forensische Auswertung von E-Mails aus Backups

© Stuart Miles - Fotolia.comDie Verlockung für den IT-Forensiker ist groß, wenn Backupbestände mit alten Daten und E-Mails vorhanden sind. Würde der leichtsinnige private Ermittler hier alle Backups sofort wiederherstellen und die Suche darin beginnen, denkt der rechtssichere IT-Forensiker nochmal kurz darüber nach. Hier gilt: Nicht alles, was technisch möglich ist, ist auch erlaubt. Ein wichtiges Urteil hat dazu jüngst das Verwaltungsgericht Karlsruhe

(VG Karlsruhe, Urteil vom 27. Mai 2013, 2 K 3249/12) gefällt, als es über die Auswertung der E-Mails eines ehemaligen Ministerpräsidenten zu richten hatte. In seiner Begründung beleuchtet das Gericht zwei wichtige Fragen, die in der Praxis immer wieder relevant sind:

  • Inwieweit ist es zulässig, zur Auswertung von E-Mails auf Datenbestände in Backups zurückzugreifen?
  • Inwieweit sind die Restriktionen des Fernmeldegeheimnisses zu beachten, wenn die private Nutzung von E-Mails im Unternehmen erlaubt oder zumindest geduldet wird?

Meine Kollegin Barbara Scheben hat mit mir hierzu einen ausführlichen Beitrag verfasst, mit dem wir über die Erwägungen des Gerichts und die daraus abzuleitenden Überlegungen für die Praxis informieren wollen.

Eingeschränkte Auswertbarkeit von Backup-Dateien

Das jüngste Urteil des VG Karlsruhe ist aber neben der später beleuchteten Frage der Anwendbarkeit des TKG noch in anderer Hinsicht besonders bemerkenswert: Es setzt sich auch mit der bislang eher stiefmütterlich behandelten Frage der strikten Zweckbindung von Daten, die ausschließlich zu Zwecken der Datenschutzkontrolle, der Datensicherung oder zur Sicherstellung eines ordnungsgemäßen Betriebes einer Datenverarbeitungsanlage gespeichert werden (§ 31 BDSG; im Urteil mit der fast wortgleichen Norm im Landesdatenschutzgesetz Baden-Württemberg), auseinander. Das Gericht kommt zu dem Ergebnis, dass die Wiedergewinnung von E-Mail-Inhalten aus einer Sicherungskopie nur erlaubt ist, „wenn es zu [einem] konkreten Datenverlustereignis gekommen ist, für dessen Eintritt die Sicherungskopie erstellt wurde“.

Im zu entscheidenden Fall ging es – verkürzt dargestellt – darum, dass sich ein Streit zwischen dem ehemaligen Ministerpräsidenten und dem betreffenden Staatsministerium darüber entfacht hatte, ob das ihn betreffende Outlook-Postfach im Rahmen eines anderen Rechtsstreits ausgewertet werden darf. Das ursprüngliche Outlook-Postfach des ehemaligen Ministerpräsidenten war im Rahmen der Standardprozesse nach dessen Ausscheiden aus dem Amt gelöscht worden. Wie sich nachträglich herausstellte, befand sich aber noch eine Kopie dieser Daten bei einem Dienstleister, der diese zu einem früheren Zeitpunkt angefertigt hatte, um eine in der Vergangenheit aufgetretene technische Störung bei der Nutzung des Programms zu beheben. Die Auswertung eben dieser Kopie begehrte nun das Staatsministerium, während der ehemalige Ministerpräsident die Löschung der Daten verlangte.

Die Relevanz dieses Urteils: Insbesondere Backup-Dateien sind im Rahmen interner Ermittlungen immer wieder von Interesse, wenn es darum geht, auf Daten zuzugreifen, die der Anwender eigentlich schon gelöscht hat. Hierbei geht es in der Regel nicht nur um E-Mails wie im vorliegenden Fall, sondern auch um Dateien auf einem Server oder der lokalen Festplatte. Ist eine Datei gelöscht worden, kann man so einen alten Stand wiederherstellen. Damit ist dann auch die Analyse von möglichen Veränderungen an einer Datei über einen größeren Zeitraum möglich.

Ein Sonderfall ist der Einsatz von modernen Smartphones, wo ebenfalls Backup-Dateien auf der lokalen Festplatte erstellt werden. Die Analyse dieser Dateien bringt dann beispielsweise Erkenntnisse über der Zustand des Smartphones, als es das letzte Mal an den Desktop-PC angeschlossen war. Normalerweise findet sich dann für jeden automatischen Backup-Vorgang eine Datei auf der Festplatte mit allen Inhalten des mobilen Gerätes zum Zeitpunkt des Backups.

Das Gericht versagte die gewünschte Auswertung der aufgetauchten Kopien der E-Mail-Daten, weil diese Backups ursprünglich eben nicht zu dem Zweck angefertigt worden waren, die Wiederherstellung von verlustgegangenen Inhaltsdaten zu ermöglichen, sondern allein zum Zwecke der Sicherstellung des ordnungsgemäßen Betriebs einer Datenverarbeitungsanlage.

Für die Praxis von unternehmensinternen Untersuchungen bedeutet dies, dass Unternehmen schon frühzeitig sehr genau die Zwecke von Backup-Systemen definieren sollten und bei einer konkret bevorstehenden Untersuchung neben den oben genannten Anforderungen des Beschäftigtendaten-schutzes zusätzlich klären müssen, woher das auszuwertende Datenmaterial stammt und ob dieses die einschränkenden Voraussetzungen des § 31 BDSG erfüllt.

Reichweite des Fernmeldegeheimnisses

Weiterhin befasste sich das VG Karlsruhe mit der Frage der Reichweite des Fernmeldegeheimnisses. Diese ist Gegenstand vielfältigster juristischer Diskussionen und für die forensische Auswertung von E-Mails ebenfalls relevant.

Lesen Sie den vollen Text unseres Aufsatzes hier.

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert