Das Rückgrat einer forensischen Sonderuntersuchung ist...?

00:00:00: Forensic Investigations, der Podcast

00:00:23: Herzlich Willkommen zu Forensic Investigations, der Podcast.

00:00:27: Hier erhaltet ihr regelmäßig neue Episoden zu Themen rund um forensische Sonderuntersuchungen,

00:00:32: Wirtschaftskriminalität und Compliance.

00:00:35: Mein Name ist Patrick Schneider, ich bin Certified Fraud Exeminer und Unterstützerunternehmen

00:00:39: bei der Durchführung von internen Sonderuntersuchungen sowie der Verbesserung ihrer internen Kontrollsysteme

00:00:45: und der Compliance Kultur.

00:00:47: Herzlich Willkommen zu einer neuen Folge von Forensic Investigations, der Podcast.

00:00:53: In der heutigen Folge geht es um ein wichtiges Thema, nämlich das Rückgrat jeder Investigation,

00:00:58: und zwar die Dokumentation.

00:00:59: Tja, Dokumentation ist erstmal langweilig und für viele Leute nicht gerade das Lieblingsthema

00:01:06: oder die Lieblingsbeschäftigung bei einem Projekt, aber gerade in der Forensic ist das

00:01:11: etwas, was über den Erfolg oder den Misserfolg eines Projekts entscheiden kann.

00:01:15: Stell dir vor, du hast einen komplexen Sicherheitsvorfall untersucht und eine Investigation durchgeführt,

00:01:20: du hast Log-Daten-Analysier-Systeme Forensisch gesichert, deine Hypothesen überprüft,

00:01:26: E-Mails gelesen, noch nöcher und am Ende fehlt was entscheidendes, nämlich eine saubere

00:01:33: nachvollziehbare Dokumentation.

00:01:34: Ohne diese Dokumentation ist jetzt die Arbeit, die du gemacht hast, nicht mehr reproduzierbar

00:01:39: und was noch viel schlimmer ist, sie ist jetzt angreifbar.

00:01:42: Das gilt auch intern, aber vor allen Dingen dann vor Gericht oder vor einem Schiedsgericht.

00:01:47: Die Dokumentation ist also nicht lästiger Anhang, sondern das Rückgrat jeder Investigation.

00:01:51: Sie ist das, was bleibt, wenn jetzt der Vorfall vorbei ist und die Investigation abgeschlossen

00:01:57: ist.

00:01:58: Ja, was ist eigentlich eine gute Dokumentation?

00:02:01: Wie geht man davor?

00:02:02: Ich kann empfehlen, zwei goldene Regeln zu befolgen, wenn es um die Dokumentation geht

00:02:07: und zwar erstens, setze dein Projekt so auf, dass auch ein neuer Kollege, der jetzt neu ins

00:02:12: Projekt reinkommt, jederzeit in der Lage ist, mit ganz wenig Vorbereitung das Projekt weiter

00:02:19: zu führen.

00:02:20: Ja, das bedeutet also keine Abkürzungen, keine Gedankensprünge oder Dinge, die jetzt

00:02:25: nur in deinem Kopf passiert sind, von denen du weißt, dass du sie gemacht hast.

00:02:29: Man sollte so dokumentieren, dass jemand ohne Kontext versteht, was passiert ist und das

00:02:33: auch reproduzieren kann.

00:02:35: In Klammern bildet dir nicht ein, dass du dir alles merken kannst, was du in dein Investigation

00:02:39: gemacht hast.

00:02:40: Du kannst es nicht.

00:02:41: In einem halben Jahr oder einem Jahr kann plötzlich die Investigation nochmal hochgezogen

00:02:44: werden, weil der ganze Fall vielleicht vorn im Gericht gelandet ist oder jemand sagt,

00:02:49: "Hey, wir zweifeln übrigens die Qualität deiner Arbeit an."

00:02:51: Und da kommt dann Regel Nummer zwei zum Tragen und zwar sollte man so dokumentieren, als ob

00:02:56: der Bericht vor Gericht verwendet werden wird.

00:02:59: Ja, also dokumentiere deinen Fall von vornherein so mit der Vorstellung, dass du später vor

00:03:04: Gericht sitzt als Experte und deinen Bericht in einem Kreuzführer verteidigen musst.

00:03:09: Und das kann auch passieren.

00:03:11: Und dann zählt jedes Detail und jede Lücke und jede Ungenauigkeit kann einem auf die

00:03:15: Füße fallen und seien es auch nur kleine Schlamppigkeiten, wo man dann sagt, ja gut,

00:03:19: das hat jetzt keinen Einfluss auf den Gesamtsachverhalt, möglicherweise nicht, aber es gilt ja immer

00:03:25: diese Regel, wenn man im Kleinen nicht sorgfältig war, vielleicht war man im Großen auch nicht

00:03:29: sorgfältig.

00:03:30: Also die gesamte Glaubwürdigkeit steht und fällt damit, ob man eben gut dokumentiert

00:03:35: hat.

00:03:36: Und die Frage ist, anhand der Dokumentation seine Arbeitsschritte Stück für Stück zu

00:03:39: erklären.

00:03:40: Was macht jetzt eigentlich eine gute Dokumentation aus?

00:03:43: Was gehört in eine gute Dokumentation?

00:03:45: Für mich beginnt die gute Dokumentation damit, dass man Gesprächsprotokolle führt und zwar

00:03:50: ab dem allerersten Gespräch.

00:03:52: Natürlich skribelt man ein bisschen mit, aber das sollte schon ein Mindeststandard erfüllen.

00:03:57: Ich muss wissen, wann war das Gespräch, wer hat daran teilgenommen und was wurde besprochen,

00:04:02: was waren die Aufgaben und wer sollte sie erledigen, bis wann.

00:04:05: Das ist der erste Punkt, an dem ich einen Fehler machen kann oder wo ich sagen kann, ich weiß

00:04:11: gar nicht mehr genau, was besprochen wurde.

00:04:13: Das ist auch gut, damit das gesamte Team weiß, wo es langgeht und was jetzt so die nächsten

00:04:18: Schritte sind, bzw. das Team weiß, was besprochen wurde in einem Steering Committee beispielsweise.

00:04:23: So, wenn klar ist, das Projekt geht los und wir dürfen arbeiten, lege ich als allererstes

00:04:29: erstmal in ein Ablagesystem für das Team an.

00:04:31: Und dazu gehört eine vernünftige Ordnerstruktur, wo ich weiß, ich habe einen Ordner für administrative

00:04:38: Sachen, da kommen dann so Dinge rein wie mein Projektplan, eine To-Do-Liste, aber auch

00:04:43: ein Ordner für die ganzen Verträge, also Engagement-Letter, möglicherweise ein Auftragsdatenverarbeitungsvertrag,

00:04:49: NDAs oder so was, solche Dinge können dort rein, dann gibt es weitere Ordner in der

00:04:56: übergeordneten Struktur einen dafür für die Daten, die ich erhalten habe, einen weiteren

00:05:01: für Unterlagen, die ich erhalten habe, dann brauche ich noch einen für meine tatsächliche

00:05:06: Analyse.

00:05:07: Und man sollte tun nicht darauf achten, dass nicht in den Ordnern, wo die Dokumente gespeichert

00:05:12: werden, die man erhalten hat, auch gearbeitet wird, das gibt ein einziges Chaos, das ist

00:05:17: vor allen Dingen, wenn man im größeren Team arbeitet, nachher eine Katastrophe, das heißt,

00:05:21: man muss klar sein, manche Ordner, da wird nun gegeschaut und rausgezogen und den anderen

00:05:26: wird dann gearbeitet und das bedeutet auch, dass man bestimmte Dateien vielleicht auch

00:05:30: dreimal oder viermal oder fünfmal vielleicht auch in seinem Ordnersystem hat, weil sie eben

00:05:34: von verschiedenen Leuten bearbeitet werden.

00:05:36: Da kommen wir zu einem Punkt, der was das Ablagesystem angeht und der heißt Ordnung halten.

00:05:40: Es kann schnell vorkommen, dass man sich der Datenflug nicht gewachsen fühlt und dann

00:05:44: erstmal sagt erstmal alles rein, wir schmeißen erstmal alles in diesen Ordner, aufräumen

00:05:49: können wir später.

00:05:50: Nein, können wir nicht.

00:05:51: Wenn niemand dahinter her ist, und das ist ein Job, der ist nicht sexy, das ist nervig,

00:05:56: aber man muss darauf achten, man muss Ordnung halten, vor allem wenn man mit mehreren arbeitet.

00:06:02: Es gibt ja Genies, die in ihrem Chaos ein System haben, aber das funktioniert auch nur

00:06:08: so lange, wie diese Genies alleine arbeiten.

00:06:10: Wir arbeiten in der forensischen Sonderuntersuchung also mal mindestens zu zweit, ich kenne das

00:06:15: eigentlich gar nicht, dass jemand so was ganz alleine macht, möglicherweise, wenn es wirklich

00:06:19: nur um so eine Beratung geht oder einzelne Bestandteile, also ein Experte kommt mal nur

00:06:24: für ein Interview dazu oder so, dann vielleicht, aber ansonsten arbeitet man immer in Teams

00:06:29: mindestens mit zwei Personen.

00:06:30: So viel zur Dokumentation im Ablagesystem, dann gibt es weitere Dokumentationen, die

00:06:37: ich führen muss, nämlich wenn ich Dokumente anfordere, von meinen Mandanten, dann sollte

00:06:43: ich das notieren, wann habe ich was angefordert, wann habe ich die Unterlagen erhalten, fehlt

00:06:48: noch was, muss man nochmal nachhagen, das wird in der Excel-Tabelle geführt, es gibt

00:06:52: aber auch andere Tools, die man nutzen kann, man sollte es nicht zu kompliziert machen,

00:06:56: man sollte Dinge nehmen, die funktionieren für einen selber und für das Team.

00:07:00: Dann habe ich genauso einen Evidence Tracker, das ist so ähnlich, dann schraube ich im

00:07:03: Reihen, welche Daten habe ich erhalten, also wann habe ich eine Festplatte erhalten, von

00:07:08: welcher Person habe ich welche Daten erhalten, also von welchem Custodian habe ich die E-Mail-Daten

00:07:14: vollständig, die Chat-Daten habe, Festplatten, Handydaten, das soll alles dokumentiert werden.

00:07:21: Ich muss nur dafür sorgen, wenn ich das Projekt leite oder manage, dass die Dokumentation

00:07:26: auch in diesem Technikbereich da ist.

00:07:28: Dann geht es weiter runter, dass ich auch sage, ich brauche dann noch zu jeder Festplatte

00:07:32: oder jedem Computer auch ein sogenanntes Chain of Custody-Dokument, das ist also ein Formular,

00:07:38: das wird fortlaufend geführt und immer wenn ein, sagen wir mal eine Festplatte von einer

00:07:43: der Person zur nächsten geht oder von einem Ort zum nächsten wandert wird aufgeschrieben

00:07:46: wer wann was übergeben hat. Das wird unterschrieben und so kann ich eben eine Kette aufzeigen. Das ist

00:07:52: eine Form der Dokumentation, die nachher dafür sorgt, dass niemand sagen kann. Also zwischen dem

00:07:57: 14. und dem 20. März ist irgendwann diese Festplatte anscheinend in ihren Besitz gelangt. Wir wissen

00:08:02: aber nicht, wer ihnen was wann übergeben hat und es könnte ja sein, dass in diesem Zeitraum

00:08:06: dazwischen damit irgendjemand Schindl oder getrieben hat und die Daten sind korrumpiert. Das ist

00:08:11: was, was man vermeiden möchte. Und grundsätzlich möchte man nicht nur dem Vorwurf vermeiden,

00:08:15: sondern tatsächlich vermeiden, dass jemand an den Daten rumfummelt und daher muss ich genau

00:08:18: dokumentieren, wer wann diese Daten hatte. Dann, das habe ich gerade vergessen zu sagen, aber neben

00:08:24: den Protokollen für Gespräche mit externen oder demandanten gehören genauso, dass ich die internen

00:08:29: Teamcoils dokumentiere. Das muss jetzt nicht super sophisticated sein, aber man sollte ein paar ordentliche

00:08:36: Notizen ablegen und dafür sorgen, dass da auch eine Struktur drin ist und dass man im Nachgang

00:08:39: sehen kann, okay, was wurde denn vor zwei Wochen besprochen. Das ist auch in einem längeren Projekt

00:08:45: einfach nötig, damit Leute, die mal im Urlaub sind oder vielleicht in Elternzeit sind oder krank

00:08:51: sind, dass sie wiederkommen können und sich anschauen können, okay, was wurde eigentlich besprochen.

00:08:55: Wenn wir im Bereich Projektmanagement sind, brauche ich eine To-do-Liste. Das ist auch eine Form der

00:08:59: Dokumentation. Da kann ich, das ist vermutlich eher intern für mich, damit ich sehen kann, was ist

00:09:05: eigentlich schon gemacht und was fehlt noch. Und das ist tatsächlich eher so eine Art Dump, wo man

00:09:11: sagt, okay, alles, was einmal noch an Aufgaben einfällt, auch wenn das mal so Dinge sind, wo man

00:09:16: weiß, ah, da darf ich nicht vergessen. Einfach erst mal da rein und dann darauf achten, dass es nicht

00:09:22: verloren geht, indem man es in dieser Liste einpflegt. Andere Kollegen, die ich kennengelernt habe im

00:09:27: Beratungsumfeld, die haben auf Kanban Boards geschworen, wieder andere haben immer mit offenen

00:09:33: Punktulisten gearbeitet. Ich nenne es auch meistens offene Punktuliste, ich mache das auch gerne.

00:09:37: Allerdings reicht diese in der Regel nicht, sondern man braucht immer noch ein Projektplan, wo man

00:09:43: dann die großen Workstreams festhält und vielleicht sogar in einem Gantt chart zeigt, wo, wann, was

00:09:49: ungefähr gemacht wird. Das ist eine Sache, da muss man ein bisschen darauf achten, man sollte

00:09:55: den Projektplan natürlich aufsetzen und auch pflegen. Aber bei Aktualisierung sollte man ein

00:10:01: bisschen darauf achten, dass sich auch Versionierung benötigt. Dass ich nicht nachher so ein Projektplan

00:10:05: habe, der einfach quasi dem folgt, wie es dann gelaufen ist, sondern dass ich auch sehe, an welchen

00:10:10: Stellen haben wir doch noch mal einen anderen Weg eingeschlagen. Kann sich als nützlicherweise,

00:10:14: wenn ich noch mal weiß, wie wir eigentlich angefangen haben mit dem Projektplan.

00:10:17: Damit zu tatsächlichen Analysearbeit gehen, ist es aus meiner Sicht unumgänglich, dass man

00:10:22: eine Art Review Tracker aufsetzt. Das heißt, ich muss wissen, was wurde sich in den Daten angeguckt

00:10:29: und wer hat das gemacht und was ist ungefährbar rumgekommen. Natürlich soll ich dann nicht alle

00:10:35: Findings auflisten, das kommt an eine andere Stelle. Aber ich muss allein schon um mich zu

00:10:40: koordinieren, wissen, wer hat denn jetzt geschaut, ob sich Custodian 1 E-Mails an seine Gmail-Adresse

00:10:48: geschickt hat. Wer hat diese Suche angelegt und wer hat diese Suche durchgeführt und wann. Das hilft,

00:10:53: um nicht immer dieselben Arbeiten doppelt zu machen und so weiter. Aber das kann mir auch einen

00:10:57: kleinen Überblick darüber geben, wie mein Projekt Fortschritt ungefähr ist in diesem

00:11:00: Review-Bereich. Dann gilt es, wenn ich dann tagge und reviewe, dass diese, wenn ich dann sage,

00:11:07: ich habe ein Finding, ich habe was responsive oder sogar als hot gekennzeichnet, je nachdem,

00:11:12: wie man es nennen will, dann sollte man sich die Zeit nehmen, in dem Kommentarfeld auch ausführlich

00:11:16: zu beschreiben, warum das jetzt meiner Ansicht nach ein interessantes Dokument ist. Und das ist

00:11:25: was, was viele Leute eben nicht vernünftig machen. Die schreiben dann da ein Wort rein oder

00:11:29: sogar gar nichts. Und dann ist dieser Tag nicht wertlos, aber auf jeden Fall ist es ein Beerendienst

00:11:37: an diejenigen, der nachher hingehen muss und ein Second Level Review machen muss oder aus diesen

00:11:42: Findings irgendwie ein Memo oder Report formulieren muss. Weil die Person muss dann erst mal schauen,

00:11:48: okay, warum wurde das jetzt geteckt? Was ist hier in diesem möglicherweise einen langen Dokument

00:11:54: oder in diesem Email Threat? Was ist jetzt ja eigentlich so die Essenz? Dann ließt sich das

00:11:57: alles nochmal durch, bevor derjenige dann entscheiden kann, ob das jetzt für dieses Memo

00:12:01: oder für den Report überhaupt verwendet werden kann oder sollte. So, und wenn man schon dabei ist und

00:12:06: sagt, wir haben bestimmte Texts und haben uns auf Text geeinigt, um es einfacher zu machen,

00:12:12: für alle Leute, die noch da kommen, ist es hilfreich, je nachdem wie groß das Projekt ist,

00:12:17: dass ich eine sogenannte Review-Guideline aufsetze. Also da steht zum Beispiel die Hypothesen drin,

00:12:22: da steht auch eine Beschreibung drin, der Hintergründe. Möglicherweise muss ich auch ein

00:12:26: bisschen Informationen geben zum Geschäftsgegenstand und so der Art, wie ein bestimmter Betrug

00:12:32: möglicherweise abgelaufen sein könnte. Wenn es denn sehr kompliziert ist, möglicherweise gibt es

00:12:36: technische Einzelheiten, die den Leuten, die jetzt Review nicht klar sind. Und da schreibe ich dann

00:12:41: auch rein, unter welchen Bedingungen, welche Text angewendet werden. Und wann ich ein Document

00:12:47: responsive tagge, wann ich es als for further review tagge oder als relevant zum Beispiel. Und

00:12:54: schlussendlich empfiehlt es sich auch am Ende oder vielleicht auch schon zwischendurch beim Projekt,

00:12:58: bestimmte wichtige E-Mails, die ich im Laufe des Projekts geschrieben habe oder empfangen habe,

00:13:03: abzulegen auch und ganz bewusst in der Ablage für E-Mails zu schaffen. Es gibt ja nichts

00:13:08: Schlimmeres, als wenn ich dann nach einem Jahr oder zwei feststelle, jetzt sind die ganzen E-Mails

00:13:13: schon archiviert worden oder was. Und jetzt kann ich nicht finden, da muss ich aufs IT-Team zugehen

00:13:18: und mit ihnen noch mal holen lassen. Es ist besser, wenn ich mir das Wichtigste in dem Moment,

00:13:22: wo ich weiß, das ist eine wichtige E-Mail, wenn ich mir die dann auch ablege. Es gibt andere,

00:13:27: die sogar alles ablegen, was mit dem Projekt, den man jetzt ausgetauscht wurde. Aber ja, es gibt

00:13:32: eben super viele E-Mails, die eben nicht relevant sind in dem Zusammenhang oder wo Sachen abgesprochen

00:13:37: werden, die einfach uninteressant sind und nichts in der Dokumentation zu tun haben und einen noch

00:13:41: nicht weiterbringen werden. Das ist jetzt mal so der Hauptpart der Dokumentation, die ich für

00:13:45: wichtig erachte. Es gibt bestimmt auch noch Teile der Dokumentationen, die ich jetzt nicht genannt

00:13:50: habe und die andere unheimlich wichtig finden. Kleiner Call to Action, wenn ich jetzt hier was

00:13:55: ganz Wichtiges aus eurer Sicht vergessen habe, schreibt mir gerne einen Kommentar oder erklärt

00:14:00: einfach, warum ihr meint, dass bestimmte Dokumentationen schwachsinnig sind, die ich jetzt hier

00:14:04: genannt habe. Ich bin offen für Anregung und Kritik. Ich habe absichtlich natürlich den

00:14:10: Report, den Abschlussbericht hier nicht genannt. Das ist natürlich der wichtigste Teil der

00:14:15: Dokumentation. Allerdings wollte ich hier mal alles nennen, was eben manchmal als Beiberg betrachtet

00:14:22: wird oder wo man sagt, ja, das ist so Fleißarbeit. Das ist auch Fleißarbeit. Aber sie ist Teil der

00:14:28: forensischen Arbeit und sie schützt dich und dein Team und im Zweifel auch den Mandanten. Meine

00:14:33: beiden Regeln noch mal im Kurzform dokumentiere so, dass ein Kollege jederzeit übernehmen kann

00:14:38: und dokumentiere so und dokumentiere so, als ob du damit rechnest, bald vor Gericht zu stehen.

00:14:44: Ja, wenn dir diese Folge gefallen hat, dann teil sie gerne mit deinen Kollegen und deinen Netzwerk,

00:14:50: hinterlasst mir auch gerne eine Bewertung und bei Anregung und Kritik und Ideen für weitere

00:14:57: Folgen kannst du mir gerne eine Nachricht bei LinkedIn schreiben oder eine auf dem Blog hinterlassen.

00:15:01: Und immer dran denken, nur was dokumentiert ist, ist auch passiert.