Hamburg, Wien - 21. 3 2011
Alle Jahre wieder, zum Jahreswechsel, verzeichnen Datenretter dasselbe Phänomen. Hilferufe aus Unternehmen, die aufgrund von böswilligen Handlungen aus den eigenen Reihen wichtige Daten verloren haben, häufen sich. "In den Monaten Dezember bis Februar verzeichnen wir fast doppelt so viele Fälle von E-Sabotage wie in allen anderen Monaten zusammen", berichtet Nicolas Ehrschwendner, Geschäftsführer des internationalen Datenrettungsunternehmens Attingo mit modernen Reinraumlaboren in Hamburg, Wien und Amsterdam.
Nach Erfahrung der Datenretter sind die Ursachen dafür vor allem in der Psychologie des Menschen, also in der "Aufbruch- und Aufräumstimmung" zum neuen Jahr begründet: "Gerade rund um den Jahreswechsel werden problematische Beschäftigungsverhältnisse nicht verlängert, Kündigungen wirksam oder Mitarbeiter von der Konkurrenz abgeworben", erklärt Ehrschwendner und führt aus: "Wenn für die Betroffenen schwierige Situationen entstehen, werden dann als Racheakt nicht selten wichtige Daten gelöscht oder gestohlen. Teilweise werden Datensätze auch aus falschem Ehrgeiz zum neuen Arbeitgeber oder in die Selbstständigkeit mitgenommen."
An einem verhängnisvollen Freitag gingen nicht nur die Verwaltungsmitarbeiter einer bekannten Landeshauptstadt ins Wochenende, sondern auch gleich eine ganze Reihe wichtiger Server. Ein zentraler Festplattenverbund mit dutzenden virtualisierten Systemen – Unix-, Windows-, Dokumentablagen- und Datenbank-Server – „meldete sich offline“. Weder Email noch Webdienste funktionierten. Stillstand. Grund war ein unentdeckter Serienfehler in der Firmware der Festplatten, wobei diese von einem führenden Hersteller stammten. Daraufhin wurde an diesem Wochenende doch gearbeitet: Die zur Hilfe gerufenen Datenretter rotierten in einem Rund-um-die-Uhr-Einsatz. Am Dienstag nach dem verlängerten Wochenende waren alle Server „wieder ansprechbar“.
Selbst große Konzerne mit gut funktionierender IT-Abteilung seien nicht vor Attacken der eigenen Mitarbeiter gefeit. Daher führen immer mehr Unternehmen Sicherheitsrichtlinien für das Beenden von Arbeitsverhältnissen ein. So werden etwa bei nicht einvernehmlichen Kündigungen oft schon vor dem in Kenntnis Setzen des Mitarbeiters sämtliche Benutzerberechtigungen entzogen. Auf der technischen Seite kommt zum Beispiel Intelligentes Log-File-Management zum Einsatz, wodurch nachträglich festgestellt werden kann, wer wann wo welche Daten manipuliert hat. "Allein die Tatsache, dass solch ein System installiert ist, wirkt schon abschreckend", weiß Ehrschwendner.
Wenn es trotzdem zu vorsätzlicher Datenvernichtung kommt, muss aber noch kein endgültiger Schaden entstehen: Denn auch gelöschte Daten können von den Datenrettern mit speziellen Reverse-Engineering-Verfahren in mehr als 95 Prozent der Fälle vollständig wiederhergestellt werden. "Gelöschte Daten sind auf dem Speichermedium physisch noch verfügbar und rekonstruierbar, solange die betroffenen Sektoren nicht überschrieben wurden", erklärt der Attingo-Chef und betont: "Sollte bei einer Sabotage auch die Festplatte des Computers, Servers oder RAID-Verbunds beschädigt worden sein, darf das System nicht mehr hochgefahren werden. Denn jeder einzelne Vorgang im Betriebssystem - auch ein simpler Systemstart - kann dazu führen, dass gelöschte Daten endgültig überschrieben werden und nicht mehr rekonstruierbar sind."
Wenn Daten gelöscht oder gestohlen wurden, kann mit forensischen Verfahren zur elektronischen Spurensicherung schädigendes Benutzerverhalten festgestellt werden. Mit modernsten Technologien können Computer-Forensiker schuldhaftes Verhalten im Nachhinein anhand von technischen Protokollierungen in den Systemen nachweisen. Vor allem gilt aber auch im Neuen Jahr: Umsicht und Vorsicht sind gute Ratgeber, damit man nicht das Nachsehen hat.