Daten-Detektive: Betrügern und Terroristen auf der Spur

Wer hier an Geheimagenten denkt oder gar an Hundertschaften von Kriminalbeamten, Anwälten oder Beratern, die Suchwörter in eine Datenbank eintippen, der ist aus der Zeit gefallen. Solche Fragen werden heute von Maschinen beantwortet. Wo selbst erfahrene Ermittler vor kurzem noch kapitulierten, liefern heute moderne Datendetektive die Beweise – mit selbstlernender Software. Bei der Untersuchung grosser Betrugsfälle entwickelten sie ihre revolutionären Werkzeuge zur Datenanalyse, und nun spannen sie auch mit Geheimdiensten und Militärs zusammen. Ihre Software wird schon bald Unternehmen umwälzen.

Als die Bundesanwaltschaft am Fifa-Sitz die elektronischen Archive mit E-Mails, Verträgen und Korrespondenzen gesichert hatte, amüsierte sich ein Betroffener noch: «Elf Terabyte Daten! Damit haben sie jetzt einige Zeit zu tun.» Der Manager war nicht up to date. Und in Medienkommentaren wurde das Volkswagen-Management schon voreilig exkulpiert, weil man in den riesigen Datenarchiven des Weltkonzerns die Mitwisser nie finden könnte.

Unstrukturierte Sammlung professionell durchsuchen

Doch, man kann. Datenanalyse funktioniert heute anders als Desktop-Search am Personal Computer. Wie es gehen kann, berichteten die investigativen Journalisten der «Süddeutschen Zeitung» über die Enthüllung der Panama Papers. 2,6 Terabyte Daten hatte ihnen ein Informant übermittelt.

Sie kauften sich eine Workstation mit 64 Gigabyte Arbeitsspeicher, einer superschnellen SSD-Festplatte und drei weiteren Laufwerken und untersuchten das Material mit Hilfe amerikanischer Datenjournalisten. Dabei nutzen sie die Ermittler-Software Nuix, die ihre unstrukturierte Sammlung von 11,5 Millionen Dokumenten indexierte und professionell durchsuchbar machte. So identifizierten sie Regierungsmitglieder und deren Freunde. Das war nicht einmal die neueste Lösung.

Ende März gründete die Credit Suisse mit der Silicon-Valley-Firma Palantir, dem mächtigsten Softwarekonzern auf dem Gebiet der Datenrecherche, ein Joint Venture. Das Ziel: die Echtzeit-Überwachung im Handelsraum.

Grosse Fischzüge im Datenmeer

Im Ermittlungsbüro von Deloitte Schweiz werden die Daten eines Grosskonzerns über sichere Leitungen erfasst. Die Festplatten befinden sich in einem Datenbunker irgendwo im Zürcher Glatttal. Der Konzernkunde ist einer Untersuchung durch die US-Justiz ausgesetzt. Das Management will so schnell wie möglich wissen, was vorgefallen ist. Es will vor allem den gleichen Wissensstand erreichen wie die Behörden, die riesige Datenbestände gesichert haben: E-Mails, Verträge, Managementinformationssysteme, Spesenbelege, Bankdaten.

Im Deloitte-Büro geht es um grosse Fischzüge im Datenmeer. Grossbetrug, Veruntreuung, Korruption, Produktpiraterie, solche Sachen. Das Team rund um David Fidan, Richard Kershaw und Bob Dillen zählt auf diesem Feld zu den Besten der Welt. Forensik-Experte Fidan ermittelt seit 16 Jahren in Fällen von Finanzkriminalität, darunter weltberühmte Fälle. Kershaw, Orientalist und Computerforensiker, kam Anfang 2015 aus Hongkong dazu. Und Datenanalytiker Dillen ermittelte 15 Jahre lang in New York. Im Team sprechen sie neben Englisch und den Schweizer Landessprachen Spanisch, Japanisch, Holländisch, Rumänisch und Russisch sowie die Programmiersprachen Perl, Python, SQL, Bash, Awk und SAS.

Am Beispiel des US-Energiekonzerns Enron, der 2001 nach Betrügereien und Bilanzschwindel kollabierte, demonstrieren sie, wie sie heute arbeiten. Der Enron-Fall wird gerne als Muster herangezogen, weil die Firmenarchive mit sämtlichen E-Mails öffentlich zugänglich sind – eine perfekte Test-Range also.

Sie filtern Gut und Böse

Sie durchkämmen das Enron-Material mit Software von den State-of-the-Art-Anbietern Relativity und Brainspace. Diese Programme erzählen nahezu auf Knopfdruck die Story, die hinter dem Kollaps des Konzerns stand – visualisiert mit schönen Grafiken und Timelines. «Concept Search» nennt sich das. Mit raffinierten Algorithmen entdecken sie Anomalien in der Sprache der Mitarbeiter wie in den finanziellen Transaktionen, korrelieren aussergewöhnliche Verhaltensmuster miteinander und stellen Verbindungen zwischen verdächtigen Personen und deren Geldgeschäften her. Sie verwerfen das Normale und trennen das Irreguläre heraus, sie filtern Gut und Böse.

So erzählt die Ermittlermaschine die Geschichte des Enron-Finanzmanagers Andrew Fastow, der Millionen in Briefkastenfirmen abzweigte, die schliesslich ihm selbst gehörten. Damals hatten die US-Ermittlungsbehörden mit grossen Teams mehr als ein Jahr benötigt, bis sie dies bewiesen hatten. Die Maschine braucht dafür ein paar Stunden.

Schneller als alle Ermittlungsteams

Im Fall eines raffinierten Hypothekarbetruges wird die Maschine mit seitenlangen Tabellen von Darlehensverträgen, Kundenadressen und Daten aus sozialen Netzen über die Beteiligten gefüllt. Zahlen, Zahlen, Zahlen, Tausende Zeilen davon. Nach nur 15 Minuten spuckt die Software die heissen Orte aus, wo die zweifelhaften Deals passierten. Diskret und geräuschlos.

Noch schneller werden aus gewaltigen Excel-Dateien mit Verkaufsdaten eines Grossunternehmens die verdächtigen Verkäufer genau lokalisiert. Am nächsten Tag können die trickreichen Mitarbeiter mit diesem Wissen konfrontiert werden. Sie staunen und gestehen. An einem Fallbeispiel rechnet Brainspace vor, wie sie damit die Honorarkosten bei einer Untersuchung um 98 Prozent reduzierten.

Der Clou dabei: Die Software entwickelt selbst Suchwörter, selbstlernend erkennt sie passende und unpassende Muster und nimmt dann die Fährte auf. Das Problem dabei: Dieser Software-Einsatz ist sündhaft teuer. Lizenzen, Datenzentren, Wartung, Training und Einsatz der Teams verschlingen Millionen. Das rechnet sich nur bei wirklich «lohnenden» Fällen, bei denen wiederum Millionen auf dem Spiel stehen. Daher ist die Software nur bei wenigen Dienstleistern der Investigationsindustrie im Einsatz.

Lückenlose Arbeit wird verlangt

«Unsere Technik lässt sich vor Gericht verteidigen», sagt Fidan, «das erst macht sie zu einer forensischen Methode.» Denn die Justizbehörden wollen die Untersuchungsschritte nachvollziehen können, damit sie wissen, wie akkurat gearbeitet wurde. Das Programm des US-Justizministeriums (DoJ) zur Suche nach Schwarzgeld von Amerikanern wirkte wie ein Katalysator. Deloitte hat für viele Banken die Daten für das DoJ aufbereitet. So wurden neue Standards etabliert – nicht nur im Strafverfahren, sondern auch in der Analysetechnik.

Bereits beim Abzapfen der Daten wird lückenlose Arbeit verlangt. «Wir mussten in den USA in einem einzigen Fall mehr als 60'000 Mobilgeräte sichern», erzählt Dillen. Smartphones zählen mittlerweile zu den wichtigsten Beweismitteln. Sie liefern Informationen über Zeitpunkt und Dauer eines Telefonkontakts sowie die Reaktionen. Die Spezialfirmen EnCase und Cellebrite bieten für jedes marktübliche Gerät das passende Absaugsystem. Der letzte Schrei: «Cloud Analyzer».

Wenn die Software selber lernt

Früher setzten das Deloitte-Team und andere ähnliche Büros ganze Batterien von Vertragsanwälten ein, welche die Daten mit Suchwörtern durchforsteten. Es waren Mammutprojekte mit Schwächen: teuer und lückenhaft. Analytiker sind gut honoriert, doch auch sie haben mal einen schlechten Tag.

Der entscheidende Fortschritt kam mit der intelligenten, selbstlernenden Software. Am Anfang standen Programme, die den Datenbestand importierten, verschlagworteten und durchsuchbar machten. Erst haperte es beim Datenimport. Ausgemusterte Dateiformate, die oft noch in Firmenarchiven zu finden sind, waren nicht integrier- und lesbar. Erst Programme wie dtSearch konnten in kurzer Zeit Terabyte-Volumen an Webdaten, E-Mails und Dateien indexieren und auf komplexe Anfragen mit verknüpften Suchwörtern oder Zahlen eine Trefferliste anzeigen – in Sekundenbruchteilen. Darauf aufbauend wurden eDiscovery-Programme wie Nuix, Ringtail, Recommind oder Relativity und schliesslich Brainspace entwickelt.

Auch für Analysen der Firmenkultur genutzt

Das ist die heutige Praxis. An der Zukunft bastelt unterdessen Peter Gloor. Der Forscher lehrt an der amerikanischen Ostküste, am Center for Collective Intelligence des Massachusetts Institute of Technology (MIT). Er bietet seine Erkenntnisse auch über seine Firma Galaxy Advisors an. Konzerne nutzen sein Wissen nicht nur für Betrugsuntersuchungen, sondern auch für Analysen der Firmenkultur oder der Motivation der Mitarbeiter.

So destilliert Gloor aus den E-Mail-Archiven der Konzerne die kreativsten Teams heraus, welche Mitarbeiter starke Führungsrollen jenseits der Hierarchie innehaben oder wer gerade unmotiviert auf dem Absprung ist und dem Unternehmen verloren gehen könnte. Dabei wird nicht nur die Sprache analysiert und wie ehrlich jemand kommuniziert. Untersucht wird zum Beispiel auch, wer wem wie schnell auf eine E-Mail antwortet.

Das Konzept dahinter: Gloor sucht mit Erkenntnissen der Verhaltensforschung nach «ehrlichen Signalen», die ausgesendet werden. Damit lässt sich selbst in einem Weltkonzern ein regelwidrig operierendes oder aber ein besonders fortschrittliches Team entdecken. Denn die Sprache ist verräterisch.

Was Skype verraten kann

Fortschritte bei der maschinellen Gesichtserkennung eröffnen ein weiteres Feld: Viele Gespräche werden heute konzernintern via Skype geführt, also stehen riesige Gesprächsdatenbanken zur Verfügung. Kaum ein Mitarbeiter ahnt, was solche Videos über ihn aussagen.

Im Silicon Valley an der Westküste geht man noch einen Schritt weiter. Dort sitzt in Palo Alto der wohl mächtigste Datendetektiv der Welt: Palantir. Gegründet wurde die Firma von ehemaligen PayPal-Nerds, nachdem sie ein System entwickelt hatten, mit dem sie den Internet-Bezahldienst vor Betrügereien schützten. Startgeld bezogen sie von einem Innovationsfonds des US-Geheimdienstes CIA. Sie entwickelten eine intelligente Analyseplattform, mit der unstrukturierte Daten sogar in Echtzeit importiert, strukturiert und untersucht werden können. Mit rasantem Erfolg. Heute wird der Wert des Privatunternehmens auf 20 Milliarden Dollar geschätzt.

Auf Terror- oder Katastrophenereignisse schneller reagieren

Wie Search-Artisten surfen die Leute von Palantir auf den Datenwellen. Für das Pentagon verknüpfen sie weltweit verstreute Datenbanken, für die Geheimdienste liefern sie sensible Analysen, über die sie nicht sprechen dürfen. Durchgesickert ist aber, dass sie Terrornetzwerke in Pakistan aufspüren, Bombennester in Afghanistan suchen und im Archiv des Anlagebetrügers Bernie Madoff Handelsdaten aus 40 Jahren analysierten. Vor allem die Fähigkeit zur Echtzeit-Analyse macht sie so nützlich. So können sie mit ihrer Plattform Twitter-Meldungen nach 15 Sekunden auswerten. Nachrichtendienste sind damit in der Lage, auf Terror- oder Katastrophenereignisse viel schneller zu reagieren.

In ihren Präsentationen zeigen junge Palantir-Forscher mit grosser Euphorie, wie sie US-Kriegseinsätze zu optimieren helfen und Polizeidienststellen vernetzen. Sie arbeiten für die CIA, die Homeland Security, für das FBI, die SEC, das Marine Corps, die Air Force sowie die Militärakademie West Point, und sie liefern Special-Operations-Einheiten die Informationen für deren Einsätze. In der Palantir-Niederlassung in Tysons Corner, ganz in der Nähe von Pentagon und CIA-Zentrale, arbeiten erfahrene Operations Officers der CIA. Sie machen aus all dem kein Geheimnis, man kann ihre Profile auf dem Expertenportal LinkedIn einsehen. «Palantir rettet Leben», erklärt CEO Alex Karp die Mission seiner Leute.

Palantir rettet auch Banker

Palantir rettet auch Banker. Ende März hat Palantir mit der Credit Suisse unter der Firma Signac ein Joint Venture mit Domizilen im US-Briefkastenzentrum Wilmington, Delaware, und in London gegründet. Sie soll in den Handelsräumen der CS die Händler überwachen, um rechtzeitig unautorisierte Aktivitäten zu entdecken. Man will diesen Service auch anderen Banken anbieten.

Die CS und die intelligenten Jungs vom Geheimdienst-Serviceprovider – wie geht das zusammen? Die Bank bemüht sich jedenfalls um Verständnis für die denkwürdige Liaison: «Signac beachtet alle schweizerischen Gesetze zum Datenschutz und zur Achtung der Privatsphäre», erklärt eine CS-Sprecherin. «Da Signac Daten im Auftrag eines Schweizer Anwalts analysiert, der von der CS beauftragt wurde, unterliegt das Unternehmen den Bestimmungen des Schweizer Bankkundengeheimnisses.»

Alle Informationen würden in CS-internen Netzwerken gespeichert und überprüft, alle kunden- und mitarbeiterbezogenen Daten in einem sicheren Arbeitsbereich in der Schweiz. Alle Signac-Mitarbeiter müssten «Need-to-know- und Geheimhaltungsvereinbarungen» unterzeichnen, die gesamte Arbeit mit Daten erfolge ausschliesslich in der Schweiz, und die Arbeitsergebnisse würden ausschliesslich der CS und ihrem Anwalt zur Verfügung gestellt.