ISO 9001 Auditverfahren verstehen: Ein umfassender Leitfaden

Digitale IT Forensik Beweissicherung

Bei einem Streit vor Gericht, werden häufig digitale beweise vorgelegt. Wurden diese Unsachgemäß sichergestellt, so kann die Gegenseite diese Beweisstücke vom Verfahre ausschließen lassen. Der Ausschluss findet meist statt, wenn Mitarbeiter des betroffenen Unternehmens selbst die Beweise sucht und sammelt. Daher sollte die digitale IT Forensik Beweissicherung von professionellen IT Forensik experten durchgeführt werden. Im Ernstfall ist die Investition in die hohen Tagessätze besser als komplett auf dem Schaden sitzen zu bleiben, weil man falsch vorgegangen ist.

Was ist die digitale IT-Forensik Beweissicherung?

Die Digitale IT-Forensik Beweissicherung ist ein wichtiger Bestandteil der IT-Forensik. Damit ist die systematische und rechtskonforme Erfassung und Sicherung digitaler Beweismittel gemeint. Werden Beweise unsachgemäß behandelt, können diese nicht im gerichtlichen Verfahren verwenden werden. Auch die anschließende Analyse digitaler Beweise muss korrekt erfolgen, damit im Anschluss auch ein IT Forensik Gutachten berücksichtigt werden kann.

Ist die Integrität und Nachvollziehbarkeit gewährleistet, so können die digitalen Beweisstücke vor Gericht als Beweismittel genutzt werden. Die Beweissicherung ist wichtig für Gerichtsverfahren vor dem Arbeitsgericht, Amtsgericht, Landesgericht oder dem Oberlandesgericht (OLG). Auch Finanzgerichte und sogar das Bundesfinanzgericht kann digitale Beweismittel zulassen.

Teilbereiche der digitalen Beweissicherung

Die digitale Beweissicherung lässt sich in viele verschiedene Teilbereiche aufgliedern:

  • Forensische Datensicherung
  • Betriebssystem-Forensik
  • Hardware-Forensik
  • Mobilgeräte-Forensik
  • Anwendungs-Forensik
  • Netzwerk-Forensik
  • Cloud-Forensik
  • Web-Forensik
  • Multimedia-Forensik
  • Software-Forensik (Code-Analyse)
  • Wearables-Forensik
  • Car-/EV-Forensik

Was ist die Forensische Datensicherung?

Forensische Datensicherung ist ein Spezialgebiet der IT-Forensik, bei dem digitale Daten so gesichert werden, dass sie später als Beweismittel vor Gericht verwendet werden können. Dabei steht nicht nur das “Was” im Mittelpunkt, sondern vor allem das “Wie”. Jede Veränderung an den Originaldaten kann ihre Beweiskraft gefährden.

Hier ist ein Überblick, was das genau bedeutet:

Ziel der forensischen Datensicherung

  • Beweissicherung: Digitale Spuren (z. B. von Straftaten oder Manipulationen) sollen unverändert gesichert werden.
  • Nachvollziehbarkeit: Der gesamte Sicherungsprozess muss dokumentiert und reproduzierbar sein.
  • Gerichtsfestigkeit: Die Methoden müssen rechtskonform sein, damit die Ergebnisse vor Gericht Bestand haben.

Typische Bestandteile

  • 1:1 Kopien (Images): Es werden exakte Kopien von Festplatten oder anderen Speichermedien erstellt.
  • Hash-Werte: Jeder Datenträger wird mit einem digitalen Fingerabdruck (z. B. SHA-256) versehen, um Integrität zu garantieren.
  • Write-Blocker: Hardware-Tools verhindern, dass beim Kopieren versehentlich Daten verändert werden.
  • Logfiles & Dokumentation: Jede Aktion wird genau festgehalten.

Anwendungsgebiete

  • Strafverfolgung (z. B. bei Cybercrime)
  • Interne Ermittlungen in Unternehmen
  • Datenschutzverletzungen
  • Wirtschaftskriminalität

Techniken der forensischen Datensicherung

Bei der forensischen Datensicherung kommen spezielle Techniken und Werkzeuge zum Einsatz, um Daten unverändert, vollständig und gerichtsfest zu sichern. Hier ist ein Überblick über die gängigsten Methoden:

  • Bitweise Kopie (Bitstream Imaging): Es wird eine exakte 1:1-Kopie eines Speichermediums erstellt – inklusive gelöschter Dateien und versteckter Bereiche. Tools wie dd, FTK Imager oder Guymager werden häufig verwendet.
  • Verwendung von Write-Blockern: Hardwaregeräte oder Softwarelösungen verhindern jegliches Schreiben auf das Quellmedium, um Beweise nicht zu verfälschen.
  • Hash-Wert-Erstellung (z. B. MD5, SHA-256): Zur Sicherstellung der Integrität werden Hash-Werte vor und nach der Sicherung erzeugt. Änderungen an den Daten würden sofort auffallen.
  • Protokollierung und Chain-of-Custody-Dokumentation: Jeder Schritt der Sicherung wird lückenlos dokumentiert, inklusive wer wann was gemacht hat – wichtig für die Nachvollziehbarkeit vor Gericht.
  • Live-Datensicherung (Live Acquisition): Bei laufenden Systemen (z. B. Servern) werden Daten im laufenden Betrieb gesichert, um z. B. RAM-Inhalte, Netzwerkverbindungen oder temporäre Dateien zu erfassen.
eine klare, moderne büroumgebung, in der dokumente und diagramme zur iso 9001 sichtbar präsentiert werden, um einen strukturierten qualitätsmanagementprozess und die bedeutung von transparenz und kontinuierlicher verbesserung zu verdeutlichen.

Betriebssystem-Forensik

Dieser Bereich der Beweissicherung beinhaltet die Sicherung von Beweisen aus den Betriebssystemen der untersuchten Geräte (Smartphones, USB Festplatten, Tablets, Notebooks, MacBooks, Server) durch Erfassung von System-, Nutzer- und Anwendungsdaten:

  • System: Version, Hardware, Installationsdatum, Konfiguration, Log-Dateien
  • Nutzer: Welcher Nutzer wurde wann angelegt, Logins, Rechte
  • Anwendungen: Welche Anwendungen wurden wann installiert, deinstallierte Anwendungen

Wie wird die Betriebssystem-Forensik durchgeführt?

1. Datensicherung (Imaging)

  • Bitweise Kopie der Festplatte mit Tools wie FTK Imager oder dd.
  • RAM-Dump, falls das System noch läuft – wichtig für flüchtige Daten wie laufende Prozesse oder Passwörter.

2. Identifikation relevanter Artefakte
Je nach Betriebssystem werden unterschiedliche Spuren analysiert:

  • Windows Forensik
    Registry (z. B. autostartfähige Programme, Benutzerhistorie)
  • Event Logs (Sicherheits- und Systemereignisse)
  • Prefetch-Dateien (zeigen Programmausführungen)
  • Shadow Copies und Volume Information
  • Browser-Verläufe, Cookies und Downloads
  • 🐧 Linux/macOS Forensik
    Syslog, Auth.log (Login-Versuche, sudo-Befehle)
  • .bash_history, Shell-Aktivität
  • cronjobs und init-Skripte
  • /etc/passwd, /etc/shadow zur Benutzerkontenanalyse

3. Timeline-Erstellung

Alle Zeitstempel (z. B. MAC-Zeiten: Modified, Accessed, Created) werden korreliert, um nachvollziehen zu können, was wann passiert ist.

4. Mustererkennung & Anomalien

  • Wurde ein unbekannter Benutzer hinzugefügt?
  • Gab es ungewöhnliche Dateiaktivitäten zu ungewöhnlichen Zeiten?
  • Wurden Systemdateien manipuliert?

5. Bericht & rechtliche Beweissicherung

  • Alle Erkenntnisse werden dokumentiert (inkl. Hash-Werte, Screenshots, Logs).
  • Chain-of-Custody wird eingehalten, damit die Ergebnisse gerichtsfest sind.

Hardware-Forensik

Die Hardware-Forensik befasst sich mit von den Geräten generierten Daten. In der digitalen Forensik ist es wichtig Informationen der Hardware zu erfassen und auszuwerten.:

  • IoT Geräte (Internet of Things) und Smart Home Devices beinhalten oft wichtige Informationen zum Tathergang.
  • Druckern, Faxgeräte oder Netzwerkspeichern(Network Attached Storage – NAS)werden zu oft übersehen

Mobilgeräte-Forensik

Auch mobile Geräte (Smartphones, Tablets, Navigationssysteme oder eBook-Reader) können der digitalen Forensik Informationen zum untersuchten Sachverhalt liefern. Auf diesen Geräten sind unter anderem folgende Daten gespeichert:

  • Standortdaten: Ortungssysteme (Geotracking), Funkzellen usw.
  • Kommunikationsdaten: E-Mails, SMS, MMS, Chats, Anrufe usw.
  • Sonstige Nutzungsdaten: Apps, Browserverlauf mit Cookies und Suchbegriffen, verwendete Netzwerke, Kontaktdaten (Adressen, Telefonnummern), Kalender, digitale Notizen

Der Gründer der ACATO GmbH hat daher in 2015 bei der Mobilfunk-Fachtagung des BKA im Fachvortrag zu Chip Forensik erläutert, wie Beweise aus stark beschädigten mobilen Geräten gesichert werden können. alle 2 Jahre führt das BKA die Mobilfunk-Fachtagung hinter geschlossenen Türen. Die Informationen der eingeladenen Experten helfen Ermittlern in der Welt der rasanten Innovation in digitalen Medien mitzuhalten.

Anwendungs-Forensik

Für die Untersuchung müssen alle relevanten Anwendungen identifiziert werden. Erst dann kann eine systematische Untersuchung der Daten solcher Anwendungen erfolgen. Bei proprietären Datenformaten kann die Analyse deutlich aufwendiger sein.  Hierbei folgt man den 3 Schritten:

  • Schritt 1: Von der Anwendung generierten Daten müssen sichergestellt werden
  • Schritt 2: Belege über die Nutzung der Anwendungen sind zu sammeln
  • Schritt 3: Informationen zu Installationszeitpunkt, Version, Patches und installierten Updates müssen dokumentiert werden
Sicherheitszonen sind wichtig in einem ISMS nach ISO 27001

Netzwerk-Forensik

Die Kommunikation zwischen Menschen, Anwendungen und Systemen läuft über verschiedene Netzwerke. Dabei entstehen beweisrelevante Kommunikationsdaten. Diese müssen als Beweise im Teilbereich Netzwerk-Forensik gesichert werden. Zu den wichtigen Aspekten in diesem Bereich gehören:

  • Quell- und Zielnetzwerk
  • Netzwerkdienste
  • Spuren von verwendeten Protokollen wie HTTP und DNS
  • Zeitsequenzen aus Log-Dateien

Cloud-Forensik

Im Bereich der Cloud-Forensik müssen Experten der digitalen Forensik ermitteln, auf welchem System die Cloud basiert und wer Zugriff darauf hat. Es müssen Schnittstellen dokumentiert sowie Anwendungs-, Nutzer- und Systemdaten gesammelt werden.

Web-Forensik

Die Web-Forensik hat den Schwerpunkt auf Web-Anwendungen. Damit sind alle Anwendungen gemeint, auf die über einen Browser genutzt werden können. Folgende beweisrelevante Daten sind für die Gerichtsverfahren von wesentlicher Bedeutung:

  • Browserspuren und Browsereinstellungen;
  • von der Anwendung generierte Daten auf dem Webserver und in der Datenbank;
  • auf das Endgerät exportierte Daten.

Multimedia-Forensik

Bei der Multimedia-Forensik werden alle Arten von Mediendaten behandelt:

  • Bild-, Audio- und Videodateien werden gesichert und auf Echtheit geprüft.
  • Wurden Medien für verdeckte Kommunikation genutzt?
  • Enthalten Medien vertrauliche Informationen ?
  • Welche Metadaten sind in den Medien enthalten? 

Was wird bei der Multimedia-Forensik getan?

Multimedia-Forensik ist ein Teilbereich der digitalen Forensik, der sich mit der Analyse, Authentifizierung und Wiederherstellung von Bild-, Audio- und Videodateien beschäftigt. Ziel ist es, Medieninhalte auf ihre Echtheit zu prüfen, Manipulationen nachzuweisen oder digitale Spuren in diesen Dateien zu sichern.

Typische Aufgaben der Multimedia-Forensik:


Authentizitätsprüfung

  • Wurde ein Foto oder Video manipuliert (z. B. Photoshop, Deepfake)?
  • Vergleich von Metadaten, Analyse von Kompressionsartefakten und Inconsistencies

Metadatenanalyse

  • Auslesen von Informationen wie Kamera-Modell, Zeitstempel, GPS-Daten
  • Erkennung verdächtiger oder gelöschter Metadaten

Gerätezuordnung

Ermittlung, mit welchem Gerät eine Aufnahme gemacht wurde (z. B. per Sensor-Pattern oder EXIF-Signatur)

Audio-Forensik

  • Aufdeckung von Schnittspuren in Sprachaufnahmen
  • Rauschfilterung zur Verständlichkeitssteigerung
  • Sprechererkennung oder -vergleich

Wiederherstellung beschädigter Medien

  • Reparatur unvollständiger oder beschädigter Bild-/Videodateien

Vergleichsanalysen

  • Vergleich von Aufnahmen aus verschiedenen Quellen (z. B. Überwachungskameras)
  • Synchronisation von Audio/Video zur Timeline-Rekonstruktion