Digitale Beweissicherung nach einem Cyber-Incident – So schützen Unternehmen ihre Daten und Beweise

Nach einem Cyberangriff ist eine professionelle und rechtlich sichere Beweissicherung entscheidend, um den Angriff zu untersuchen, Ursachen zu identifizieren und bei Bedarf die Verantwortlichen zur Rechenschaft zu ziehen. In Deutschland unterliegen digitale Beweise strengen Anforderungen, damit sie vor Gericht Bestand haben. Hier sind die wichtigsten Schritte und rechtlichen Rahmenbedingungen, die betroffene Unternehmen beachten sollten.

Sofortmaßnahmen nach einem Cyber-Incident

Um digitale Spuren sicherzustellen, müssen Unternehmen sofort nach Entdeckung eines Vorfalls bestimmte Maßnahmen ergreifen:

  • Zugang zum Tatort beschränken: Verhindern Sie, dass Unbefugte das System manipulieren und so potenzielle Beweise zerstören.
  • Incident Response Team informieren: Eine klare Kommunikationsstruktur, die das technische und rechtliche Team einbindet, ist entscheidend, um die notwendigen Schritte schnell einzuleiten.

Grundprinzipien der Beweissicherung

Digitale Beweise sind nur dann belastbar, wenn sie nach anerkannten forensischen Standards gesichert werden. Das bedeutet:

  • Integrität: Die Daten dürfen nicht verändert werden, sonst verlieren sie ihre Glaubwürdigkeit. Dies kann z. B. durch digitale Signaturen oder Hash-Werte erreicht werden.
  • Nachvollziehbarkeit: Eine lückenlose Dokumentation aller Schritte – vom Auffinden der Daten bis hin zur Analyse – ist Pflicht, um die sogenannte Chain of Custody sicherzustellen.

Die richtige Reihenfolge: Volatilität der Daten berücksichtigen

Bestimmte Daten, wie z. B. der Inhalt des Arbeitsspeichers, sind flüchtig und müssen daher zuerst gesichert werden. Diese Reihenfolge wird als „Order of Volatility“ bezeichnet und sieht vor, dass die vergänglichsten Daten zuerst erfasst werden, da sie durch einfache Systemzugriffe überschrieben oder gelöscht werden können.

Methoden der Datensicherung

Zur Sicherung digitaler Spuren gibt es zwei Ansätze:

  • Live-Sicherung: Während das System noch aktiv ist, werden flüchtige Daten wie laufende Prozesse oder Netzwerksessions gesichert. Diese Methode birgt das Risiko der Beweisverfälschung, ist jedoch bei bestimmten flüchtigen Daten unvermeidlich.
  • Post-Mortem-Sicherung: Das System wird abgeschaltet und ein bitweises Abbild (Image) der Festplatte wird erstellt. Dieses Abbild enthält alle Daten und ist daher für eine tiefgehende forensische Analyse unerlässlich.

Besonderheiten rund um Mitarbeiter

Besonderheiten bei der Verwertung digitaler Beweise aus Mitarbeiterüberwachungen im deutschen Recht hängen eng mit Datenschutzgesetzen und arbeitsrechtlichen Vorgaben zusammen. Überwachungen müssen stets verhältnismäßig sein und dürfen nur dann erfolgen, wenn sie zur Aufgabenerfüllung im Arbeitsverhältnis unbedingt notwendig sind. Dies wird besonders relevant im Zusammenhang mit dem §26 BDSG, der die Verarbeitung personenbezogener Daten der Mitarbeiter nur zur Erfüllung des Arbeitsverhältnisses zulässt und eine verhältnismäßige und transparente Vorgehensweise fordert.

Ein zentrales Thema ist das Beweisverwertungsverbot bei datenschutzwidrig erlangten Beweisen. Grundsätzlich sind durch Überwachungen gewonnene Beweismittel nicht verwertbar, wenn sie unrechtmäßig erhoben wurden, z. B. ohne berechtigten Anlass oder ohne Information der Betroffenen. So entschied das Bundesarbeitsgericht, dass verdeckte Überwachungen ohne konkrete Verdachtsmomente grundsätzlich unzulässig sind (z. B. in der Keylogger-Entscheidung). Jedoch können Videoaufzeichnungen zulässig sein, wenn sie z. B. Eigentumsdelikte verhindern sollen und verhältnismäßig eingesetzt werden.

Ein weiteres Beispiel ist die Entscheidung des Verwaltungsgerichts Hannover zur Amazon-Überwachung, in der Leistungsdaten nur für die Aufgabenverteilung genutzt und auf ein notwendiges Maß begrenzt wurden. Hier erkannte das Gericht Amazons Interesse als verhältnismäßig an, da die Überwachung die Lieferziele sicherstellen sollte und keine sensiblen Daten erhoben wurden. Diese Entscheidung ist jedoch noch nicht endgültig und zeigt, dass die Auslegung stark fallabhängig ist und sich an die BAG-Rechtsprechung und das BDSG anlehnen sollte.

Die Thematik ist keineswegs trivial – gute IT-Forensik wirft nicht nur technische, sondern eben auch rechtliche Fragen auf. Dabei muss man im Blick haben, dass einerseits die Beweisverwertung jedenfalls dann gesichert sein muss, wenn man den Schädiger wirklich ermitteln kann, was vor allem bei Innentätern eine Rolle spielen wird. Andererseits gibt es gerade im Umgang mit den eigenen Arbeitnehmern einige erhebliche Herausforderungen, da hier die Persönlichkeitsrechte der Mitarbeiter einen ganz besonderen Stellenwert haben.

Chain of Custody – Dokumentation der Beweiskette

Die „Chain of Custody“ (Beweiskette) beschreibt die lückenlose Nachverfolgbarkeit aller Schritte, die mit einem digitalen Beweis vorgenommen werden. Sie dient dazu, die Integrität und Authentizität von Beweismitteln zu gewährleisten und sicherzustellen, dass sie seit ihrer Sicherstellung nicht manipuliert wurden. In der Praxis bedeutet dies:

  • Lückenlose Dokumentation: Jeder Zugriff, jede Kopie und jeder Transfer eines Beweismittels wird protokolliert. Dadurch soll verhindert werden, dass Daten unautorisiert verändert oder gelöscht werden.
  • Authentizitätssicherung durch Hashes: Hash-Werte dienen als digitale Fingerabdrücke. Bei jedem Zugriff wird der Hash erneut erstellt und mit dem Originalwert verglichen, um Veränderungen sofort zu erkennen.
Wirtschaftsspionage

Die Notwendigkeit dieser Schritte ist besonders in Deutschland relevant, wo Gerichte Beweise nur zulassen, wenn deren Herkunft und Unverfälschtheit gewährleistet ist. Die Anforderungen an die Chain of Custody tragen dazu bei, die gerichtsfeste Verwertbarkeit der Beweise zu erhöhen, da im Falle einer lückenlosen Dokumentation keine Zweifel an der Authentizität des Beweises bestehen sollten. Ein zentraler Aspekt der IT-Forensik ist also letztlich die Dokumentation aller Handlungen. Dabei wird jede Interaktion mit den Beweisen in einem Protokoll festgehalten. Wichtig sind hier am Ende Angaben zu:

  • Wer hat die Daten gesichert?
  • Welche Tools wurden verwendet?
  • Wann und wo wurden die Beweise gesichert?

Rechtliche Anforderungen an digitale Beweise

Damit Beweise in einem deutschen Gerichtsverfahren Bestand haben, müssen sie gerichtsfest sein. Die deutschen Standards setzen voraus, dass alle Daten unverändert bleiben und die Beweiskette nachvollziehbar ist. Die Integrität der Daten muss durch Hash-Werte gesichert und überprüfbar sein. Die Beweise dürfen zudem nur von berechtigten und sachkundigen Personen gesichert werden.

Sensible Daten: Datenschutz und Compliance

Bei der Beweissicherung müssen Unternehmen auch den Datenschutz im Blick behalten. Da häufig personenbezogene Daten betroffen sind, müssen die Vorgaben der DSGVO berücksichtigt werden. Unternehmen sollten daher frühzeitig Datenschutzbeauftragte in den Prozess einbinden und sicherstellen, dass nur die nötigen Daten erhoben werden.

Gerichtsfeste Beweismittel im deutschen Zivilprozess

Im Zivilprozess gelten besondere Anforderungen, um digitale Beweise vor Gericht verwenden zu können. Zivilgerichte arbeiten nach dem Beibringungsgrundsatz, was bedeutet, dass Parteien selbst die für sie relevanten Beweismittel vorlegen müssen. Dabei ist die freie Beweiswürdigung des Richters maßgeblich, der alle vorgelegten Beweise auf ihre Schlüssigkeit und Glaubhaftigkeit prüft.

Wichtige Aspekte für die Gerichtsfestigkeit im Zivilprozess sind:

  • Authentizitätsnachweise durch qualifizierte elektronische Signaturen: Gemäß § 371a ZPO kann ein digitales Dokument durch eine qualifizierte elektronische Signatur die Beweiskraft einer privaten Urkunde erlangen. Das erhöht die Glaubhaftigkeit erheblich, da das Gericht von der Unverfälschtheit des Dokuments ausgehen darf.
  • Verwendung formeller Beweismittel: Digitale Beweise sollten möglichst als Urkunden, Sachverständigenbeweise oder Augenscheinsbeweise eingebracht werden. Für den Sachverständigenbeweis kann beispielsweise ein IT-Forensiker als Experte hinzugezogen werden, um technische Analysen vorzunehmen und deren Verlässlichkeit zu bestätigen.

Herausforderungen und Lösungsmöglichkeiten

Die Digitalisierung und die leichte Manipulierbarkeit digitaler Daten stellen Gerichte vor neue Herausforderungen. Screenshots, Chatverläufe oder E-Mails können leicht manipuliert werden und bedürfen daher besonderer Sicherungsmaßnahmen und technischer Analyse. Diese Aspekte werden oft noch unterschätzt, obwohl sich der technologische Fortschritt hier zunehmend auf die Beweiskraft digitaler Beweise auswirkt.

Um die gerichtliche Verwertbarkeit digitaler Beweise in Deutschland zu verbessern, wird daher empfohlen:

  • Einsatz manipulationssicherer Technologien: Qualifizierte elektronische Signaturen, Zeitstempel und Siegel gemäß der eIDAS-Verordnung sind erprobte Mittel, um die Authentizität digitaler Beweise zu sichern.
  • Schulungen und Sensibilisierung: Unternehmen sollten ihre Mitarbeitenden für die Bedeutung der Chain of Custody und die Anforderungen der IT-Forensik sensibilisieren. So lässt sich die Qualität und Verwertbarkeit von digitalen Beweisen sicherstellen.

Zusammenfassung

Digitale Beweismittel erfordern nach einem Cyber-Incident ein strukturiertes und dokumentiertes Vorgehen, um vor Gericht Bestand zu haben. Ein zentraler Bestandteil ist die „Chain of Custody“ sowie die gerichtliche Verwertbarkeit speziell im Zivilprozess, die beide mit spezifischen Anforderungen behaftet sind. Dass es dabei zwar einige Best-Practices aber eben keine verbindlichen gesetzlichen Standars gibt, macht es kaum dankbarer.

Unternehmen haben dabei die Aufgabe, das Vorgehen klar zwischen „Innentäter“ und „Außentäter“ getrennt aufzustellen, da die Beweiserhebung und Beweisverwertung bei eigenen Mitarbeitern eigenen Spielregeln unterliegt.

IT-Sicherheit und Arbeitsrecht – Worauf Arbeitgeber und Arbeitnehmer achten müssen

Also: Die Sicherung digitaler Beweise nach einem Cyber-Incident erfordert ein strukturiertes Vorgehen, technisches Wissen und die Einhaltung rechtlicher Rahmenbedingungen. Unternehmen sollten deshalb vorbereitet sein und geeignete Prozesse und Richtlinien bereits vor einem Vorfall definieren. Ein gut geschultes Incident Response Team und klare Verantwortlichkeiten sind der Schlüssel, um die Anforderungen der IT-Forensik zu erfüllen und so Beweise zu sichern, die auch vor Gericht Bestand haben.

Rechtsanwalt Jens Ferner (IT-Fachanwalt & Strafverteidiger)
Letzte Artikel von Rechtsanwalt Jens Ferner (IT-Fachanwalt & Strafverteidiger) (Alle anzeigen)

Veröffentlicht von

Rechtsanwalt Jens Ferner (IT-Fachanwalt & Strafverteidiger)

Rechtsanwalt, Fachanwalt für Strafrecht & IT-Recht mit einem Faible für Cybercrime, IT-Forensik, Cybersecurity und digitale Beweismittel. Hier bei LinkedIn zu finden!