Von Szilard Karakai, Madeleine Rebsamen und Alejandro Lopez Garcia

Bildeten in den frühen 2000er Jahren oft noch physische Dokumente die Basis für die systematische Auswertung von Beweisen, spielen diese heute kaum noch eine Rolle. Mittlerweile sind die Geheimnisse digital und forensische Technologieexperten identifizieren und sichern Beweise. Die Ermittlung von wesentlichen Fakten erfolgt auf Basis von moderner Software und mithilfe künstlicher Intelligenz. Doch inwiefern stellen die Ansprüche an Vollständigkeit der digitalen Daten sowie zeitnahe und kosteneffiziente Auswertungsprozesse eine Herausforderung dar?

Wenn Computer und mobile Geräte für die Begehung von Wirtschaftsstraftaten verwendet werden, stellen sie Beweismittel dar und die forensisch fundierte Sicherung vollständiger und relevanter Informationen bildet die Grundlage von Untersuchungen. Die zu sichernden Unternehmensdaten sind in der Regel entweder auf den physischen Servern des Unternehmens oder auf Cloud-basierten Plattformen gespeichert und werden von der IT-Abteilung des Unternehmens verwaltet. Informelle Kommunikation wie SMS und Sofortnachrichten befinden sich in der Praxis jedoch häufig ausserhalb des Zugriffs des Unternehmens auf persönlichen Mobilgeräten. Die Erfahrung zeigt, dass Mitarbeitende sich oftmals E-Mails an ihre private E-Mailadresse senden, ihre Notizen in physischen Notizbüchern aufbewahren oder über Mobiltelefone kommunizieren, welche nicht offiziell durch das Unternehmen administriert werden.

Bei jeder Untersuchung ist es entscheidend, einen vollständigen Überblick über die Daten zu gewinnen. Wie geht man dabei vor?

Digitale Stolperfallen vermeiden

Zu Beginn einer Untersuchung haben Unternehmen oft Mühe, den Speicherort der Daten zu finden.  Das macht es schwierig, auf die Informationen zuzugreifen, und führt zu unnötigen Verzögerungen im Sicherungsprozess. Unternehmen sollten daher in Richtlinien festlegen, an welchen Orten die Datenspeicherung erfolgen soll, welche Formen der Kommunikation gestattet sind und auf welchen Geräten diese stattfinden darf. Dadurch wird das Risiko minimiert, dass beispielsweise Informationen nur auf dem Computer eines Mitarbeiters vorhanden sind.

Nachfolgend sind einige Beispiele aufgeführt, welche zu Schwierigkeiten bei der Datensicherung führen können:

• Fehlende Klauseln in Verträgen, die es erlauben, dass der Arbeitgeber auf firmenbezogene persönliche Daten und Kommunikation zugreifen darf.
• Eingeschränkter physischer Zugang auf Remote oder Cloud-Umgebungen und komplexe Eigentumsverhältnisse können den rechtmässigen Zugang zu den Daten erschweren. In der Cloud gespeicherte Daten können verschiedenen Rechtsordnungen unterliegen, je nachdem, wo sich die Daten physisch befinden.
• Fehlen von Fachkenntnissen zur Datensicherung im IT-Team.
• Mangelhafte unternehmensinterne Verwaltung von Geräten, zum Beispiel BYOD-Mobiltelefone («Bring Your Own Device») oder fehlendes / veraltetes Geräteinventar.
• Inoffizielle Kommunikationskanäle die im Geschäftsalltag geduldet werden, zum Beispiel WhatsApp oder Signal.
• Verschlüsselte Geräte oder Cloud Accounts ohne Kenntnisse der Entschlüsselungscodes oder der Zugangsdaten.
• Veraltete Systeme oder überholte Dateiformate, welche spezielle Tools oder seltenes Fachwissen erfordern.

Unternehmen sollten auf die Sicherung digitaler Beweise besser vorbereitet sein.

Digital Forensic Readiness herstellen

Mit «Digital Forensic Readiness» sind Unternehmen in der Lage, in Krisensituationen, in denen digitale Beweise von entscheidender Bedeutung sind, effektiv und ohne Verzögerung zu handeln. Dabei sind die folgenden Punkte von zentraler Bedeutung:

• Konzept für die Investigation Readiness, einschliesslich Digital Forensic Readiness, mit Definition der Rollen und Verantwortlichkeiten («Incident Response Plan»).
• Entwicklung von Szenarien zur Analyse der Anforderungen an digitale Beweise, da verschiedene Arten von Untersuchungen spezifische Daten erfordern können, die auf die Art des zu untersuchenden Themas zugeschnitten sind (eine behördliche Untersuchung unterscheidet sich von einer Wettbewerbsuntersuchung oder einer internen Untersuchung).
• Data Governance mit Richtlinien und Kontrollen für die Verwaltung digitaler Informationen.
• Richtlinien, wie die Kommunikation innerhalb des Unternehmens erfolgen soll, inklusive Definition der zulässigen Kanäle.
• Mobile Device Management (MDM) Policy.
• Richtlinien für den Zugang zu potenziellen Beweismitteln in Übereinstimmung mit den lokalen Gesetzen.
• Datenklassifizierung, sichere Speicherung und Mechanismen zur Überprüfung der Integrität.
• Kenntnis der Speicherorte und Zugriffsmöglichkeiten.
• Externe Partner, die bei Bedarf zur Verfügung stehen.
• Zusammenarbeit zwischen IT, HR, Recht und Compliance und dem eDiscovery-Team.
• Incident Response Plan, der Richtlinien für Data Hold und Data Preservation enthält.
• Richtlinien für den Umgang mit digitalen Beweismitteln und Datenschutz.
• Regelmässige Überprüfung und Aktualisierung des Incident Response Plans auf der Grundlage der gewonnenen Erkenntnisse sowie der sich entwickelnden Szenarien.
• Schulung und Sensibilisierung dieser Elemente auf den entsprechenden Ebenen.

Vorbereitung auf den Ernstfall: Strategien für digitale Beweisführung

Eine strategische Vorbereitung auf digitale Untersuchungen erhöht nicht nur die Reaktionsfähigkeit in Krisensituationen, sondern auch die Rechtssicherheit und Effizienz im Umgang mit digitalen Beweisen. Ein umfassendes Digital Forensic Readiness-Konzept ermöglicht es Unternehmen, proaktiv Schwachstellen im Umgang mit digitalen Beweismitteln zu identifizieren und zu beheben und in Krisensituationen handlungsfähig zu bleiben. Die Einrichtung klarer Prozesse und Richtlinien, verbunden mit kontinuierlicher Schulung der Mitarbeitenden, ist dabei der Schlüssel, um zeitnah, zuverlässig und effizient auf Vorfälle reagieren zu können. Nur so lassen sich mögliche Schäden und Risiken minimieren und es wird sichergestellt, dass im Falle einer Untersuchung alle relevanten Daten schnell zugänglich sind. Angesichts der zunehmenden Digitalisierung ist dies eine unverzichtbare Investition in die Resilienz eines Unternehmens.

Autor: Szilard Karakai

Szilard Karakai ist Senior Manager im Disputes & Investigations Team von Alvarez & Marsal. Als Relativity Master ist er spezialisiert auf Forensic Technology und eDiscovery. Mit mehr als zwölf Jahren internationaler Beratungserfahrung hat er Anwaltskanzleien, Finanzinstitute und multinationale Unternehmen bei der Bereitstellung effizienter datengestützter Lösungen für interne Ermittlungen, komplexe Rechtsstreitigkeiten und Compliance-Untersuchungen unterstützt. Szilard hat in Europa und im Nahen Osten mit einigen der renommiertesten Anwaltskanzleien zusammengearbeitet.

Autorin: Madeleine Rebsamen

Madeleine Rebsamen ist Senior Manager im Disputes & Investigations Team von Alvarez & Marsal. Sie ist in Westeuropa seit vielen Jahre in den Bereichen internationale Beratung und Ermittlung tätig und verfügt über fundierte Kenntnisse in der Geldwäschereibekämpfung, im Bereich Compliance sowie in der Untersuchung von Betrugsfällen und Fehlverhalten inklusive E-Discovery. Mit ihrem Hintergrund im Bankenbereich, als SAP-Beraterin, einem Bachelor in Wirtschaft und Betriebsökonomie sowie einem Master in Economic Crime Investigation der Hochschule Luzern (HSLU) kann sie effizient auf komplexe investigative Herausforderungen reagieren.

Autor: Alejandro Lopez Garcia

Alejandro Lopez Garcia ist Associate beim Disputes & Investigations Team von Alvarez & Marsal mit Erfahrung in digitaler Forensik und eDiscovery. Seine Spezialgebiete sind das Sichern digitaler Beweise, die Analyse forensischer Daten und das Management von eDiscovery-Mandaten. Alejandro Lopez hat für Banken, Energieunternehmen, Anwaltskanzleien und Pharmaunternehmen gearbeitet. Zu seinen Erfahrungen gehört die Wiederherstellung beschädigter forensischer Daten mit wichtigen Inhalten, die Analyse tausender verschlüsselter E-Mails sowie die Schwärzung von Expertenberichten.