eDiscovery: Aufbereitung unstrukturierter Daten
E-Mails sind das inzwischen wohl meistgenutzte Kommunikationsmittel in Unternehmen – entsprechend groß sind die Datenmengen, die im E-Mail-Verkehr generiert werden. Gerade hier lassen sich jedoch wichtige Hinweise auf dolose Handlungen finden – wenn es gelingt, das riesige Volumen dieser unstrukturiert vorliegenden Daten effizient zu untersuchen. Hierfür wird die Methode der Electronic- oder E-Discovery eingesetzt. Sie basiert auf dem so genannten „Electronic Discovery Reference Model“ (EDRM), einem nicht linearen, iterativen Prozess zur Erfassung und Auswertung relevanter E-Mails. Der Prozess definiert alle notwendigen Aktivitäten von der Identifikation der vorhandenen Systeme bis hin zum Export der für den Sachverhalt relevanten Dokumente.
Phasen im E-Discovery Prozess:
1. Information Management
Erfassung der IT-Infrastruktur des Unternehmens, Identifikation der Datenquellen, Speicherorte und involvierten Mitarbeiter
2. Identification
Festlegung der für die Untersuchung benötigten und verfügbaren Daten, einschließlich früherer, aber noch in Betrieb befindlicher Systembereiche und eventuell extern archivierter Datenbestände.
3. Preservation und Collection
Konkrete Sicherung und Sammlung von Daten nach einem festgelegten Untersuchungsverlauf und unter Hinzuziehung und Befragung betroffener Mitarbeiter. Wichtig hierbei ist die genaue Einhaltung datenrechtlicher Bestimmungen, da die Grenze zwischen geschäftlichen und privaten E-Mails meist fließend ist.
4. Pre-Processing
Nach der Sicherung des gesamten Datenvolumens erfolgt eine erste Datenreduzierung durch Ausschluss von nicht relevanten Daten, wie Systemdateien, Programmbibliotheken oder Konfigurationsdateien.
5. Processing
Weitere Reduzierung des Datenkorpus, etwa durch Erkennen von Duplikaten in längeren E-Mail Korrespondenzen. Mit dieser Reduzierung verringert sich auch der Aufwand der späteren Auswertung signifikant.
6. Early Case Assessment
Nach Sicherung und erster Sichtung des Datenmaterials wird der Umfang der weiteren Verarbeitung festgelegt, etwa durch Priorisierung besonders relevanter Daten.
7. Review
Einsatz unterschiedlichster Instrumente und Verfahren, um gezielt und möglichst schnell im noch immer umfangreichen Ausgangs-Sets von Daten auf relevante Hinweise im Rahmen der Untersuchung zu stoßen.
8. Analysis
Ergänzung der im Review erzielten Ergebnisse um weitere Erkenntnisse wie Zuordnung bestimmter Kommunikationswege und -partner, Auswertung von Metadaten oder Erstellung von Domain-Analysen der Kommunikanten.
Die E-Discovery stellt eine sinnvolle Methode der E-Mail-Auswertung dar – fragen Sie uns nach der praktischen Anwendung vor oder nach einem Schadensfall.
Mehr über unsere Forensic Services