Geduld.

Große Worte sind ihre Sache nicht, und außerdem gibt es da gewisse Berufs- und Betriebsgeheimnisse. Aber so viel lässt sich Christine Hammer entlocken: Sie hat lange um ihre Patientin gekämpft. Die 38-Jährige hat sie im staubfreien Reinraum unter dem Mikroskop untersucht und ihre Verletzungen begutachtet: böse Wunden, gerissen bei einem Crash von einem unkontrolliert über die empfindliche Magnethaut schleifenden Lesekopf. Sie hat ihr mit einem Elektronikbaustein Starthilfe gegeben und einen neuen Lesekopf dazu gebracht, die Arbeit aufzunehmen. Jetzt schwenkt er gerade über die wieder surrende Metallscheibe. Auf dem Kontrollbildschirm flimmern schon die Daten, die Christine Hammer auslesen kann. Gut, ein paar Narben werden bleiben, von manchen Dateien werden die Ingenieure später nur Bruchstücke rekonstruieren können. Aber sie werden als Pioniertruppe im Digital-Dschungel die zerstörten Wege zu den Verzeichnissen mit ihren Software-Werkzeugen reparieren. Viel Zeit, um diesen Erfolg zu genießen, bleibt jedoch nicht – die nächsten Patienten warten schon. „Manchmal“, sagt Christine Hammer von Kroll Ontrack, „tigern die Besitzer vor dem Labor auf und ab, als sei es ein Kreißsaal, und hoffen auf eine gute Nachricht.“ Datenrettung ist ein gutes Geschäft. Kroll Ontrack ist mit 82 Millionen Dollar Jahresumsatz Marktführer auf diesem Gebiet. Der amerikanische Mutterkonzern Kroll Inc., der das Unternehmen vor zwei Jahren kaufte, ist inzwischen der wohl berühmteste Sicherheits-Dienstleister der Welt: Rund um den Globus sind die 2600 Angestellten des Konzerns damit beschäftigt, Menschen, Unternehmen und Geld vor Gefahren aller Art zu schützen und Risiken einzuschätzen. Sie bewachen amerikanische Helfer im Irak, prüfen die Bonität von Firmen und geben Ratschläge, wie Mitarbeiter vor Anschlägen bewahrt werden können, deren Vorleben sie vermutlich bereits genauestens untersucht haben.

Kroll-Ermittler fanden zehn Jahre nach dessen Tod die Mörder des Vatikan-Bankers Roberto Calvi und untersuchten im Auftrag von Haitis Regierung, wo der frühere Diktator Jean-Claude Duvalier seine Millionen versteckte. Sie wühlen bei Unternehmen wie Enron und Parmalat, die durch Skandale in die Schlagzeilen geraten sind, in den Akten, bringen Bilanzfälscher zur Strecke, retten Kapital und strukturieren die Unternehmen in Sicherheitsfragen anschließend neu. Kroll gelte 20 Jahre nach ihrer Gründung in der amerikanischen Geschäftswelt als Synonym für Sicherheits- und Risikomanagement, schrieb die New York Times. Mit den Spezialisten von Ontrack deckt der an der New Yorker Börse überaus erfolgreiche Gefahren-Spezialist (1,08 Milliarden US-Dollar Marktkapitalisierung, 485,5 Millionen Jahresumsatz) nun auch den Bereich der professionellen Datenrettung und elektronischen Ermittlung ab.

In der deutschen Niederlassung in Böblingen, erst 1996 als Zweimannbetrieb gegründet, arbeiten heute 50 Angestellte. „80 Prozent der 100 wichtigsten deutschen Firmen waren schon bei uns“, sagt Geschäftsführer Peter Böhret. Namen will er nicht nennen, die Kunden legen Wert auf Diskretion – den Verlust von Daten zugeben zu müssen ist für viele eine peinliche Angelegenheit. Da gibt es beispielsweise die große Handelskette, bei der nach einem mechanischen Defekt der Festplatte plötzlich die Bilanz des Vorjahres verschwunden war. Oder den Super-Gau eines großen baden-württembergischen Unternehmens, das glaubte, ein perfektes Sicherungssystem zu besitzen. Bis sich bei einem Ausfall von zwei Festplatten eines Serversystems herausstellte, dass der Aufwickler bei allen 40 Sicherungskopien das Band zerknüllt hatte und keines der Bänder auf herkömmliche Art und Weise zu lesen war. Böhret erzählt auch die Geschichte von den 20 Ingenieuren, die ein Autobauer für aufwändige Tests in die Sahara schickte – und die mit einem defekten Notebook nach Hause kamen. Und so weiter und so weiter. Im Jahr 2003 bearbeiteten die Datenretter rund 5000 solche und ähnliche Aufträge, gegenüber dem Vorjahr eine Steigerung um 25 Prozent. In diesem Jahr soll das Wachstum ähnlich ausfallen.

Vom steigenden Bedarf an professioneller Hilfe profitiert auch Mitbewerber Ibas (zwei Millionen Euro Umsatz und rund 2500 Aufträge im Jahr). „Die Großunternehmen zählen selten zu unseren Kunden – sie haben ihr IT-System meist unter Kontrolle. Aber wir hatten schon den Fall, dass das Notebook eines Bank-Managers nicht an das reguläre Backup-System angeschlossen war“, schildert Geschäftsführer Karl Flammersfeld einen aktuellen Fall. Zwar zählen bisweilen auch Privatleute zu den Kunden der Datenretter, wie etwa der panische Doktorand, dem kurz vor Abschluss seiner Dissertation der Computer meldet, auf die Arbeit könne nicht mehr zugegriffen werden. Doch die Mehrzahl der Anrufe, die in den Call Centern eingehen, betreffen den Mittelstand. Das bestätigt auch Kroll-Ontrack-Chef Peter Böhret: „Der sensible Umgang mit Daten liegt hier besonders im Argen. Niemand käme auf die Idee, bei seinem Dienstwagen die Zylinderkopfdichtung von einem Mitarbeiter austauschen zu lassen, der gern an Autos herumschraubt. Im IT-Bereich haben viele Führungskräfte aber noch nicht erkannt, dass die Daten neben dem Personal oft ihre wichtigste Ressource sind. Sie hören nicht auf die Warnungen der Fachleute. Ein Roboter scheint mehr wert zu sein als die Software zur Fertigung – aber auch hier steht das Band still, wenn ein Fehler auftritt.“

Verlust ist teuer

Der Wert von Daten wird oft unterschätzt. Versicherungen, die das Risiko eines Verlustes abdecken, kalkulieren meist pauschal mit 1000 Euro pro Megabyte. „Um einen Text in dieser Größe abzutippen, braucht eine Sekretärin rund 55 Stunden – wenn man Glück im Unglück hat und das Dokument ausgedruckt wurde. Das ist aber bei weniger als einem Drittel der am PC erstellten Unterlagen der Fall. Das reine Erfassen kostet eine Firma bei 40 Euro Stundenlohn also etwa 2200 Euro“, rechnet Böhret vor.

Ideen und Konzepte lassen sich dagegen nicht so einfach rekonstruieren und binden womöglich erneut ganze Teams, die über Monate hinweg elektronische Notizen angelegt, Meeting-Protokolle erstellt und Entwicklungspläne konzipiert hatten. Informationen aus Buchhaltung, Auftragsverwaltung und Lohnbuchhaltung sind noch sensibler. Wie soll der Vertrieb neue Lieferungen auf den Weg bringen, wenn Kundendaten fehlen? Woher soll der Verkauf bei einem Ausfall der Firmencomputer wissen, welche Produkte der Auftraggeber einst bestellt, welche Support-Verträge er abgeschlossen hat – und welche schon bezahlt sind und welche nicht? Derartige Informationen sind unentbehrlich. Gingen sie tatsächlich verloren, wären die Konsequenzen bitter: Datenbank-Hersteller rechnen beim Totalverlust mit einem Schaden in Höhe von 50 Prozent des Unternehmenswertes – in der Regel die Summe der Umsätze mehrerer Jahre.

Trügerische Sicherheit

Naturkatastrophen wie Erdbeben oder Überschwemmungen sind statistisch gesehen nur sehr selten die Ursache für Datenverlust. Auch die gefürchteten Viren, Würmer und trojanischen Pferde sind nur für sieben Prozent der Schäden verantwortlich. Bedienungsfehler machen immerhin gut ein Drittel der Problemfälle aus. Die wichtigste Ursache für Datenverlust aber sind mit 44 Prozent der Fälle Fehler der Hardware. Das kann der Speicherchip der Digitalkamera sein, der sich nicht mehr auslesen lässt. Das können CD-ROMs und DVDs sein, die plötzlich an Gedächtnisschwund leiden. Oder Streamer-Kassetten und Magnetbänder, die lange Zeit die trügerische Sicherheit vermittelten, sie würden alle wichtigen Daten als Kopie speichern. Die Statistiken belegen, dass zwar in 80 Prozent der Datenverlustfälle ein Backup existiert, es jedoch oft nicht verwertbar ist, weil Daten schon beschädigt waren, als das Backup erstellt wurde, oder weil das Speichermedium selbst zu lange in Betrieb war und nicht mehr intakt ist. „Viele Unternehmen sichern ihre Daten Tag für Tag mit demselben Band, und das viele Jahre lang. Das kann nicht gut gehen“, sagt Datenretter Jochen Stöhr.

Was der 32-jährige Ingenieur und seine Kollegin Christine Hammer im Reinraum aber am häufigsten untersuchen, sind dicke spiegelblanke Metallscheiben in Aluminiumschachteln. Die Festplatte ist Gehirn und zentrales Nervensystem des Computers – sie merkt sich das Betriebssystem, die Programme, die Daten. Ihr versiegeltes Gehäuse kann man nur mit Spezialschraubenziehern öffnen – damit kein Unseliger auf die Idee kommt, einmal nachzuschauen, wie so ein Wunderding denn nun eigentlich aussieht. Aus ihrer Schutzhülle darf sie nur dort befreit werden, wo sie auch produziert wurde: in einem Reinraum. Denn die sensible Mechanik gerät leicht aus dem Tritt. Wie bei einem Tonband werden die Informationen hier Bit für Bit auf einer Magnetschicht gespeichert – immer enger, inzwischen mit mehr als 6500 Bytes pro Quadratmillimeter. Ein Schreib-und-Lesekopf, der an den Tonarm eines Plattenspielers erinnert, speichert die Daten, indem er in Mikrosekunden- Geschwindigkeit die Polung der magnetischen Partikel verändert. Er liegt allerdings nicht auf der Platte, sondern schwebt über ihr – in einer Höhe von rund 25 Nanometern. Etliche dutzend Mal pro Sekunde bewegt er sich vom Rand zum Zentrum, während unter ihm die Festplatte kreist. Schallplatten laufen bei 33 oder 45 Umdrehungen pro Minute – die Festplatte dreht sich in der gleichen Zeit 10.000 Mal. Bei solchen Geschwindigkeiten können schon kleinste Schmutzpartikel das System aus der Bahn werfen. Wird etwa der Luftstrom, der den Schreib-und-Lesekopf trägt, unterbrochen, fällt der Kopf hinunter und zerkratzt die Magnetschicht. Für einen solchen Headcrash, ein klassischer Fall bei den Datenrettern, reicht ein einziges Staubkorn aus. Die Wirkung? „Ein Düsenjet knallt mit vollem Schub gegen einen Berg“, sagt Christiane Hammer. Eine Festplatte nimmt es aber auch übel, wenn sie zu Boden fällt. Oder nass wird. Oder wenn die Mechanik nach jahrelangem Betrieb einfach ein wenig ausleiert.

Selbst ein schwerer Headcrash schafft es jedoch nicht, sämtliche Daten zu vernichten. Man kommt nur nicht mehr an sie heran. Dafür braucht man Datenrettungssanitäter. „Wir übertragen alles, was physikalisch auf dem beschädigten Datenträger gespeichert ist, eins zu eins auf eine neue Festplatte. Gearbeitet wird nie am Originalmedium, sondern immer nur an einer Kopie“, sagt Thomas Hanselmann. Der Ingenieur, Typ schwäbischer Tüftler, analysiert dann mit Spezial-Software die korrumpierten Dateiordnungstabellen, in denen aufgeführt ist, an welcher Stelle der Festplatte welche Datei abgelegt worden ist. Diese in der Windows-Welt „File Allocation Tables“ (FAT) genannten Metadaten sind quasi das Adressbuch des Speichermediums: In ihnen wird verzeichnet, wo welches Cluster (die kleinste adressierbare Einheit mit mehreren Sektoren von jeweils 512 Byte) auf der Festplatte zu finden ist. Weil selbst der kürzeste Word-Text aus mehreren Kilobyte Daten besteht und auf der Festplatte möglicherweise nicht immer der physikalisch nächstliegende Platz frei ist (weil hier beispielsweise gerade Teile der Powerpoint-Präsentation und der Excel-Kalkulation liegen), wird die Datei in Bruchstücken an verschiedenen Plätzen abgelegt – diese Zuordnungsinformationen liegen dann in der FAT-Tabelle. „Man muss wissen, wie die verschiedenen Betriebssysteme die Daten in Verzeichnissen, Sektoren oder Segmenten der Datenträger ablegen und welche Codierungsverfahren die Hersteller der Festplatten verwenden“, erklärt Thomas Hanselmann. Nur leider: Diese Informationen geben die Firmen in der Regel nicht preis. In stunden-, manchmal tagelanger Arbeit setzt der Ingenieur das Datenpuzzle deshalb mühsam wieder zusammen und baut ein neues Netzwerk an Verbindungen auf, bis am Ende alles wieder funktioniert. In der globalisierten IT-Welt von Kroll Ontrack können dringende Aufträge dank des globalen Netzwerks in Teamarbeit bearbeitet werden: Wenn der Ingenieur in Böblingen Feierabend macht, nimmt sich der Spezialist in Asien des Falles an und übergibt später an den Kollegen in Nordamerika.

Gefährliches Gedächtnis

Damit jeder Kunde abschätzen kann, welche Kosten auf ihn zukommen werden, gibt es bei professionellen Datenrettern stets eine erste Diagnose mit einer Liste der Dateien, die rekonstruiert werden können. „Alles andere wäre Kaffeesatzleserei. Den Kunden interessiert gar nicht, wie viel Prozent der Datenmenge gerettet werden können. Es geht ihm meistens um ganz konkrete Dateien, mal um das Adressbuch von Outlook, mal um eine wichtige Datenbank“, sagt Ibas-Geschäftsführer Karl Flammersfeld.

Für versehentlich gelöschte Dateien oder für die Wiederherstellung von Daten nach Virenbefall gibt es inzwischen auch Software-Tools, die man entweder von professionellen Datenrettern kaufen oder kostenlos aus dem Internet herunterladen kann. „Solche Programme sollte man nur dann einsetzen, wenn sicher ist, dass die Ursache für den Schaden kein mechanischer Fehler ist. Das Problem bei kostenlosen Tools ist oft, dass der Anwender das Programm erst installieren muss – und dadurch, wenn er Pech hat, gerade jene Daten zerstört, die er eigentlich retten wollte“, sagt Hanselmanns Kollege Armangan Cekmez. Beim Löschen von Dateien werden die Daten nämlich gar nicht von der Festplatte, sondern nur aus deren Inhaltsverzeichnis gelöscht, damit der nun nicht mehr benötigte Speicherplatz neu überschrieben werden kann. Physikalisch existieren diese Daten in Form von unterschiedlich gepolten Magnetpartikeln weiter – man kann sie also, sofern sie noch nicht überschrieben sind, relativ einfach komplett oder in Fragmenten wiederherstellen.

Das gilt nicht nur für Computer. Faxgeräte, Digitalkameras, PDAs und Mobiltelefone: Sie alle speichern, was mit ihnen gemacht wird. Und geben ihr Wissen auch wieder preis. Datenretter erzählen gern die Geschichte von dem Angestellten einer norwegischen Firma, der zur Konkurrenz wechselte und vor seinem Abschied Berge vertraulicher Unterlagen durch den Kopierer jagte. Pech für den Dieb, dass der Kopierer auf seiner Festplatte alles festgehalten hatte.

Über diese Art von digitalem Langzeitgedächtnis freuen sich auch jene Datendetektive, die im Auftrag von Firmen oder Staatsanwälten bei Verdacht auf kriminelle Delikte Nachforschungen anstellen. „Durch die Untersuchung der automatisch auf den Computerfestplatten gespeicherten Logfiles kann man genau nachweisen, zu welchem Zeitpunkt welches Programm ausgeführt und auf welche Dateien zugegriffen wurde“, sagt Reinhold Kern, bei Kroll Ontrack zuständig für das wachsende Geschäftsfeld Computer Forensik. Und seine Rettungsingenieure können auch vermeintlich vernichtete Daten wie gelöschte E-Mails wieder hervorzaubern – jedenfalls wenn schnell gehandelt wird.

Davon profitieren nicht nur staatliche Ermittler, auch immer mehr Unternehmen lassen sich von Computer-Forensikern in Fällen von Diebstahl und Betrug im eigenen Haus helfen. Referenzen will Reinhold Kern naturgemäß keine nennen, aber er erzählt, wie er kürzlich im Auftrag eines Unternehmens dem Verdacht nachging, ein ehemaliger Mitarbeiter im Bereich der Medizintechnik habe Konstruktionszeichnungen mitgehen lassen. Die privaten Ermittler konnten nachweisen, dass der Mann statt wie üblich 400 Mal im Jahr in den letzten 14 Tagen seiner Betriebszugehörigkeit stolze 2500 Mal auf die Daten zugegriffen hatte. Bei einem anderen Auftrag wiesen die Experten nach, dass ein frustrierter Computer-Experte Software zum Knacken von Passwörtern installiert und nach der Kündigung Daten sabotiert hatte. Oder dass ein leitender Mitarbeiter PCs und Drucker für die gerade gegründete eigene Firma bestellt hatte – auf Kosten des alten Arbeitgebers.

Gelöscht heißt nicht verschwunden

Auch bei der forensischen Ermittlung arbeiten die Ingenieure immer mit einer Kopie der Festplatte – das Original lagert im Tresor. „Ich suche mit Schlagworten, die mir der Auftraggeber genannt hat, wie ein Detektiv nach den Stecknadeln im Heuhaufen. Und das so lange, bis ich glaube, die ‚Smoking gun‘ gefunden zu haben“, sagt Frank Buechel, einer der Ermittler von Kroll Ontrack, der sich selbst einen ehrgeizigen Wühler und Rechercheur nennt. „Man muss sich voll und ganz in die Rolle desjenigen hineinversetzen, der verdächtigt wird. Und dann nachvollziehen, welchen Weg er gegangen ist.“ Aktuell untersucht Buechel im Auftrag einiger Rechtsanwälte die Sitzungsprotokolle, Besprechungsnotizen und E-Mails aus der Führungsriege eines in Konkurs gegangenen IT-Unternehmens. Die Vermutung: Der Hauptanteilseigner der Firma könnte Entscheidungen zum Nachteil der kleineren Teilhaber beeinflusst haben und früher über den drohenden Bankrott informiert gewesen sein als zugegeben. „Ob das tatsächlich so gewesen ist, kann ich nicht beurteilen. Wir stellen dem Auftraggeber am Ende nur die aufgearbeiteten Daten zur Verfügung – die Schlüsse daraus müssen andere ziehen.“

Doch nicht nur Forensiker gelangen an verborgene Daten. Auch Kriminelle können die verbreitete Unwissenheit über die Funktionsweise von Computern ausnutzen, wie das Berliner IT-Unternehmen O&O Software erst im April mit einer Studie bewies. O&O-Geschäftsführer Olaf Kehrer ersteigerte 100 gebrauchte Festplatten bei Online-Auktionen und untersuchte sie auf vorhandene oder durch das Formatieren vermeintlich gelöschte Daten. In den Speichern fanden sich nicht nur Passwörter, Listen von Geheimnummern und Patientendaten einer Krankenkasse. Kehrer entdeckte auch Kostenrechnungen, Sitzungsprotokolle und Konkurrenzanalysen eines großen Pharmakonzerns. Nur zehn Prozent der Festplatten waren sicher und vollständig gelöscht worden.

Ähnlich unsensiblen Umgang mit Daten hatten zwei Studenten des Massachusetts Institute of Technology (MIT) aufgedeckt: Sie fanden auf einer Festplatte, die vermutlich aus einem Geldautomaten stammte, Konto- und Kreditkartendaten. Wer systematisch auf allen Kopierern und Computern nach Daten suchte, die permanent durch Leasing-Verträge ausgetauscht werden, würde vermutlich noch viel mehr sensible Informationen finden. Dabei muss man, um Daten endgültig zu löschen, die Festplatte nicht schreddern, in den Hochofen werfen oder mit einem starken Magneten unbrauchbar machen. Es gibt längst Software, die das erledigt. Der Privatmann findet sie kostenlos im Internet, für professionelle Anwender bieten sie die Datenretter an. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) geht davon aus, dass siebenmal Überschreiben genügt, um eine Festplatte unlesbar zu machen. Bei Kroll macht man es lieber 99 Mal. Sicher ist sicher.

Datenrettung in Deutschland

Der Umsatz der deutschen Datenretter liegt zwischen 15 und 20 Millionen Euro im Jahr. Marktführer ist Kroll Ontrack (www.krollontrack.de).

Weitere Unternehmen auf dem Markt sind unter anderem:
Ibas (www.ibas.com),
Convar (www.convar.com)
Vogon (www.vogon.de)
Auch Systemhäuser bieten Datenrettung an.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) (www.bsi.de) bietet Informationen zum Schutz von Daten an.

Studie über den unsensiblen Umgang mit Daten: www.oo-software.de/studie

Festplatten-Löschprogramme

Unter dem Menüpunkt „Produkte/Tools“ können Behörden und Hochschulen das Festplatten-Löschprogramm „VS-Clean“ beim BSI bestellen.

Löschprogramme für professionelle Anwender:
„PC Inspector“ (Convar),
„DataEraser“ (Kroll Ontrack),

Frei aus dem Internet herunterzuladen:
„DBAN“ (http://dban.sourceforge.net/),
„Eraser“ (www.heidi.ie/eraser/)