E-Mails sind bereits heute vor Gericht verwertbar. Es ist abzusehen, dass sie mit dem juristischen Stellenwert von Papierdokumenten gleichziehen werden. Ein schneller Zugriff auf einzelne E-Mails ist daher entscheidend bei der Beweissuche. Sind relevante E-Mails abhanden gekommen oder bereits gelöscht worden, sind die Fähigkeiten von Software zur Mailbox Recovery und Analyse gefragt.
Dass der Inhalt nur einer einzigen E-Mail brisant sein kann, zeigen immer wieder spektakuläre Fälle, wie zuletzt in Zusammenhang mit der Hypothekenkrise. Im März 2008 brach der Aktienkurs der US-Investmentbank Lehmann Brothers um rund ein Drittel ein. Es war bekannt geworden, dass die Development Bank of Singapore (DBS), die größte Bank Südostasiens, ihre Händler in einer internen E-Mail angewiesen hatte, keine Geschäfte mehr mit der US-Investmentbank zu tätigen. Wenn derartige, eigentlich vertrauliche Nachrichten nach außen dringen, kann sich dies zu einem großen Finanz- und Imageschaden auswachsen. Im Nachhinein muss dann aufgeklärt werden, wie und wann Informationen das Unternehmen verlassen haben. Spezielle forensische Software-Tools zur Recherche und Analyse der elektronischen Informationen leisten hierbei wertvolle Hilfe. Die Notwendigkeit, E-Mails – sei es als Informationsdokument oder als Beweismittel – überhaupt konsequent zu archivieren und sie immer zur Verfügung zu haben, ergibt sich nicht nur durch finanzrechtliche Bestimmungen wie EuroSOX oder Basel II. Auch die steuer- und handelsgesetzlichen Vorgaben (Handelsgesetzbuch § 257) verlangen die Aufbewahrung von Handelsbriefen, also auch Absprachen in E-Mails und anderen relevanten Dokumenten über sechs respektive zehn Jahre. Laut den GoBS (Grundsätze ordnungsmäßiger DV-gestützter Buchführungssysteme) können digitale Dokumente auf einem digitalen Datenträger archiviert werden. Die Aufbewahrungspflicht für steuerliche Überprüfung ergibt sich auch aus den §§ 146ff der Abgabenordnung.
Auffinden von E-Mails erschwert
Kommt es zu einem Verlust von Mails oder werden nur bestimmte Inhalte aus archivierten Mailboxen benötigt, scheint das Auffinden oder die Wiederherstellung zunächst oft aufwendig bis unmöglich. Microsoft Exchange beispielsweise verfügt über eine komplexe Datenbank-Struktur. Die Speicherung der .edb-Datenbanken umfasst sowohl die einzelnen Mailboxen der Benutzer priv.edb als auch die öffentlichen Ordner pub.edb. Zudem werden die Daten, die über den Internet-Mail-Service von Exchange ankommen, aber noch nicht geöffnet wurden, in priv.stm bereit gestellt. Erst nach dem Lesen werden diese Daten aus priv.stm gelöscht und in priv.edb abgelegt. Die Log-Dateien wiederum protokollieren alle Aktivitäten des Exchange-Servers. Es kommen so schon im laufenden Betrieb verschiedene Orte in Frage, in denen E-Mail-Inhalte sowie Aktionen und Prozesse des Mailverkehrs eines Unternehmens gespeichert sein können.
Die Recherche nach E-Mail-Inhalten und Mailboxen in der Exchange-Server-Umgebung ist auf verschiedene Arten möglich. Ein Backup ist in der Regel vorhanden, ein direkter Zugriff auf die Daten jedoch oft kompliziert. Daher ist erstens zu berücksichtigen, wo überhaupt sich relevante E-Mails befinden könnten: in edb.-Dateien, auf Backup-Bändern oder lokal abgespeichert auf Servern, PCs oder Laptops. Zweitens ist zu prüfen, ob eventuell gelöschte E-Mails relevant sind und wiederhergestellt werden sollten. Erst dann kann die eigentliche Recherche beginnen.
Professionelle Auswertung
Die meisten derzeit verfügbaren Lösungen zur Recherche in Mailboxen weisen das Manko auf, dass entweder die laufende E-Mail-Kommunikation beeinträchtigt wird oder sich die Analyse sehr zeit- und kostenaufwendig gestaltet. Eine bessere Alternative stellen daher Tools dar, die parallel zum laufenden Betrieb ein komfortables Restore mit definierbaren Suchoptionen ermöglichen. Für eine effiziente Auswertung sind dabei leistungsfähige E-Mail-Recovery- und Analysefunktionen entscheidend.
Eine schnelle und effiziente Wiederherstellung von Outlook-Inhalten setzt zahlreiche Kriterien voraus, die nicht von jeder Recovery-Software erfüllt werden. Solche Tools, wie sie zum Beispiel von Kroll Ontrack mit Ontrack Power Controls vorliegen, ermöglichen eine effektive und einfache Suche über die gesamten E-Mail-Dateien im Backup und den direkten Zugriff auf das .edb-File, ohne Aufsetzen eines Recovery Servers und ohne den aktuellen Mail-Betrieb zu beeinträchtigen. Was sind die Kriterien für eine schnelle und kostengünstige Mailbox-Recovery? Hierzu zählt zunächst einmal der direkte Zugriff auf das Backup, ohne einen weiteren Exchange-Server einrichten zu müssen. Ebenso sollten auch gezielt nur einzelne Mailboxen, E-Mails oder öffentliche Ordner wiederhergestellt werden können. Erforderlich ist daher eine effiziente Suchfunktion, die in allen Ordnern die Mails nach den verschiedenen Metadaten (von, an, cc, bcc, Betreff), aber auch nach Schlüsselwörtern sowohl im Nachrichtentext wie auch in den Anhängen sucht. Content-Analyse-Funktionen stellen die entsprechenden Suchergebnisse übersichtlich dar. So zeigen fortschrittliche Lösungen ein Histogramm aller Antworten und weitergeleiteter Nachrichten zu einer E-Mail an. Ebenso erscheinen per Mausklick alle Ordner, die eine bestimmte Nachricht betreffen oder auch alle Nachrichten, die sich auf einen Anhang beziehen. Auch nützlich ist eine direkte Verfügbarkeit der gefundenen E-Mails per Drag-and-drop: Sie erfolgt entweder als .msg, .txt oder .pst. Dabei müssen alle Ziele einzeln angewählt werden können – sowohl private wie öffentliche Ordner oder direkt der Live-Exchange-Server. Die wiedergewonnenen E-Mails erscheinen direkt in der Inbox des Anwenders oder können auf lokalen Datenträgern abgelegt werden. Zu guter Letzt bildet die Rekonstruktion der ursprünglichen Mailbox-Struktur inklusive Unterordner und dazugehöriger Anhänge ein weiteres entscheidendes Kriterium. Dass sich derart konzipierte Lösungen in der Praxis bewähren, beweist auch der Fall der Dekra. Hier hatte der Mailboxmanager von Exchange 5.5 SP4 durch eine Fehlfunktion bei mehreren Mitarbeitern knapp 4000 E-Mails aus deren Mailboxen gelöscht. Der nachträgliche Nachweis von wichtigen Geschäftsvorgängen anhand der E-Mail-Korrespondenz war somit nicht mehr möglich. Das Unternehmen suchte daher nach einer schnellen und benutzerfreundlichen Recovery-Lösung. Mit verschiedenen Suchanfragen in den jeweils relevanten Quellen konnte mit Ontrack Power Controls bei laufendem Betrieb die elektronische Post schnell wiedergefunden und dann bequem per Drag-and-drop wieder an den gewünschten Ort kopiert werden. Anstelle der Parallelinstallation eines Backup-Exchange-Server-Systems hatte Dekra hiermit eine kostengünstige und zeitsparende Alternative gefunden.
Nachverfolgung
Forensische Lösungen zur Auswertung der E-Mail-Kommunikation wie die Software Ontrack Firstview erlauben Anwälten und Ermittlern, den gesamten elektronischen Informationsfluss bei vermutetem Fehlverhalten nachzubilden. Auch hier liegt die Lösung im direkten Zugriff auf .edb-Datenbanken oder auch in der Lotus-Notes-Umgebung. Dabei lassen sich gezielt einzelne Kriterien abfragen und kombinieren. So kann man recherchieren, wer bei einem Insiderhandel kurz vor Verkündung einer börsenrelevanten Nachricht mit Unbefugten oder nach außen kommuniziert hat. Die Metadaten (gesendet, von, an, cc, bcc) liefern dabei die Suchkriterien. Zudem werden Schlüsselbegriffe im Betreff, Nachrichtentext und in Anhängen gesucht. Der gesamte einschlägige Nachrichtenverkehr innerhalb und außerhalb eines Unternehmens lässt sich in übersichtlichen Diagrammen grafisch anzeigen.
Was auf den ersten Blick einfach aussieht, bedarf komplexer Abfrage-Algorithmen. Ein geschickt eingefädelter Insiderhandel wird sich nicht durch offensichtliche Betreffzeilen verraten. Bei einer so genannten Konzeptsuche wird daher nach den relevanten Wertfeldern gefahndet. Ermittler erhalten hier Treffer zu Synonymen oder verwandten Begriffen. Im Zweifelsfall sind zusätzliche forensische Untersuchungen nötig, um den Augenscheinbeweis gefundener Nachrichten und die aufgezeichneten Nachrichtenwege weiter zu substantiieren. Mit weiteren Indizien soll hier der Personenkreis eingegrenzt werden, der tatsächlich am Rechner auf den E-Mail-Senden-Knopf gedrückt hat. Denn E-Mails können ja von Dritten, die sich eventuell unter dem Namen eines Kollegen eingeloggt haben, versendet worden sein. Ist der Verdächtige zum Zeitpunkt des Versands der Mail vom Rechner im Urlaub gewesen, liegt seine Unschuld auf der Hand.
Wissen, was über den Mailserver lief
Mailbox-Recovery-Tools und forensische Recherche-Tools ermöglichen es Ermittlern, Indizien zu sammeln, um dann weitergehende Untersuchungen einzuleiten. Weil die Software direkt auf die Backup-Datenbanken zugreift, ohne den Mailserver-Betrieb zu beeinträchtigen, ist schon zu einem frühen Stadium eine diskrete Ermittlung möglich, ohne Verdächtige zu warnen oder den Unternehmensfrieden zu stören. Zudem können Unternehmen schnell herausfinden, ob sich Mitarbeiter im Namen der Firma etwas zu Schulden haben kommen lassen und entsprechend reagieren. Die Suche nach der E-Mail im Heuhaufen erfolgt schneller und zuverlässiger. Entscheidend ist, dass man sich vor jeder Untersuchung über die genaue Rechtslage informiert sowie Betriebsrat und Datenschutzbeauftragte mit einbezieht. Denn auch für Mailboxen gilt der Datenschutz.
• more@click-Code: SIK09099
