Die „Perfektion" solcher Angriffe sind dann die „Man-in-the-middle-Attacken", bei denen sich der Angreifer in die Kommunikation zwischen Anwender und Anbieter schaltet und die Eingaben und Ausgaben der Systeme manipuliert. Gelangt solch ein Angreifer beispielsweise in die Kommunikation mit dem Bank-Institut beim Online-Zahlungsverkehr, so ist es dem Angreifer möglich, die Eingaben des Benutzers mitzuschreiben und zum Beispiel für Kontostandabfragen an die Bank weiterzuleiten und das Ergebnis dem Nutzer auch 1:1 weiterzureichen, um ihn in Sicherheit zu wiegen. Bei einer nachfolgenden Transaktion (Online-Überweisung) jedoch leitet er die Eingaben nicht an die Bank weiter, sondern simuliert die Antworten der Bank lediglich. Nachfolgend überweist er dann mit Hilfe der mitgeschriebenen Passwörter und TAN-Nummern einen Geldbetrag auf ein von ihm kontrolliertes Konto. Der Nachweis einer solchen Manipulation ist dann nicht einfach und der Anwender wird möglicherweise beweispflichtig.

Anmerkung: Die im Roman beschriebene Angriffstechnik der Trojaner entspricht prinzipiell einer solchen Man-in-the-middle-Attacke, nur dass der Angreifer sich nicht in der Mitte der Kommunikation befindet, sondern auf dem PC des Anwenders. Hierdurch kann er die Daten für seine Zwecke manipulierten, bevor sie auf dem System des Absenders signiert und verschlüsselt werden.

Laut Informationen des Branchenverbandes Bitkom haben im Jahr 2006 im Raum der BRD Betrüger in mehr als 3250 Fällen rund 13 Millionen Euro von den Konten ihrer Opfer abgehoben. Der durchschnittliche Schaden lag damit bei rund 4000,- €. Die Anti-Phishing-Arbeitsgruppe APWG registrierte im Zeitraum von Mai 2006 bis Mai 2007 monatlich zwischen 20.000 und 29.000 Attacken. Weltweit werden nach Stand von 2007 rund 37.000 gefälschte Bank-Webseiten betrieben, die meisten davon in den USA. Die im Roman von Nupaky & Co veranschlagte Schadenssumme von 10.000 € x 100 Millionen Attacken ist damit gar nicht so weit hergeholt.

Sichere Kommunikation

Um dies zu vermeiden, bedient man sich daher sinnvollerweise gerade bei kritischen Übertragungen entsprechender gesicherter Verfahren wie beispielsweise der SSL-Kommunikation oder Online-Banking-Standards wie zum Beispiel dem HBCI Verfahren. Manipulationen sind zwar auch hier nicht ausgeschlossen, jedoch deutlich schwieriger zu bewerkstelligen als bei ungesicherten Verfahren. So bringen solche Verfahren in Kombination mit speziellen Online-Banking-Programmen, wie zum Beispiel Starmoney, Sfirm und so weiter Sicherheitsvorteile, da hier eine von den Programmen gesteuerte und überwachte Übertragung stattfinden und keine unsichere Kommunikation über Web-Browser durch den Benutzer initiiert wird.

Fernwartung

Besonderes Augenmerk gilt es Fernwartungszugängen zu schenken. Mittels Fernwartungszugängen werden für externe Benutzer oder IT-Dienstleister Zugänge zum EDV-System geschaffen, mit denen diese i.d.R. einen Vollzugriff auf das interne System erhalten. Mit Programmen wie zum Beispiel VNC, PC-Anywhere oder dem in neueren Windows-Versionen enthaltenen Remote-Desktop ist es möglich, ein anderes System so zu steuern, als ob man direkt davor sitzt. Was im Problem- und Fehlerfall ein Segen sein kann und schnelle Hilfe ermöglicht, kann im Missbrauchfall katastrophal sein. Ein gehackter Fernzugang kann so zum Beispiel in der Nacht bei laufendem Netzwerkserver als ausgiebig nutzbare „Spielwiese" für einen Hacker dienen. Aus diesem Grund sollte der Fernzugang entsprechend gesichert sein, Passwörter öfters gewechselt werden und der Personenkreis für den Zugriff auf das absolut notwendige und vertretbare Maß reduziert sein. U.U. sind hier auch rechtliche oder standesrechtliche Vorgaben zu berücksichtigen, wie beispielsweise die Empfehlung der Bundesärztekammer, Fernzugriff auf Patientendaten grundsätzlich zu verbieten oder nur mit Aufsicht durch den Arzt zuzulassen.

Wireless LAN

Eine Schwachstelle beim Ausspähen von Daten sind die in den letzten Jahren in Mode gekommenen WLAN's, Funknetze also, die häufig auch in sensiblen bereichen wie Arztpraxen zu finden sind. Da die Funknetze Bestandteile des eigentlichen Netzwerkes sind und somit eine Verbindung zu den zu schützenden Patientendaten besitzen, andererseits aber aufgrund der physikalischen Eigenschaften der Funkwellen weit über die Praxisräume hinaus abhörbar sind, gilt es gerade hier, besonderes Augenmerk auf Verschlüsselung und Absicherung zu werfen. Man schätzt, dass noch rund die Hälfte der WLAN's in Deutschland vollkommen offen betrieben werden, begründet durch die standardmäßige Deaktivierung aller Sicherheitsmaßnahmen und die Unwissenheit der Betreiber, die die Geräte oft in Eigenregie „out of the box" installieren und sich über die „gelungene" Standardinstallation freuen. So genannte „War Chalkings" an den Hauswänden zeigen dann von „War Drivern" gefundene, offene Netzwerke an.

Intrusion Detection

Da kein System der Welt als 100% sicher vor Einbrüchen und Manipulationen angesehen werden kann und faktisch jede noch so ausgeklügelte Sicherheitsbarriere mit entsprechendem Aufwand umgangen werden kann, kommt der Feststellung, dass es einen konkreten Angriff auf die EDV gibt oder gab und nachfolgend der entsprechenden Beweissicherung, immer mehr Bedeutung zu. Gerade für Unternehmen, die für Angreifer ein lukratives Ziel darstellen bzw. deren EDV für das tägliche Geschäft als Herzstück oder Rückgrat zu bezeichnen ist, ist es äußerst empfehlenswert, sich frühzeitig vor einer Bedrohung Gedanken über Alarmierungssysteme (Intrusion Detection) und konkrete Ablaufpläne im Schadensfall zu machen (Incident Response).

Bei einem tatsächlichen Vorfall kollidieren fast immer zwei gegensätzliche Interessen. Auf der einen Seite wird man bemüht sein, ein zum Beispiel mit einem Virus oder Trojaner befallenes System schnellstens wieder im Produktiveinsatz nutzen zu können. Andererseits ist bei einem entstandenen Schaden oder dem Verdacht auf systematische und strafbare Handlungen die konzeptionell richtig angelegte Beweissicherung elementar wichtig, jedoch auch sehr aufwändig. Ein kleiner Fehler, wie allein das bloße Herunterfahren des kompromittierten Systems, machen es dem Analytiker u.U. schon unmöglich, wichtige Beweise zu sichten und zu sichern, die in einem möglichen späteren Gerichtsverfahren entscheidend für dessen Ausgang sein werden.

Incident Response

Es gibt also ein paar Grundregeln, die beachtet werden müssen, wenn der Fall der Fälle eintritt und der Verdacht oder konkrete Hinweise bestehen, dass ein Computer oder ein Netzwerk von Fremden angegriffen („gehackt") wird oder wurde bzw. wenn aus anderen Gründen eine analytisch wie rechtlich sichere Untersuchung an der EDV-Anlage vorgenommen werden soll. Im Idealfall erstellt ein Unternehmen vor einem konkreten Fall einen allgemeinen Notfall- und Alarmierungsplan, der den zuständigen Mitarbeitern zugänglich gemacht wird. Man bezeichnet die (strukturierte) Reaktion bei einem Verdachtsfall als „Incident Response". Elementar für die nachfolgende Beweissicherung und Analyse der Erkenntnisse ist, dass an dem betroffenen System keine Veränderungen vorgenommen werden und der Zugang zu diesem auf das absolute Minimum an Personen begrenzt wird (Authentizität des Beweises). Sämtliche Schritte, die ab der Alarmierung durchgeführt werden, sind lückenlos zu dokumentieren. Frühzeitig wird hierbei auch eine Unterscheidung stattfinden, ob es sich tatsächlich um eine missbräuchliche Nutzung eines EDV-Systems oder nur um eine „normale" Betriebsstörung handelt.

Regeln für den Fall der Fälle

Der Tod vieler Beweise sind in der frühen Phase übereifrige Anwender und Administratoren, die zum Beispiel auf erkannte Fehlfunktionen (Dialer-, Viren oder Trojaner-Befall) oder Hackerangriffe durch Herunterfahren des Systems oder gar durch Löschen von verdächtigen Programmen und Registrierungsinformationen reagieren. Hierdurch werden fast immer wichtige Beweise zerstört bzw. die nachfolgende Analyse, was genau auf dem Computer-System manipuliert wurde, erschwert. Der aktuelle Speicherinhalt des Rechners ermöglicht u.U. sehr aufschlussreiche Analysen bezüglich der aktiven Prozesse und Spuren, die bei der letzten Aktion hinterlassen wurden. Durch das Herunterfahren eines Systems jedoch werden die Inhalte des flüchtigen Speichers (RAM) und temporär angelegte Dateien gelöscht und der Inhalt und Status unzähliger Systemdateien verändert. Das erneute Hochfahren eines Rechners wiederum  verstärkt diese Manipulationen nochmals erheblich. Bei einem Windows- oder Linux-System mit entsprechendem Desktop werden in der Startphase rund 1000 Dateien „angefasst" und so unter anderem die Dateiattribute „Letzter Zugriff" oder „Letzte Änderung" verstellt. Ein Grundsatz des Incident Response lautet daher: „Eingeschaltete Geräte bleiben eingeschaltet und ausgeschaltete Geräte bleiben ausgeschaltet!"

Um eine möglicherweise noch bestehende und missbräuchlich genutzte Kommunikationsverbindung in das lokale Netzwerk oder zu externen Zielen (Internet, DFÜ- und Remote-Access-Zugänge und so weiter) zu unterbinden, sollte maximal die Kommunikationsleitung zum Endgerät selbst getrennt werden (LAN- oder Telefon-Kabel). Sofern eine konkrete Attacke zu diesem Zeitpunkt noch andauert, ist die Dokumentation des Verbindungsstatus zum Beispiel bei einer Wählverbindung vor dem Trennen der Verbindung natürlich sehr wichtig. Oft sind auf dem System entsprechende Monitorprogramme aktiv, die auf einfachste Weise zum Beispiel die Nutzung der ISDN-Kanäle durch eine ISDN-Karte anzeigen (Beispiel ISDN-Watch der AVM Fritz!-Karte). Die hier gezeigte Rufnummer sollte am besten durch Zeugen und durch Abfotografieren des Bildschirms mit einer Digital-Kamera dokumentiert werden. Das Erzeugen eines Bildschirm-Screenshots mit den üblichen Mitteln sollte unterbleiben, da hierdurch bereits wieder auf dem zu untersuchenden System Daten erzeugt werden, die die spätere Analyse möglicherweise beeinträchtigen. Überhaupt muss gerade in der ersten Phase des Incident Response darauf geachtet werden, dass die Änderungen an den Systemen so minimal wie irgend möglich ausfallen bzw. ganz unterbleiben. Dazu gehört auch das äußere Umfeld eines Computers.

Hinzuziehung von Fachleuten

Verdichten sich die Hinweise, dass eine missbräuchliche Benutzung des Computers vorliegt, so sind je nach Sachlage schnellstens die entsprechend zuständigen Fachleute zur Beweissicherung zu verständigen. Sofern der Verdacht auf eine strafrechtlich relevante Konsequenz des Vorfalles vorliegt, so sind unbedingt in einem ersten Schritt die Ermittlungsbehörden einzuschalten. Die Polizei-Präsidien unterhalten zu diesem Zweck entsprechend mit Fachleuten ausgestattete Kommissariate, die die Ermittlung aufnehmen. Grundsätzlich nimmt jede Polizeidienststelle eine entsprechende Anzeige auf und leitet sie weiter. Jedoch ist es auch hier sinnvoll, im Vorfeld ohne eine konkrete Bedrohung bereits mit den lokalen Behörden Kontakt aufzunehmen und die Zuständigkeiten zu erfragen. Diese Kontaktdaten ermöglichen dann im Rahmen des Alarmierungsplanes deutlich schnellere Reaktionszeiten der Ermittler.

Liegt nach Auffassung der mit dem Incident Response beauftragten Mitarbeiter zunächst kein offenkundig strafrechtlich relevanter Hintergrund vor, so kann und sollte die private Beauftragung eines mit der Forensik vertrauten Fachmannes (meist in Form eines EDV-Sachverständigen oder einer auf die Analyse spezialisierten Fachfirma) umgehend erfolgen. Bis zu dessen Eintreffen bleibt die Anlage unter Verschluss. Nicht wenige Gerichtsverfahren sind in der Folge daran gescheitert, dass obwohl es in der Sache selbst stichhaltige Erkenntnisse gegeben hat, die aus Sicht des Technikers für eine Beweisführung vollkommen ausreichend gewesen wären, diese in einem Verfahren nicht gewertet wurden, weil zu viele Personen Zugang zu den Beweisstücken und damit ebenfalls eine Manipulationsmöglichkeit hatten.

Anmerkung: Das ist der Grund, warum Falk Hoffmann in Kapitel 17 so verärgert reagierte. Die Firma Comtec hatte die PC's Calchi und Bertolli eigenständig untersucht und dadurch bereits die Beweisfähigkeit der Spuren geschwächt. Beinahe hätten sie dabei sogar verwertbare Daten gelöscht.