Hausdurchsuchung in der IT Security Forum 2014 09. April 2014 Welche Behörden können Hausdurchsuchungen durchführen? Europäische Kommission Sehr gute technische Voraussetzungen und bestens geschultes Personal Einsatz von ediscovery Plattformen zur effizienten Analyse von Daten Bundeswettbewerbsbehörde Kein direkter Einsatz von ediscovery Plattformen (direkte Analyse in Systemen z.b. Outlook) Direkter Zugriff auf Echtsysteme und daten wird durch BKA unterstützt, Tool: Access Data FTK Wirtschaftspolizei / Staatsanwaltschaft / Korruptionsstaatsanwaltschaft Forensische Unterstützung durch LKA und BKA möglich 1 1
Weshalb spielt die IT bei Hausdurchsuchungen eine zentrale Rolle? Behörden interessieren sich verstärkt für die elektronischen Daten / die Bedeutung der physischen Unterlagen tritt in den Hintergrund: IT ist im Fokus Primäre Datenquellen sind in Abhängigkeit vom jeweiligen Szenario E-Mails, Daten auf persönlichen IT-Systemen (z.b. Notebook, Homelaufwerk, Gruppenlaufwerk) Seit 01.03.2013 sieht das Wettbewerbsgesetz keine Versiegelungsmöglichkeit von Dateien mehr vor, die außerhalb des Untersuchungsgegenstands liegen: es besteht die Gefahr von Zufallsfunden Datenübergabe sollte wenn möglich, ausschließlich durch IT erfolgen, direkter Zugriff durch Beamte vermeiden! Unterstützung durch die IT insofern wichtig, als dadurch eine gezielte Suche ermöglicht werden soll Rundumschlag der Beamten soll vermieden werden Beamte arbeiten verstärkt mit IT Tools (bsp. Os Triage bei Spar) 2 Welche Rechte haben die Beamten? Zugang zu allen Räumlichkeiten und Einrichtungsgegenständen des Unternehmens (z.b. auch Serverraum) Prüfung elektronischer Unterlagen Anfertigung von Kopien bzw. Ausdrucken von relevanten Dateien in besonderen Fällen Beschlagnahme (sofern z.b. Passwort für Laptop-Verschlüsselung nicht bekannt gegeben wird) Versiegelung von Räumlichkeiten oder Gegenständen Einholung von Erläuterungen zu Tatsachen oder Unterlagen, die mit dem Gegenstand und dem Zweck der Ermittlung im Zusammenhang stehen: insbesondere Erörterung der IT-Landschaft Die Wahrung von Geschäfts- oder Betriebsgeheimnissen ist nach der ständigen Rechtsprechung des Kartell(ober)gerichtes kein Grund, die Vorlage von Dokumenten zu verweigern, sofern gewährleistet ist, dass diese nicht an Unbefugte preisgegeben werden 3 2
Welche Fragen stellen die Beamten? Beamten können Erläuterungen zu Tatsachen und Unterlagen verlangen, die mit Gegenstand und Zweck der Ermittlungen in Zusammenhang stehen Beamten haben das Recht, die Fragen zu stellen, die für die technische Abwicklung der Hausdurchsuchung notwendig sind Fragen nach Passwörtern, Druckmöglichkeit, etc. Wo befindet sich bestimmte Hardware, Software, Daten? Mit welchen Systemen arbeitet das Unternehmen? Besonderes Augenmerk auf die E-Mail-, Archiv- und Backupsysteme! Aber auch Systeme wie CRM oder ERP können im Interesse der Beamten stehen! 4 Was unterliegt nicht der Hausdurchsuchung Privilegierte Dokumente (Anwaltskorrespondenz - Achtung! Anwaltsprivileg gilt formell nicht in Österreich; man sollte aber trotzdem versuchen, sich auf die Vertraulichkeit der Anwaltskorrespondenz zu berufen) Geschäftliche Unterlagen, die nicht mit Gegenstand und Zweck der Ermittlungen in Zusammenhang stehen Unterlagen, die rein privater Natur sind (Terminkalender mit beruflichen Einträgen sind allerdings geschäftliche Unterlagen; dasselbe gilt für private Smartphones und Laptops, die auch beruflich verwendet werden) Kann die IT dafür sorgen, dass diese Daten nicht durchsucht werden? 5 3
Hausdurchsuchung Typischer Ablauf Ankunft der Beamten Start der Durchsuchung Ablauf informieren unterstützen - dokumentieren Ende Berichte 6 Hausdurchsuchung Ankunft der Beamten Ankunft der Beamten Erstkontakt des Behördenteams durch die erstmögliche Ansprechperson (zb. Portier) Erstellung einer Verhaltensvorschrift hinsichtlich Verständigung und weiterer Vorgangsweise Interne Kontaktpersonen Was dürfen die Beamten und welche Aktionen sind verboten Alle Mitarbeiter sollten keine informellen Fragen beantworten oder sonstige Auskünfte von sich aus erteilen, sondern den formellen Ablauf und die tatsächliche Gestaltung der Hausdurchsuchung dem Rechtsanwalt oder seinem Vertreter überlassen. Erstes Gespräch mit dem ranghöchsten anwesenden Mitarbeiter (z.b. Geschäftsführung) Aushändigung des Hausdurchsuchungsbefehles und fertigen Sie eine Kopie an Auf welche Namen lautet der Beschluss und welche Räumlichkeiten sollen durchsucht werden? Wie lautet der Vorwurf bzw. der Verdacht und stehen weitere Namen auf dem Beschluss? Gibt es einen Haftbefehl? Widerspruch der Durchsuchung sowie Protokollierung dieses Widerspruchs (Unterschrift durch GF und leitenden Beamten) Durch den Widerspruch ist es den Beamten nicht erlaubt, schriftliche Aufzeichnungen (z.b. Tagebücher, Adressbücher) durchzulesen, sie dürfen sie lediglich sichten. Die Papiere müssen versiegelt werden und nur eine Richterin oder Staatsanwalt dürfen sie lesen. Auch für ein späteres Verfahren ist der Widerspruch von Nutzen. Aufforderung auf Einhaltung der gesetzlichen Vorgaben bezüglich der Anwesenden sowie Protokollierung aller Vorgänge einfordern! In diesem Zusammenhang wird das Unternehmen ausdrücklich darauf hingewiesen, dass die Vernichtung von Daten und Unterlagen einen Erschwerungsgrund im späteren Geldbußenverfahren darstellt. 7 4
Hausdurchsuchung Start der Durchsuchung Start der Durchsuchung Eigenes Besprechungszimmer für die Beamten mit der notwendigen Ausstattung zur Verfügung stellen Drucker oder Notebook zu Dokumentation können verlangt werden Verständigung des Rechtsanwaltes, sofern dieser noch nicht anwesend ist sowie eines Rechtsvertreters t t Die österreichische Kartellrechtsordnung kennt kein Anwaltsprivileg; ein solches ist derzeit weder im KartG noch im WettbG vorgesehen IT-Leiter wird durch Geschäftsführung informiert, dass Hausdurchsuchung stattfindet Bekanntgabe eines IT-Hauptverantwortlichen gegenüber Beamten (ausschließliche Kommunikation über diese Person) IT-Leiter findet sich in festgelegtem Raum ein, wo Erstbesprechung stattfindet In Erstbesprechung sollte mit Beamten abgeklärt werden, nach welchen Daten gesucht wird Liste mit relevanten Personen Es ist abzuklären, ob die Beamten eine Erstsicherung (Sicherung des Datenbestands) vornehmen IT-Leiter informiert IT-Mitarbeiter, die für die Hausdurchsuchung benötigt werden (Briefing auch über den Untersuchungsgegenstand, Standorte, Mitarbeiter, Systeme) Es sollte eine eigene Verhaltensrichtlinie und Aufgabenteilung für die IT erstellt werden 8 Hausdurchsuchung Ablauf Ablauf informieren unterstützen - dokumentieren Durchsuchung der Räume nur unter Beisein der Beschuldigten und/oder deren Vertreter Versiegelung beschlagnahmter privater und geschäftlicher Papiere und Notizen Nur der Staatsanwalt darf diese vor Ort lesen, kein Beamter Genaue Auflistungen des Umfanges und des Inhaltes der Akte und Schriftstücke samt Übernahmebestätigungen Keine Einsicht ohne Zerstörung des Siegels Mitnahme von Kopien Antrag nach 110 Abs 4 StPO, unter welcher Voraussetzung die Originale der Akten vor Ort bleiben und die Kriminalpolizei selbstständig vor Ort Kopien anfertigen muss, sofern es nicht bestimmte Gründe gibt, die die sofortige Mitnahme der Originale rechtfertigen. Beantworten Sie keine informellen Fragen, also: Schweigen Sie! Die Beamten sind idr psychologisch bestens geschult und könnten Ihnen aufgrund ihrer Erfahrung schnell überlegen sein. Klarstellung Ihrer Rolle Stellen Sie vor Beginn der Vernehmung klar, ob Sie als Beschuldigter oder Zeuge vernommen werden. Dies hat Auswirkung auf Ihre rechtlichen Pflichten. Sofern Sie als Beschuldigter vernommen werden, besteht keine Aussage- und Wahrheitspflicht 9 5
Hausdurchsuchung Ablauf Datensicherung Ablauf informieren unterstützen - dokumentieren Die IT-Infrastruktur des Unternehmens wird den Beamten erklärt IT-Mitarbeiter sind zur Unterstützung verpflichtet müssen unter Umständen auf Anfrage E-Mailkonten vorübergehend blockieren oder bestimmte Computer vom Netzwerk trennen Die Beamten identifizieren relevante Datenquellen und kopieren entweder selbst diese Daten oder lassen die IT-Mitarbeiter des Unternehmens Kopien erstellen Häufig erfolgt dieser Datenabzug ohne forensische Methoden/Tools Ausreichend dafür sorgen, dass die von einem Mitarbeiter getroffenen Vorkehrungen nicht von einem anderen (nicht informierten) Mitarbeiter wieder aufgehoben werden Verstoß gegen Kooperationspflicht Selten: Die Beamten extrahieren relevante Daten (lokale und Netzwerk Daten) mit Forensic Tools Erstellung von forensischen Images (dies ermöglicht unter Umständen das Wiederherstellen gelöschter Daten) Speicherung der Daten auf externen Datenträgern, t die vom Unternehmen beigestellt werden Verwendung von neuen Datenträgern, da ansonsten gelöschte Daten ev. wieder hergestellt werden könnten Unternehmen ist üblicherweise selbst für die Erstellung eigener Kopien verantwortlich Kopien aller Daten, die durch die Untersuchungsbehörden analysiert worden sind Kopien aller Daten, die durch die Untersuchungsbehörden beschlagnahmt worden sind Erstellung von Prüfsummen für alle elektronisch übergebenen Daten 10 Hausdurchsuchung Ablauf Datensicherung Ablauf informieren unterstützen - dokumentieren Mitwirkungspflichten Es bestehen keine Mitwirkungspflichten bei der Durchsuchung, den Zugang zu gesuchten Gegenständen und Dokumenten zu eröffnen. Da jedoch der Zugriff auf die gesuchten Daten oder Gegenstände nicht verhindert werden kann, ist es sinnvoll, freiwillig Passwörter oder Schlüssel herauszugeben, um unnötige Beschädigungen oder die Beschlagnahme der gesamten IT-Systeme zu verhindern. Die Herausgabe des im Durchsuchungsbeschluss genannten Gegenstandes kann im Einzelfall sinnvoll sein, um Zufallsfunde zu verhindern Dokumentation der Hausdurchsuchung Von welchem System (Server, Client, Storage, mobile Datenträger) werden die Daten kopiert? In welchem Verzeichnis/Freigabe sind die kopierten Daten gespeichert? Wer ist der Dateneigentümer? Welche Dateiformate werden kopiert? Wie viele Dateien werden kopiert und wie groß sind sie? Diskussion hinsichtlich der Relevanz von Systemen dokumentieren Welche Suchbegriffe verwenden die Beamten? Datensicherung Adobe Acrobat Document Erstellung eines Protokolls (Chain-of Custody) für alle übergebenen Beweismittel sowie Protokollierung der Durchführung Sicherstellen dass nachvollzogen werden kann, welche Dateien die Beamten mitgenommen haben Adobe Acrobat Chain-of-Custody Document 11 6
Ende Hausdurchsuchung Ende Am Ende der Durchsuchung wird ein Durchsuchungsprotokoll geschrieben Aus dem Formular muss hervorgehen, dass das Unternehmen mit der Durchsuchung nicht einverstanden war und eine richterliche Überprüfung der Durchsuchung beantragt wird Kopie des Protokolls muss an das Unternehmen ausgehändigt werden Unterschrift des Protokolls ist nur durch Beamte erforderlich, Unternehmen muss NICHT unterschreiben Liste der beschlagnahmten Unterlagen Verlangen Sie eine Auflistung der beschlagnahmten Unterlagen und kontrollieren Sie dieses inhaltlich. Überprüfen Sie nochmals, ob Ihnen auch wirklich eine Kopie aller von den Beamten kopierten Daten vorliegt Bevor das von den Beamten verfasste Protokoll über die Hausdurchsuchung von den Anwesenden unterschrieben wird, muss dieses auf seine Richtigkeit auch hinsichtlich der IT überprüft werden Sofern die Beamten bestimmte Vorgänge betreffend die IT im Protokoll unrichtig oder missverständlich festgehalten haben, so ist um eine entsprechende Änderung zu ersuchen bzw. muss eine Einwendung in das Protokoll aufgenommen werden Erstellen Sie mithilfe aller IT-Mitarbeiter auch ein internes Protokoll über den Ablauf der Hausdurchsuchung 12 Berichte Hausdurchsuchung Bericht/De-Briefing Ziel des De-Briefing ist, dass sich der Durchsuchungsbeauftragte des Unternehmens so schnell wie möglich ein Bild davon machen kann, ob ein Wettbewerbsverstoß durch das Unternehmen vorliegt Gedächtnisprotokoll erstellen Anführen von Zeiten, Ablauf und Wortwechsel Liste der beschlagnahmten Gegenstände verifizieren und ggf. aktualisieren Gedächtnisprotokoll mit allen Besonderheiten und Abläufen, die merkwürdig sind oder Fragen aufwerfen Analyse der Vorgehensweise der Untersuchungsbehörde Involvierte Personen zu den Beschuldigungen befragen und weitere Informationen für die interne Untersuchung gewinnen Eigenständige Untersuchungen starten um sichergestellte Daten zu bewerten Analyse des restlichen Datenbestandes Erweiterung der Suchbegriffe und Personenkreis Umfassende Analyse des gesamten Datenbestandes 13 7
2013 KPMG Advisory AG, österreichisches Mitglied des KPMG- Netzwerks unabhängiger Mitgliedsfirmen, die KPMG International Cooperative ( KPMG International ), einer juristischen Person schweizerischen Rechts, angeschlossen sind. Alle Rechte vorbehalten. Printed in Austria. KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International. Georg Beham, MSc Senior Manager, Advisory Risk Advisory Services KPMG Advisory AG Tel. +43 (732) 6938-2701 Kudlichstraße 41 Fax +43 (732) 6938-2153 4020 Linz, Austria gbeham@kpmg.at KPMG Advisory AG is an Austrian corporation. 8