Wer einmal in forensischen Sonderuntersuchungen mitgewirkt hat, hat schnell festgestellt, dass die Datenerfassung zu relevanten Custodians zu einem der technisch anspruchsvollsten Tätigkeiten in Ermittlungen gehört. Sind die Daten einmal identifiziert, müssen diese - auch genannt als Electronically Stored Information (ESI) - sicher und unverändert zur Weiterverarbeitung auf separate Speichermedien überführt werden.
Die Erfassung relevanter Daten ist nicht nur essenziell für Ermittlungen, sie stellen vielmehr die Grundlage zur Entscheidungsfindung dar und beeinflussen maßgeblich die Ermittlungsrichtung. Daher ist juristische und technische Scharfsinnigkeit gefragt. Eine gut durchdachte Strategie muss erstellt werden, um schnell und vollständig relevante Daten der Custodians zu sichern. Jedoch ist bei einer Strategie frei nach dem Motto - Je mehr Daten, desto besser - Vorsicht gefragt. Denn mehr Daten bedeuten auch längere Verarbeitungs- und Review-Zeit, wodurch die Kosten für die eDiscovery schnell und unkontrolliert in die Höhe gehen können.
Gehen wir mal einige Schritte zurück. Wie entwickle ich nun eine intelligente Strategie, um an die potentiell relevanten Daten eines Custodians zu gelangen?
Involvieren Sie frühzeitig die IT-Abteilung des betroffenen Unternehmens in Ihr Vorhaben. In der Regel ist der Zugang zu den relevanten E-Mail-Postfächer und zentralen Ablageordnern über die E-Mail und File Server eher einfach ausgelegt. Dennoch ergeben sich immer wieder große Hürden, wenn Altsysteme mit großen Datenbanken produktiv genutzt werden, Mobile Endgeräte im Einsatz sind, verschiedene Messenger-Dienste genutzt werden oder wenn durch sogenannte Schatten-ITs Daten nur bedingt auffindbar sind. Hierbei sollten die Risiken abgeschätzt und bewertet werden, ob und wie man sich dieser Hürden entgegen stellt. Bei mobilen Endgeräten nutzen mittlerweile viele Unternehmen zentralisierte Mobile Device Management Systeme (MDM) und zur Datenspeicherung entsprechende Unternehmens-Container. Hierbei ist sicherzustellen, ob relevante Daten auf einem Ziel-Endgerät - ohne IT forensischer Tätigkeit - über das MDM gerichtsverwertbar gesichert werden kann.
Sollten Sie bei der Datenerfassung erste relevante Dokumentenbündel gesichert haben, so gilt es, diese in kürzester Zeit in den Review für die erste Durchsicht zur Verfügung zu stellen.