Sicherheitsvorfälle Beweissicherung: Wie Forensic Readiness dabei unterstützt

Anbieter zum Thema

CADFEM Germany GmbH

FIS Informationssysteme und Consulting GmbH

d.velop AG

Cyberresilienz schützt nicht vor jedem Hackerangriff. Entscheidend für schnelle Handlungsfähigkeit ist die Fähigkeit, belastbare Beweise systematisch zu sichern. Wie Unternehmen durch eine systematische Beweissicherung nach Sicherheitsvorfällen wieder schnell handlungsfähig werden.

In vielen Unternehmen steigt die Sensibilität gegenüber Hackerangriffen. Dennoch liegen Selbsteinschätzung und Realität bei Sicherheitsvorkehrungen wie der Beweissicherung weit auseinander, wie der Lagebericht IT-Sicherheit 2025 des BSI verdeutlicht. Laut einer TÜV-Studie bewerten rund 90 Prozent der KMU ihre Cybersicherheit als „sehr gut/ eher gut“, eine statistische Auswertung des BSI zeigt jedoch, dass nur knapp 56 Prozent der Unternehmen gerade einmal die Grundanforderungen erfüllen. Das hat Folgen: Im Jahr 2024 verzeichnete das Bundeskriminalamt im Bundeslagebild Cybercrime 333.268 gemeldete Straftaten. Dabei entstanden Schäden in Höhe von 178,6 Milliarden Euro. 

Ein zumeist unbeachteter Aspekt im Bereich der Absicherung digitaler Infrastrukturen ist die Forensic Readiness. Der Begriff beschreibt Leitlinien, die Unternehmen im Falle eines Angriffs darin unterstützen, digitale Beweise effektiv und rechtssicher zu speichern. Denn selbst die beste Strategie zur Cyberresilienz garantiert keinen hundertprozentigen Schutz.

Parallel öffnet die rasante technologische Entwicklung fortwährend neue Einfallstore für Angreifer. Grob lässt sich die Strategie der Forensic Readiness auf drei Schwerpunktbereiche runterbrechen: Organisation, Personal und Technologie. Dieser Beitrag beleuchtet, welche Maßnahmen zu implementieren sind, um Beweise rechtssicher zu verwahren und so eine schnelle Wiederaufnahme des Geschäftsbetriebs nach einem Incident zu gewährleisten.

Speicherorte für die Beweissicherung identifizieren

An erster Stelle stehen die Entwicklung und Umsetzung von Richtlinien zur Beweissicherung mit besonderem Augenmerk auf unternehmerische Ziele und rechtliche Anforderungen. Als Grundlage dient ein Notfallplan. In ihm halten Verantwortliche detaillierte Schritte zur Erkennung, Eindämmung und Analyse eines Vorfalls fest. Eine Analyse des Ist-Zustandes zeigt potenzielle Schwachstellen und daraus resultierenden Bedrohungsszenarien auf. Für diese legen Entscheider Handlungsmaxime fest und verteilen Zuständigkeiten. Im Nachgang erleichtert präzise Dokumentation die Aufarbeitung und kristallisiert Optimierungspotenzial heraus.

Klare Aussagen zu möglichen Quellen von digitalen Beweisen wie Netzwerklogs, E-Mail-Archivierung und genutzte Cloud-Services ermöglichen IT-Verantwortlichen eine erfolgreiche Speicherung von Beweismitteln. Jegliche genutzte Hardware wie Diensthandys, Laptops und Speicherkarten tragen Zuständige in eine Liste ein; damit gewinnen sie schnell Übersicht, welche Hardware betroffen sein könnte. Backups ermöglichen Wiederherstellung wichtiger Informationen.

Kontrolle über IT-forensische Nachforschungen

In virtuellen Arbeitsumgebungen gelten andere Regeln. Lagern die Daten eines Unternehmens vorwiegend auf externen Servern und werden über eine Cloud genutzt, fällt Beweismittelsicherung schwerer. Unterschieden wird hier zwischen Infrastructure as a Service (IaaS) und Software as a Service (SaaS). Bei IaaS stellen Anbieter die benötigte Hardware für Server, Speicher und Netzwerke zur Verfügung. Das verleiht Besitzern mehr Kontrolle über IT-forensische Nachforschungen. Im SaaS-Bereich limitieren Dienstleister häufig den Zugriff auf virtuelle Maschinen und Datenbanken. Das schränkt die Beweissicherung ein. Ähnliche Hürden entstehen durch verschiedene Zuständigkeitsbereiche über Landesgrenzen hinweg.

Zusätzlich hemmt die flüchtige Natur der Speicherung die IT-forensische Arbeit. Im Hinblick darauf fordern Container-Umgebungen heraus: Informationen zu Vorgängen werden, je nach Konfiguration, oftmals nur für wenige Minuten oder Stunden festgehalten und verschwinden dann im Nirvana. Wissen hinzugezogene Experten von Anfang an, welche Daten wo sicherzustellen sind, können sie nach zeitlicher Sensibilität priorisieren.