Читать книгу Internal Investigations - Dennis Bock - Страница 347

26

Oberster Grundsatz der Informationsbeschaffung sollte die Originalität und Unveränderbarkeit von Informationen, Belegen und Dokumenten sein, die im Zuge der Ermittlungen erhoben werden, um eine maximal hohe Beweiskraft zu gewährleisten und, soweit erforderlich, eine gerichtliche Verwertbarkeit zu ermöglichen. Bei der Be- und Verarbeitung von Informationen ist ausschließlich die Verwendung von Duplikaten, Abschriften oder Kopien zu empfehlen. Die Unveränderbarkeit von Informationen setzt weiterhin ein striktes Informationsmanagement voraus. Dies bedeutet, dass einmal erhobene Informationen im Original gespeichert oder aufbewahrt werden und der Zugang hierzu nur ausgewählten Personen des Ermittlungsteams oder sogar nur unabhängigen Dritten zu gewähren ist.

27

Die Analyse digitaler Daten sollte sich in der Regel außerhalb des IT-Produktivsystems des untersuchten Unternehmens abspielen. Da in den meisten Fällen digitale Daten als Nachweise in der Beweiskette verwendet werden, stellt die Sicherung dieser Daten zumeist hohe Anforderungen an den Ermittlungsprozess. Die Bandbreite der Datensicherung reicht von der einfachen Datenextraktion aus den betrieblichen IT-Systemen bis hin zur Sicherung physikalischer Datenträger wie bspw. Festplatten, mobiler Speichermedien oder auch mobiler Telefone und Daten in der Cloud.

28

Primär gelten bei der Datensicherung neben der Unveränderbarkeit die Grundsätze der Richtigkeit und Vollständigkeit der extrahierten Daten.[1] Leicht können Fehler bei der Datenextraktion aus IT-Systemen durch Verwendung unvollständiger Abfragen, nicht gepflegter Tabellen und Mandanten oder falsch gewählter Parameter begangen werden. Werden bspw. Daten aus einem “ERP“-System[2] wie bspw. „SAP“[3] extrahiert, kann dies über Datenbankabfragen oder direkt über entsprechende Datenexportschnittstellen des SAP-Systems, wie bspw. DART, erfolgen.

29

Zur Erhöhung der Beweiskraft der exportierten Daten können forensische Verfahren wie bspw. der Einsatz sog. Writeblocker[4] oder Imaging Tools zum Einsatz kommen.[5] Writeblocker verhindern den physischen Schreibzugriff und vermeiden die unbeabsichtigte Löschung oder Verarbeitung von Daten. Imaging Tools ermöglichen die Anfertigung eines „Abbilds“ von Datenträgern. Mit speziellen Analysetools können auch Daten, die bereits gelöscht wurden, bzw. als gelöscht markiert wurden, sichtbar gemacht werden.

30

Der gesamte Ermittlungsprozess muss für Dritte nachvollziehbar und nachprüfbar sein. Grundsätzlich sollte ein Dritter bei Anwendung der dokumentierten Prüfungstechniken und -methoden dieselben Ergebnisse erzeugen können wie der Ermittler. Die Reproduzierbarkeit der Prüfungsergebnisse ist also ein entscheidender Faktor.

31

Die angewendeten Prüfungsmethoden, -techniken und –verfahren sollten in der Fachwelt akzeptiert und bestenfalls praktiziert worden sein. Der Einsatz neuer Prüfungsmethoden ist immer nachvollziehbar zu begründen.[6] Bspw. sollte bei der Anwendung von Stichprobenverfahren eine allgemein anerkannte Methode zur Anwendung kommen.

32

Der Prüfungsweg ist in angemessener Weise zu dokumentieren. Als „Best Practice“ erfolgt bereits während der Planung im Vorfeld der Ermittlungen eine strukturierte Dokumentation, die während der Ermittlungen im Sinne einer prozessbegleitenden Dokumentation und einer rollierenden Planung ausgebaut wird.[7]