Bundesamt für Sicherheit in der Informationstechnik

M 6.127 Etablierung von Beweissicherungsmaßnahmen bei Sicherheitsvorfällen

Verantwortlich für Initiierung: Behörden-/Unternehmensleitung, IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: IT-Sicherheitsbeauftragter

Im Vorfeld der Behandlung von Sicherheitsvorfällen müssen Verfahren für die Sicherstellung von anfallenden digitalen Beweismitteln geplant und etabliert werden. Beweismittel sind Tatsachen oder Tatsachenfeststellungen, die als Hilfe zur Wahrheitsfindung im Rahmen einer computer-forensischen Ermittlung bzw. nachfolgenden juristischen Begutachtung dienen. Um die Rechtskraft der Beweismittel und der Vorgehensweise zu klären, sollte überlegt werden, ob zu diesem Thema juristische Beratung notwendig ist. Neben den nötigen technischen Verfahren (siehe Live Response und Post Mortem Analyse in M 6.126 Einführung in die Computer-Forensik sowie M 2.64 Kontrolle der Protokolldateien etc.) ist auch die Organisation der Beweissicherung zu beachten. Hierzu gehören beispielsweise vorbereitete Formulare für die Dokumentation der sichergestellten Beweisspuren. Diese Formulare können auch herangezogen werden, um zu erfassen, welche Personen Analysen an den digitalen Beweisspuren vorgenommen haben.

Für die Lagerung von sichergestellten IT-Systemen oder Datenträgern ist ein sicherer Aufbewahrungsort zu wählen. Dieser kann ein Tresorraum oder eine andere Räumlichkeit sein, zu der nur ein minimaler und vertrauenswürdiger Personenkreis Zugang hat.

Werden elektronische Beweisspuren sichergestellt, ist durch den Einsatz von Prüfsummenverfahren während jedes Analyseschrittes die Unversehrtheit der Beweisspuren zu verifizieren. Die Beweisspuren sollten nur auf besonders abgesicherten Systemen gelagert und auf solchen analysiert werden. Diese sollten natürlich sowohl von den möglicherweise kompromittierten IT-Systemen, als auch vom Rest des produktiven Netzes getrennt sein, damit keine Beweise verändert werden.

Die Maßnahmen und Werkzeuge zur Beweissicherung müssen daraufhin überprüft werden, ob sie geeignet sind, die Beweisspuren zuverlässig und manipulationssicher zu sichern.

Die Vorgehensweise zur Beweissicherung muss mit dem IT-Sicherheitsbeauftragten und dem Expertenteam für die Behandlung von Sicherheitsvorfällen abgestimmt werden. Um sicherzustellen, dass Fragen des Datenschutzes berücksichtigt werden, sollte der Datenschutzbeauftragte miteinbezogen werden. Sobald ein Verdacht auf Innentäter besteht, sollte außerdem die Personalvertretung beteiligt werden. Außerdem sollten interne oder externe Juristen hinzugezogen werden, um die eingesetzten Verfahren und Methoden zu bewerten.

Prüffragen:

  • Sind Verfahren für die Sicherstellung von anfallenden digitalen Beweismitteln definiert und getestet?

  • Sind die etablierten Maßnahmen und Werkzeuge geeignet, die richtigen Beweisspuren zuverlässig und manipulationssicher zu sichern?

  • Sind die Beweissicherungsmaßnahmen mit den IT -Sicherheitsbeauftragten und seinem Expertenteam abgestimmt?

  • Sind Fragen des Datenschutzes und der Mitbestimmung im Vorfeld geklärt worden?

  • Wurden interne oder externe Juristen zur Bewertung der eingesetzten Verfahren und Methoden konsultiert?

Stand: 11. EL Stand 2009

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK