- Beweissicherung muss von der ersten Minute an mitgedacht werden. Fehler in den ersten Stunden nach einem Vorfall können Beweise unwiederbringlich zerstören.
- Die Chain of Custody (Beweismittelkette) dokumentiert lückenlos, wer wann welchen Zugriff auf Beweise hatte. Ohne sie sind Beweise vor Gericht wertlos.
- Forensische Kopien (bitgenaue Images) ersetzen nie das Original. Das Original bleibt unangetastet, gearbeitet wird ausschließlich auf Kopien.
- Drei häufige Fehler zerstören Beweise: Systeme herunterfahren (löscht flüchtigen Speicher), Systeme bereinigen (überschreibt Spuren) und ohne Dokumentation handeln.
- Die Zusammenarbeit mit Strafverfolgungsbehörden und dem Cyber-Versicherer muss frühzeitig eingeplant werden, weil beide eigene Anforderungen an die Beweissicherung haben.
Warum die ersten Stunden entscheiden
Ein Cyberangriff wurde entdeckt. Die Systeme verhalten sich ungewöhnlich, Daten sind verschlüsselt, ein Erpresserschreiben ist aufgetaucht. In den ersten Stunden nach der Entdeckung werden typischerweise die folgenschwersten Fehler gemacht, nicht bei der Abwehr des Angriffs, sondern bei der Sicherung der Beweise.
Die IT-Abteilung fährt betroffene Server herunter, um den Angriff zu stoppen. Dabei wird der flüchtige Speicher (RAM) gelöscht, der kritische Informationen enthält: laufende Prozesse, Netzwerkverbindungen, Verschlüsselungsschlüssel, Spuren des Angreifers. Ein wohlmeinender Administrator installiert Updates oder führt einen Virenscanner durch, der die Malware entfernt, aber damit auch die forensischen Spuren vernichtet. Logs werden nicht gesichert, bevor sie durch die automatische Rotation überschrieben werden. Und niemand dokumentiert, wer wann was getan hat.
Jede dieser Aktionen kann Beweise zerstören, die du später brauchst: für die Strafverfolgung, für den Versicherungsanspruch, für die regulatorische Meldung, für die Kommunikation mit Kunden und Partnern und für die eigene Aufarbeitung.
Cyber-Forensik ist die Disziplin, die genau hier ansetzt. Sie stellt sicher, dass digitale Beweise so gesichert, analysiert und dokumentiert werden, dass sie vor Gericht verwertbar, gegenüber Versicherern belastbar und für die interne Aufarbeitung aussagekräftig sind.
Was ist Cyber-Forensik?
Cyber-Forensik (auch: digitale Forensik, IT-Forensik, Computerforensik) ist die methodische Untersuchung von IT-Systemen zur Identifikation, Sicherung, Analyse und Präsentation digitaler Beweismittel. Sie folgt wissenschaftlichen Grundsätzen und anerkannten Verfahren, um sicherzustellen, dass die Ergebnisse reproduzierbar, nachvollziehbar und gerichtsverwertbar sind.
Abgrenzung zur Incident Response
Incident Response und Forensik sind verwandte, aber unterschiedliche Disziplinen. Incident Response zielt auf die Eindämmung und Beseitigung des Vorfalls: den Angreifer aussperren, die Systeme wiederherstellen und den Normalbetrieb aufnehmen. Forensik zielt auf die Beweissicherung und Analyse: Was ist passiert, wie ist es passiert, wer war es und welche Daten sind betroffen?
In der Praxis laufen beide Prozesse parallel und können in Konflikt geraten. Die Incident Response will den Angriff schnell stoppen, die Forensik will die Spuren erhalten. Ein guter Incident-Response-Plan berücksichtigt deshalb von Anfang an die forensischen Anforderungen.
Wann du Forensik brauchst
Nicht jeder Sicherheitsvorfall erfordert eine vollständige forensische Untersuchung. Aber in folgenden Situationen ist sie dringend empfohlen oder sogar notwendig:
Strafverfolgung: Wenn du Strafanzeige erstatten willst oder wenn Strafverfolgungsbehörden ermitteln, brauchst du gerichtsverwertbare Beweise. Ohne forensisch korrekte Sicherung wird die Staatsanwaltschaft wenig mit deinen Hinweisen anfangen können.
Versicherungsansprüche: Dein Cyber-Versicherer wird einen forensischen Bericht verlangen, bevor er zahlt. Der Bericht muss den Schadensumfang, den Angriffsvektor und die ergriffenen Maßnahmen dokumentieren.
Regulatorische Meldepflichten: DSGVO (Artikel 33/34) und NIS2 verlangen detaillierte Informationen über den Vorfall, und die engen NIS2-Meldefristen von 24 Stunden für die Erstmeldung machen eine vorbereitete Forensik-Readiness unverzichtbar. Welche Daten sind betroffen? Wie viele Personen? Welche Systeme? Diese Informationen liefert die forensische Analyse.
Haftungsfragen: Wenn Dritte (Kunden, Partner) durch den Vorfall geschädigt werden und Schadensersatz fordern, brauchst du eine forensische Dokumentation, die zeigt, dass du angemessene Sicherheitsmaßnahmen implementiert hattest und den Vorfall professionell behandelt hast.
Interne Aufarbeitung: Auch ohne externe Anforderungen hilft die forensische Analyse, den Angriff zu verstehen, die Ursachen zu identifizieren und Maßnahmen abzuleiten, die eine Wiederholung verhindern.
Die vier Phasen der forensischen Untersuchung
Phase 1: Identifikation und Sicherung
Die erste Phase beginnt mit der Identifikation der relevanten Datenquellen: Welche Systeme sind betroffen? Wo könnten Spuren vorhanden sein? Typische Datenquellen umfassen Festplatten und SSDs der betroffenen Systeme, flüchtigen Speicher (RAM) laufender Systeme, Netzwerk-Logs (Firewall, IDS/IPS, Proxy, DNS), Systemlogs (Event Logs, Syslog, Auth-Logs), Anwendungslogs (Webserver, Datenbankserver, Mailserver), Cloud-Logs (Access Logs, Audit Logs, API-Logs), E-Mails (Phishing-Mails, Kommunikation des Angreifers), mobile Geräte (Smartphones, Tablets), externe Datenträger (USB-Sticks, externe Festplatten) und Backups (um den Zeitpunkt der Kompromittierung zu bestimmen).
Die Sicherung dieser Daten muss forensisch korrekt erfolgen, das heißt: Die Originaldaten bleiben unangetastet. Von jedem relevanten Datenträger wird ein bitgenaues Image erstellt (forensische Kopie, z. B. mit dd, FTK Imager oder EnCase). Jedes Image wird mit einem kryptografischen Hash (SHA-256) versehen, der die Integrität belegt. Flüchtige Daten (RAM, Netzwerkverbindungen, laufende Prozesse) werden zuerst gesichert, weil sie beim Ausschalten verloren gehen (Order of Volatility). Die Sicherung wird lückenlos dokumentiert.
Phase 2: Analyse
Die Analyse erfolgt ausschließlich auf forensischen Kopien, nie auf den Originalen. Typische Analyseschritte sind die Timeline-Analyse (Rekonstruktion der Ereignisse anhand von Zeitstempeln aus verschiedenen Quellen), die Malware-Analyse (Identifikation und Analyse der eingesetzten Schadsoftware), die Log-Analyse (Korrelation von Logs aus verschiedenen Quellen, um den Angriffsweg nachzuvollziehen), die Dateianalyse (Identifikation veränderter, gelöschter oder exfiltrierter Dateien), die Netzwerkanalyse (Analyse des Netzwerkverkehrs, Identifikation von Command-and-Control-Verbindungen) und die Artefakt-Analyse (Registry-Einträge, Browser-Verlauf, Prefetch-Dateien, Event Logs, Scheduled Tasks und andere Spuren auf dem System).
Das Ziel der Analyse ist die Beantwortung der forensischen Kernfragen: Was ist passiert (Angriffsvektor, Schadensumfang)? Wann ist es passiert (Zeitlinie der Kompromittierung)? Wie ist es passiert (Technik, Taktik, Prozedur des Angreifers)? Wer war es (Identifikation des Angreifers, soweit möglich)? Welche Daten sind betroffen (Art, Umfang, Sensitivität)?
Phase 3: Dokumentation
Jeder Schritt der forensischen Untersuchung wird dokumentiert: welche Systeme gesichert wurden, mit welchen Werkzeugen, wann, durch wen, welche Hashes erstellt wurden, welche Analysen durchgeführt wurden, welche Ergebnisse erzielt wurden und welche Schlussfolgerungen gezogen werden.
Die Dokumentation muss so detailliert sein, dass ein anderer Forensiker die Ergebnisse reproduzieren kann. Das ist die Voraussetzung für die Verwertbarkeit vor Gericht und die Glaubwürdigkeit gegenüber Versicherern und Aufsichtsbehörden.
Phase 4: Präsentation
Die Ergebnisse werden in einem forensischen Bericht zusammengefasst, der typischerweise eine Executive Summary (für Geschäftsleitung und Entscheidungsträger) enthält, eine technische Darstellung (für IT-Fachleute und andere Forensiker), eine Zeitlinie der Ereignisse, die identifizierten Indicators of Compromise (IoCs), Empfehlungen für Sofortmaßnahmen und langfristige Verbesserungen sowie eine Liste der gesicherten Beweismittel.
Chain of Custody: Die Beweismittelkette
Die Chain of Custody ist das Rückgrat der forensischen Beweisführung. Sie dokumentiert lückenlos, wer welches Beweismittel wann in welchem Zustand erhalten, bearbeitet oder weitergegeben hat. Ohne eine intakte Chain of Custody kann ein Beweismittel vor Gericht angefochten werden, weil nicht nachweisbar ist, dass es nicht manipuliert wurde.
Was die Chain of Custody dokumentiert
Für jedes Beweismittel wird festgehalten: die eindeutige Identifikation (Seriennummer, Beschreibung, Kennzeichnung), wann und wo es gesichert wurde, wer es gesichert hat, wie es gesichert wurde (Werkzeug, Methode), der kryptografische Hash zum Zeitpunkt der Sicherung, jede Übergabe an eine andere Person (wer, wann, warum), jeder Zugriff auf das Beweismittel (wer, wann, was) und der aktuelle Aufbewahrungsort (physisch gesichert, z. B. im Tresor).
Praktische Umsetzung
Verwende ein Formular oder ein digitales System, das die Chain of Custody für jedes Beweismittel erfasst. Jede Person, die ein Beweismittel erhält oder weitergibt, unterschreibt das Formular. Beweismittel werden in einem physisch gesicherten Bereich aufbewahrt (abschließbarer Schrank, Safe, Tresor). Digitale Kopien werden auf verschlüsselten Datenträgern gespeichert, die ebenfalls physisch gesichert sind.
Die häufigsten Fehler bei der Beweissicherung
Fehler 1: Systeme sofort herunterfahren
Der natürliche Reflex bei einem Angriff ist, die betroffenen Systeme herunterzufahren. Das kann in bestimmten Situationen sinnvoll sein (z. B. wenn Daten aktiv exfiltriert werden), zerstört aber den flüchtigen Speicher. Im RAM befinden sich laufende Prozesse (einschließlich Malware), aktive Netzwerkverbindungen, Verschlüsselungsschlüssel (bei Ransomware potenziell der Schlüssel zum Entschlüsseln), zwischengespeicherte Anmeldedaten und temporäre Dateien.
Besser: Wenn möglich, den RAM vor dem Herunterfahren sichern (RAM-Dump mit Tools wie Magnet RAM Capture, WinPmem oder Belkasoft). Dann erst das System isolieren (Netzwerkkabel ziehen, nicht herunterfahren) und im isolierten Zustand die Festplatte sichern.
Fehler 2: Systeme "bereinigen"
Nach der Entdeckung eines Angriffs ist der Drang groß, die Malware zu entfernen, den Virenscanner laufen zu lassen und die Systeme "sauber" zu machen. Jede dieser Aktionen verändert die Beweislage: Der Virenscanner löscht oder quarantänisiert die Malware und verändert damit das Dateisystem. Updates und Patches überschreiben Systemdateien. Das Löschen von Benutzerkonten entfernt Spuren des Angreifers.
Besser: Zuerst forensisch sichern, dann bereinigen. Wenn die Bereinigung aus betrieblichen Gründen nicht warten kann, dokumentiere zumindest, was du wann geändert hast.
Fehler 3: Keine oder unzureichende Dokumentation
"Wir haben den Server um 14:30 Uhr isoliert" ist keine ausreichende Dokumentation. Forensisch korrekt wäre: "Am 14.03.2026 um 14:30 Uhr MEZ wurde der Server SRV-DB01 (Seriennummer: XYZ, IP: 192.168.1.10) durch [Name, Rolle] physisch vom Netzwerk getrennt, indem das Ethernet-Kabel am Port 3 des Switches SW-CORE-01 entfernt wurde. Zu diesem Zeitpunkt waren die Prozesse [Liste] aktiv und die Netzwerkverbindungen [Liste] bestanden."
Besser: Dokumentiere von der ersten Minute an alles, was du tust und beobachtest. Nutze ein Logbuch (physisch oder digital), in dem jede Aktion mit Zeitstempel, Person und Beschreibung festgehalten wird.
Fehler 4: Originale verändern
Arbeite nie an originalen Beweismitteln. Wenn du eine Festplatte analysieren willst, erstellst du zuerst ein forensisches Image und arbeitest auf dem Image. Wenn du Logs analysieren willst, kopiere sie zuerst an einen sicheren Ort und arbeite auf der Kopie. Das Original bleibt unangetastet und versiegelt.
Fehler 5: Log-Rotation nicht stoppen
Die meisten Systeme rotieren ihre Logs automatisch: Ältere Einträge werden gelöscht, wenn das Log eine bestimmte Größe erreicht oder ein bestimmter Zeitraum vergangen ist. Wenn du die Log-Rotation nicht stoppst oder die Logs nicht zeitnah sicherst, werden die ältesten Einträge, die möglicherweise den Beginn des Angriffs dokumentieren, unwiederbringlich gelöscht.
Besser: Sichere alle relevanten Logs unmittelbar nach der Entdeckung des Vorfalls. Stoppe die automatische Rotation auf den betroffenen Systemen oder leite die Logs an einen separaten, gesicherten Log-Server um.
Zusammenarbeit mit Strafverfolgungsbehörden
Strafanzeige: Ja oder Nein?
Die Frage, ob du Strafanzeige erstatten sollst, ist keine rein juristische, sondern auch eine strategische Entscheidung. Vorteile einer Strafanzeige: Die Polizei hat Ermittlungsbefugnisse, die dir nicht zur Verfügung stehen (z. B. Durchsuchungsbeschlüsse, internationale Rechtshilfe). Die Strafverfolgung kann Angreifer identifizieren und künftige Angriffe verhindern. Manche Versicherer verlangen eine Strafanzeige als Voraussetzung für die Leistung. Und die Anzeige dokumentiert, dass du den Vorfall ernst nimmst.
Nachteile: Die Ermittlungen können zeitaufwändig sein und eigene Ressourcen binden. Du hast nach der Anzeige keinen Einfluss mehr auf den Fortgang der Ermittlungen. In seltenen Fällen können Beweismittel beschlagnahmt werden, was den Geschäftsbetrieb beeinträchtigen kann.
Zuständige Behörden in Deutschland
Die Zentralen Ansprechstellen Cybercrime (ZAC) der Landeskriminalämter sind die ersten Ansprechpartner für Unternehmen. Sie sind auf Cyberkriminalität spezialisiert und kennen die besonderen Anforderungen von Unternehmen. Die Bundespolizei und das BKA sind bei überregionalen oder international organisierten Angriffen zuständig. Das BSI ist keine Strafverfolgungsbehörde, nimmt aber Meldungen entgegen und unterstützt bei der Lageeinschätzung.
Beweismittel für die Behörden vorbereiten
Wenn du Strafanzeige erstattest, bereite folgende Informationen vor: eine chronologische Darstellung des Vorfalls, gesicherte Beweismittel mit Chain of Custody, Log-Daten und forensische Images, bekannte Indicators of Compromise (IoCs) und die Kontaktdaten deines Forensik-Dienstleisters.
Zusammenarbeit mit dem Cyber-Versicherer
Dein Cyber-Versicherer hat eigene Anforderungen an die Beweissicherung und Forensik. Viele Versicherer haben Rahmenverträge mit forensischen Dienstleistern und erwarten, dass du deren Experten beauftragst. Andere akzeptieren auch eigene Forensiker, verlangen aber, dass die Untersuchung bestimmten Standards folgt.
Melde den Vorfall sofort dem Versicherer, idealerweise bevor du selbst forensische Maßnahmen einleitest. Der Versicherer kann dir sofort einen Forensik-Dienstleister vermitteln, Vorgaben zur Beweissicherung machen und die Kosten für die forensische Untersuchung als Teil des Versicherungsfalles übernehmen.
Wenn du ohne Rücksprache mit dem Versicherer forensische Maßnahmen einleitest, besteht das Risiko, dass der Versicherer die Kosten nicht übernimmt oder die Ergebnisse nicht akzeptiert.
Vorbereitung: Forensik-Readiness
Forensik-Readiness bedeutet, dass du dich auf einen forensischen Ernstfall vorbereitest, bevor er eintritt. Das umfasst:
Logging-Strategie: Stelle sicher, dass alle relevanten Systeme Logs erzeugen, die ausreichend detailliert sind und lange genug aufbewahrt werden. Zentralisiere Logs in einem SIEM oder Log-Management-System. Synchronisiere die Uhren aller Systeme (NTP), damit Zeitstempel aus verschiedenen Quellen korreliert werden können.
Forensik-Toolkit: Halte ein forensisches Toolkit bereit, das die wichtigsten Werkzeuge enthält: RAM-Dump-Tools, forensische Imaging-Software, Write-Blocker (Hardware, die verhindert, dass beim Anschließen einer Festplatte Daten geschrieben werden), Formulare für die Chain of Custody und ein separates, sauberes Analysesystem.
Forensik-Dienstleister: Identifiziere und kontaktiere einen forensischen Dienstleister, bevor du ihn brauchst. Schließe idealerweise einen Rahmenvertrag ab, der Reaktionszeiten und Stundensätze im Voraus regelt. Im Ernstfall hast du keine Zeit, Angebote zu vergleichen.
Incident-Response-Plan: Integriere die forensischen Anforderungen in deinen Incident-Response-Plan. Definiere, wer die forensische Sicherung durchführt, welche Systeme zuerst gesichert werden (Priorisierung) und wie die Chain of Custody geführt wird.
Schulung: Schule die Mitarbeiter, die im Ernstfall als Erste reagieren (First Responder), in den Grundlagen der Beweissicherung. Sie müssen wissen, was sie tun dürfen (dokumentieren, isolieren, RAM sichern) und was sie nicht tun dürfen (herunterfahren, bereinigen, Logs löschen).
Forensik und Datenschutz
Die forensische Untersuchung berührt unweigerlich den Datenschutz. Wenn du Festplatten imagest und Logs analysierst, verarbeitest du dabei auch personenbezogene Daten von Mitarbeitern und möglicherweise Kunden. Die DSGVO verlangt, dass diese Verarbeitung rechtmäßig ist.
Rechtsgrundlage: Die forensische Untersuchung eines Sicherheitsvorfalls kann auf das berechtigte Interesse nach Artikel 6 Absatz 1 Buchstabe f DSGVO gestützt werden. Die Interessen des Unternehmens an der Aufklärung des Vorfalls und der Sicherung von Beweisen überwiegen in der Regel die Interessen der betroffenen Personen, solange die Untersuchung verhältnismäßig durchgeführt wird.
Verhältnismäßigkeit: Sichere nur die Daten, die für die Untersuchung relevant sind. Wenn du weißt, dass der Angriff den Mailserver betroffen hat, musst du nicht die Festplatten aller Arbeitsplatzrechner sichern. Begrenze den Zugriff auf die forensischen Daten auf die Personen, die ihn für die Untersuchung benötigen.
Mitbestimmung: Wenn ein Betriebsrat existiert, informiere ihn über die forensische Untersuchung, soweit das möglich ist, ohne die Untersuchung zu gefährden. Der Betriebsrat hat Mitbestimmungsrechte bei der Überwachung von Mitarbeitern, und eine forensische Untersuchung kann als solche gewertet werden.
Digitale Beweise vor Gericht
Damit digitale Beweise vor einem deutschen Gericht verwertet werden können, müssen sie folgende Anforderungen erfüllen: Die Authentizität ist gegeben, wenn nachgewiesen wird, dass das Beweismittel echt und unverändert ist (kryptografische Hashes, Chain of Custody). Die Integrität erfordert den Nachweis, dass das Beweismittel nicht manipuliert wurde (forensische Kopie, Write-Blocker, Dokumentation). Die Nachvollziehbarkeit verlangt, dass die Methodik der Sicherung und Analyse dokumentiert und reproduzierbar ist. Und die Verhältnismäßigkeit muss belegen, dass die Beweiserhebung rechtmäßig und verhältnismäßig war.
Deutsche Gerichte bewerten digitale Beweise grundsätzlich nach dem Prinzip der freien Beweiswürdigung (§ 286 ZPO). Es gibt keine starren Beweisregeln, aber eine mangelhafte Chain of Custody oder eine nicht dokumentierte Analysemethodik werden die Beweiswürdigung erheblich beeinträchtigen.
Die forensische Untersuchung als Lernprozess
Die forensische Analyse eines Sicherheitsvorfalls liefert nicht nur Beweise, sondern auch wertvolle Erkenntnisse für die Verbesserung deiner Sicherheitsmaßnahmen. Nutze die Ergebnisse für eine Lessons-Learned-Sitzung, in der du den Angriffsvektor analysierst (wie ist der Angreifer eingedrungen?), die Detektionsfähigkeit bewertest (wie lange war der Angreifer unentdeckt? warum?), die Wirksamkeit der Maßnahmen prüfst (welche haben funktioniert, welche nicht?) und konkrete Verbesserungsmaßnahmen ableitest.
Dokumentiere die Ergebnisse und integriere die abgeleiteten Maßnahmen in deinen PDCA-Zyklus. Jeder Sicherheitsvorfall ist eine Gelegenheit, das ISMS zu verbessern, vorausgesetzt, du nutzt die forensischen Erkenntnisse systematisch. In ISMS Lite lassen sich Vorfälle mit den abgeleiteten Maßnahmen verknüpfen, sodass der Verbesserungszyklus lückenlos dokumentiert ist.