Richtlinie zur Beweiserhebung und Forensik

Die Richtlinie zur Beweiserhebung und Forensik (P31) etabliert ein strukturiertes, rechtlich belastbares Rahmenwerk zur Identifizierung, Erhebung, Sicherung, Analyse und Entsorgung digitaler Beweismittel bei tatsächlichen oder vermuteten Sicherheitsvorfällen. Zentrales Ziel ist die Sicherstellung forensischer Einsatzbereitschaft bei gleichzeitiger Wahrung der Integrität und Zulässigkeit von Beweismitteln für interne Untersuchungen, Gerichtsverfahren oder regulatorische Compliance. Der umfassende Geltungsbereich gilt für sämtliches Personal, Auftragnehmer, Lieferanten und Drittdienstleister, die an Systemadministration oder Untersuchungstätigkeiten beteiligt sind, und regelt Endpunkte, Server, Netzwerke, Cloud-Plattformen sowie jeden Vorfall, der eine Beweismittelhandhabung erfordert – einschließlich Insider-Bedrohungen, Missbrauch, Vorfällen in Operational-Technology-(OT)-Systemen und Verstößen gegen physisch-digitale Vermögenswerte. Wesentliche Ziele sind die schnelle und sichere Sicherung von Beweismitteln, die strenge Wahrung der Integrität von Beweismitteln sowie eine strikte Dokumentation einschließlich Chain of Custody, um sowohl rechtliche als auch regulatorische Verpflichtungen zu erfüllen. Forensische Aktivitäten sind eng mit der Vorfallsnachbereitung und Kontrollverbesserungen verknüpft und werden nahtlos in das Informationssicherheits-Managementsystem (ISMS) integriert. Verantwortlichkeiten für den Chief Information Security Officer (CISO), forensische Analysten, IT-Administratoren, Rechts- und Compliance-Beauftragte, Personalwesen und Audit-Funktionen sind festgelegt, um rechtliche Belastbarkeit und Transparenz in jeder Phase eines Vorfalls sicherzustellen. Die Richtlinie schreibt mehrere Governance-Anforderungen vor, einschließlich der Pflege eines formalen Forensic-Readiness-Programms. Dieses Programm definiert Auslösekriterien für die Beweiserhebung, Eskalationswege, für forensische Nutzung zugelassene Toolsets und betont die Dokumentations- und Berichtsstandards zur Steuerung aller Aktivitäten. Alle Aktivitäten zur Beweismittelhandhabung müssen international anerkannten forensischen Standards entsprechen, wie ISO/IEC 27035 für die Bewältigung von Sicherheitsvorfällen, NIST SP 800-86 für forensische Planung und NIST SP 800-101 Rev. 1 für Medienforensik. Die Richtlinie verlangt ein Forensic-Toolkit-Register und fordert, dass Beweismittel sicher erhoben, gekennzeichnet, mit Integritätsprüfungen gespeichert und dass alle Bewegungen in einem unterzeichneten Chain-of-Custody-Protokoll erfasst werden. Anforderungen an die Umsetzung der Richtlinie schreiben detaillierte Verfahren für die Beweiserhebung vor (unter Verwendung von Write-Blockern und validierten Tools), Systemisolation, Protokoll- und Metadatenerhebung (unter Sicherstellung der Zeitstempelung für konsistente Zeitlinien) sowie sichere, isolierte Umgebungen für die forensische Analyse. Datenschutzmaßnahmen erfordern eine strikte Ausrichtung an der DSGVO, wenn Beweismittel personenbezogene Daten betreffen, einschließlich Zugangskontrolle, Verschlüsselung und klarer Dokumentation der Erhebungsbegründung. Die Aufbewahrung von Beweismitteln wird durch rechtliche oder vertragliche Anforderungen geregelt; die sichere Entsorgung muss der Datenaufbewahrungsrichtlinie (P14) entsprechen. Risikobehandlung und Ausnahmeprozesse werden ebenfalls beschrieben, mit spezifischen Anforderungen an Dokumentation, Einreichung und Genehmigung von Ausnahmen – insbesondere dort, wo Beweismittel nicht gemäß Standardverfahren gehandhabt werden können. Compliance-Überwachung, regelmäßige Audits, die Integration der Richtlinie in Incident Response (P30) sowie Durchsetzung durch Disziplinarmaßnahmen oder rechtliche Schritte untermauern die Wirksamkeit der Richtlinie. Der Überprüfungsprozess ist jährlich sowie nach kritischen Vorfällen formalisiert. Die Richtlinie ist an internationalen Rahmenwerken ausgerichtet, darunter ISO/IEC 27001:2022, ISO/IEC 27002:2022, NIST SP 800-53 und 800-101, COBIT 2019, die EU-DSGVO, NIS2 und DORA.