Die Rechte und Pflichten eines Forensikers Marc Ruef | 11.01.2010 Ich kann mich noch sehr gut an den ersten durch mich geleiteten Forensik Fall (http://www.scip.ch/?dienstleistungen.forensicanalysis) im Jahr 2003 erinnern. Ein Industrieunternehmen musste eine Kompromittierung ihres Webservers beobachten. Meine forensischen Untersuchungen sollten zeigen, wie der Einbruch umgesetzt wurde und welche Schäden (z.B. Einbringen von Hintertüren) angerichtet wurden. Mittlerweile haben wir eine Reihe von solchen Analysen erfolgreich umgesetzt (http://www.scip.ch/?dienstleistungen.forensics). Und eines habe ich daraus gelernt: Es geht immer und in jedem Fall hektisch zu und her. Der Kunde ist gestresst, denn er erwartet Resultate oder muss diese unmittelbar an die vorgesetzte Stelle melden. Und die involvierten Partner sind nervös, weil sie nicht genau wissen, was passiert ist und welche Konsequenzen dies - vor allem für sie - haben wird. Als Forensiker ist man sodann Dreh- und Angelpunkt, der von allen Seiten dem unverhohlenen Druck ausgesetzt ist. Und was macht man dann am besten? Man relaxt. Als Forensiker hat man einen grossen Vorteil: Man ist exklusiv derjenige, der alle Informationen hat und keine Entscheidungen selber treffen muss. Jede Aktion muss durch den Kunden abgesegnet werden. Als Forensiker weist man in beratender Weise auf die Vor- und Nachteile entsprechender Entscheide hin. Das Quittieren dieser ist dem Kunden überlassen. Die hohe Kunst besteht nun darin, den Kunden in den richtigen Bahnen zu lenken. Gerade wenn die Emotionen hoch schlagen ist nicht jedermann in der Lage, komplexe Sachverhalte aufzunehmen und kalkulierte Schlüsse aus diesen ziehen zu können. Als Forensiker muss man sein Gegenüber lesen und etwaige Missverständnisse sofort eliminieren. Zeichnet sich ab, dass ein Kunde trotz mehrmaliger Warnung eine potentiell gefährliche Entscheidung forcieren will, empfiehlt es sich diese schriftlich absegnen zu lassen. Das stösst nicht selten auf Widerstand, können die involvierten Personen denn nicht verstehen, warum man in aller Hektik mit unsinnigen bürokratischen Prozessen aufwarten will. Doch als Forensiker ist das oberste Ziel: Seinen eigenen Rücken freihalten. Es gibt nichts Schlimmeres, weder seine eigene Kompetenz aufgrund eines blöden Missverständnisses zu verlieren. Eine einmal verspielte Kredibilität kann man nicht mehr so schnell, falls überhaupt, wieder aufbauen. Evidence Collection (http://www.scip.ch/?dienstleistungen.evidencecollection) in einer ersten Phase kann sich jenachdem sehr komplex gestalten und sich mit widersprüchlichen Anforderungen konfrontiert sehen. Der Kunde will innert zwei Stunden erste Resultate. Doch das Kopieren der Platten dauert mindestens vier Stunden. Was tun? Man stellt den Kunden vor die Auswahl: Entweder erhält er in zwei Stunden seine Resultate. Doch muss die Analyse auf dem Live-System erfolgen, was eine Kompromittierung der Daten zur Folge haben kann. Oder der Kunde erhält erst nach vier Stunden die ersten Resultate. Dafür kann mit einer Kopie gearbeitet und die Integrität der Daten gewährleistet werden. Beharrt der Kunde nun darauf, dass er beides will, kann man ihn erneut darauf hinweisen, dass dies logisch und physisch nicht möglich ist - Es sei denn, man kann die Spezielle Relativitätstheorie widerlegen. Stellt der Kunde sodann die Kompetenz des Forensikers in Frage, muss man über die Auflösung des Projektverhältnisses nachdenken. Projekte, die auf der Basis solchen Misstrauens fussen, werden durch den geringsten Windstoss umgeworfen und enden nicht selten in gegenseitigen Schuldzuweisungen. In diesem Falle sollte man lieber ein Projekt verlieren, weder einen guten Kunden und damit seine eigene Glaubwürdigkeit.