Wirtschaftsspionage im Architekturbüro - ein fiktiver Fall

Stand: 03.01.2022 05:00 Uhr

In TV-Serien hat jede noch so kleine Polizeidienststelle einen IT-Forensiker. Außerhalb der TV-Welt sind die Experten Teil des Landeskriminalamts. Sie haben für NDR Schleswig-Holstein einen fiktiven Fall der Wirtschaftsspionage durchgespielt.

von Kai Peuckert

Ein Architekturbüro hat gegen einen Angestellten Anzeige erstattet. "Weil der Verdacht besteht, dass der Mitarbeiter Daten geklaut hat. Da geht es um Baupläne und Preislisten", sagt die Leiterin der IT-Forensik im Landeskriminalamt, Svenja Kühnke. Es ist ein Fall von Wirtschaftsspionage, der jederzeit vorkommen könnte. Dieser ist aber fiktiv. Die Abteilung spielt ihn für NDR Schleswig-Holstein durch und gibt Einblicke in ihre Arbeit.

PC und zerbrochener USB-Stick sichergestellt

Ermittler haben den Dienst-PC des Verdächtigen sichergestellt. Außerdem haben sie bei einer Hausdurchsuchung einen zerbrochenen USB-Stick gefunden. Die Mitarbeiter der IT-Forensik sollen prüfen, ob der Stick und der Computer jemals miteinander verbunden waren und ob es Hinweise auf Wirtschaftsspionage gibt.

Neuer Stecker für USB-Stick

Ein kaputter USB-Stick liegt auf dem Tisch. © NDR Foto: Kai Peuckert
Mit ihm fängt alles an. Dieser kaputte USB-Stick ist die einzige Spur der IT-Forensiker in diesem fiktiven Fall.

Zunächst muss der Stick repariert werden. Wolfgang Millat fixiert ihn dafür auf einem Arbeitsbrett, legt ihn unter eine futuristisch anmutende Lupe und greift zum Lötkolben. "Die Schnittstelle bei USB besteht aus vier Kabeln und ich löte jetzt Kabel für Kabel ein präpariertes USB-Kabel an", erklärt der Elektroniker. Danach schließt er den Stick mit seinem neuen Stecker an einen Computer an und tatsächlich: Es ertönt das charakteristische Tonsignal, wenn man ein externes Laufwerk mit einem Rechner verbindet.

USB-Stick ist leer - auf den ersten Blick

"Das war jetzt tatsächlich relativ einfach. Es gibt auch Fälle, bei denen die Platine gebrochen ist, da wird es schon deutlich schwieriger. Manchmal schafft man es die Leiterbahnen wieder herzustellen", sagt Millat. Besonders schwierig sei es, wenn mehrere Leiterbahnen untereinander in der Platine versteckt sind, denn müsse er auch schon mal den Speicherchip vorsichtig herausnehmen und auf eine andere Platine löten, so Millat. Der USB-Stick in diesem fiktiven Fall ist auf den ersten Blick leer. Millat übergibt ihn für weitere Untersuchungen an seinen Kollegen Frank Gerstmann.

Beweismittel dürfen nicht verändert werden

Der IT-Experte spiegelt den Stick ins System des LKA, er erstellt ein sogenanntes Image. Denn der USB-Stick und sein Inhalt darf nicht verändert werden, sonst wird er vor Gericht nicht als Beweismittel anerkannt. Dasselbe hat er im Vorfeld auch mit dem Dienstrechner des Beschuldigten gemacht. Von nun an arbeitet er nur mit den Images. Zunächst versucht der Experte herauszufinden, ob der Stick überhaupt schon einmal am Dienst-PC angeschlossen war. Denn nur dann wäre er für diesen fiktiven Fall relevant.

Computer speichern Informationen, ohne das Nutzer es beeinflussen

Ein IT-Fachmann des Landeskriminalamts sitzt in seinem Büro vor einem PC. © NDR
Frank Gerstmann verfolgt die Spur der Daten, die ihm der USB-Stick offenbart.

Gerstmann sucht nach der Seriennummer und anderen unverkennbaren Eigenschaften des USB-Sticks und will diese mit den Daten in der Registrierung des Dienst-PCs vergleichen: "Das Betriebssystem macht nichts anderes, als ich gerade auch gemacht habe. Es liest die Eigenschaften dieses Sticks aus", sagt Gerstmann. Diese Informationen werden in der Registrierung gespeichert: "Das passiert, ohne das der Nutzer darauf Einfluss hat. So kann ich dann feststellen, ob - mit einer gewissen Wahrscheinlichkeit - gerade dieser Stick mit dem Rechner verbunden war." Der Informatiker ist nach den gefundenen Daten überzeugt, dass es so gewesen sein muss. Daher überprüft er nun, ob wirklich keine Daten auf dem USB-Stick gespeichert sind.

ZIP-Archiv ist Passwort geschützt

Mit einem Programm findet Gerstmann ein gelöschtes, für ihn interessantes ZIP-Archiv mit PDF-Dateien und stellt dieses wieder her. Allerdings sind die Dateien per Passwort geschützt. Der Experte findet in der Datei das Passwort in verschlüsselter Form und mit welchem Programm es verschlüsselt wurde. "Sobald ich das extrahiere, kann ich das an ein anderes Programm übergeben und das greift dieses Kennwort an", sagt Gerstmann.

Passwörter werden von mehreren Personen genutzt

Gerstmann entscheidet sich zum Knacken des Passworts eine Liste mit etwa 170 Millionen bereits bekannten Passwörtern zu verwenden, denn häufig werden dieselben Zahlen-Buchstaben-Kombinationen von mehreren Menschen genutzt. Zu den beliebtesten Passwörtern gehören ihm zufolge noch immer 'passwort', '123456' und 'abc123'.

Ein IT-Fachmann des Landeskriminalamts sitzt in seinem Büro vor einem PC und versucht eine passwortgeschützte Datei zu knacken. © NDR
Viele Passwörter lassen sich durch einen Abgleich mit einer Liste der meist verwendeten Passwörter knacken.

Das Passwort des Verdächtigen befindet sich tatsächlich unter den etwa 170 Millionen Kombinationen aus der Liste. Es lautet 'Pa$$wort1234'. Hätte er es so nicht gefunden, gäbe es für den IT-Experten des LKA noch weitere Möglichkeiten, die er ausprobieren könnte. Er könnte dem Computer unter anderem Muster vorgeben, die auf anderen Ermittlungsergebnissen basieren - zum Beispiel Kombinationen aus Initialen in jeder Form mit Geburtsjahren der Verdächtigen oder ihrer Familienmitglieder.

Passwort knacken ohne Vorgaben ist sehr zeitaufwendig

Da das gefundene Passwort aus groß und klein geschriebenen Buchstaben, Zahlen und Sonderzeichen besteht und zwölf Zeichen lang ist, ist es eigentlich gut, es ist allerdings wenig kreativ. "Diese Art von Kennwörtern werden häufig benutzt, deswegen taucht das auch in unserer Liste auf. Allerdings bei zwölf Zeichen: Wenn wir das versucht hätten ohne Vorgaben anzugreifen, dann hätten wir dafür viele, viele Jahre gebraucht", sagt Gerstmann.

Bauplan gefunden

Gemeinsam mit Abteilungsleiterin Svenja Kühnke gibt er das entschlüsselte Passwort ein. Und es öffnet sich ein Bauplan des Architekturbüros. Bei einem echten Fall würden sie nun die Information an die Ermittler für weitere Nachforschungen weitergeben. Ein dienstlicher Bauplan auf einem privaten USB-Stick ist noch kein Beweis für Wirtschaftsspionage. Die Ermittler könnten aber wiederum die Experten der IT-Forensik beauftragen, herauszufinden, ob dieser Bauplan per E-Mail verschickt oder auf einen FTP-Server im Internet gestellt wurde. Das könnte dann ein Indiz dafür sein, dass die geheimen Dokumente aus unserem fiktiven Fall in die Hände Dritter gelangt sein könnten.

Dieses Thema im Programm:

Schleswig-Holstein Magazin | 03.01.2022 | 19:30 Uhr

Nachrichten aus Schleswig-Holstein

Ein Gebäude des ehemaligen Landeskrankenhauses Schleswig-Stadtfeld. © NDR Foto: Berit Ladewig

Heimkinder in SH: Abschlussbericht bestätigt Misshandlungen

Der Bericht belegt, dass Kinder und Jugendliche in Heimen für Behinderte und in Psychiatrien misshandelt und vernachlässigt wurden. mehr

Videos