Fall Schuhmacher: „IP-Adresse des Krankenaktenverkäufers ermittelt“

IP Adresse

IP Adresse

Nachdem wir diesen Fall mit einem Blogeintrag kommentiert haben, wurde  in den Medien heftig spekuliert wurde, wie und wann die Daten abhanden gekommen sind. Heute gab es dazu die Meldung, dass man „die IP-Adresse des Krankaktenverkäufers“ ermittelt habe. Dieses Vorgehen folgt der klassischen Methode des Rückverfolgens, die versucht aus der Kontaktaufnahme Informationen über den Täter zu ermitteln. Selbstverständlich stehen noch viel weitergehenden Methoden zur Verfügung, um eine elektronische Spur nachzuverfolgen, beispielsweise die Analyse der Datei, welche den Auszug aus der Patientenakte beinhaltete. Handelt es sich um eine exportierte Datei einen Krankenhausinformationssystems oder um einen Scan – gibt es Spuren, die verwendete Geräte und  bestimmte Softwareversionen hinterlassen haben?

Die forensischen Verfahren der IT bieten heute ein breites Spektrum an Verfahren. Dabei gelten grundsätzlich folgende Kriterien für gerichtsverwertbare Beweise:

  • Be authentic
  • Be accurate
  • Be complete
  • Be convincing
  • Be admissible

(siehe CISSP CBK, 3rd edition, p. 1235).

Diese Kriterien sind jedoch nicht immer einfach zu erfüllen, da sich Spuren beispielsweise schnell verflüchtigen können. So wäre die Rückverfolgung dynamischer IP-Adressen sehr viel schwerer als die statischer (wie vermutlich im vorliegenden Fall), insbesondere wenn der Provider die Zuordnung IP-Adresse/Anschluss-Inhaber nicht protokolliert bzw. die Protokolle bereits überschrieben wurden. Ob die Kenntnis der IP-Adresse (sie gehört wohl einer Schweizer Firma) soviel weiterhilft, ist nicht klar zu sagen.  Im einfachsten Fall wurde lediglich ein Rechner der Firma übernommen und für das Versenden missbraucht.

Fazit: Moderne IT Forensik kann helfen, digitale Verbrechen aufzuklären, ist allerdings häufig sehr zeit- und ressourcenintensiv. Daher gilt auch in der IT-Sicherheit die alte medizinische Weisheit: „Vorbeugen ist besser als Heilen“

Daniel Hallen, CISSP

 

No tags.
  • Trackbacks
  • Comments
  • Comments are disabled.
  • Trackbacks are disabled.