Bei Informationssicherheitsvorfällen kann es erforderlich sein, Beweismaterial zu sichern, um Ursachen zu analysieren, Vorfälle aufzuklären oder rechtliche, regulatorische oder vertragliche Anforderungen zu erfüllen. Eine unsachgemäße Sammlung oder Behandlung von Beweismaterial kann dazu führen, dass Informationen verfälscht, unbrauchbar oder rechtlich nicht verwertbar werden. Dieses Control stellt sicher, dass Beweismaterial systematisch, nachvollziehbar und rechtskonform gesammelt und behandelt wird.
Zweck des Controls
A 5.28 soll gewährleisten, dass Beweismaterial im Zusammenhang mit Informationssicherheitsvorfällen ordnungsgemäß identifiziert, gesichert, aufbewahrt und dokumentiert wird. Ziel ist es, die Integrität und Verwertbarkeit von Beweismaterial sicherzustellen und gleichzeitig rechtliche, regulatorische und organisatorische Anforderungen zu erfüllen. Das Control unterstützt die effektive Vorfallbehandlung sowie mögliche rechtliche oder disziplinarische Maßnahmen.
Anforderungen und Maßnahmen
1. Festlegung von Verfahren zur Beweissicherung
Organisationen müssen klare Verfahren für das Sammeln von Beweismaterial definieren, insbesondere für:
digitale Beweise wie Logdateien, Systemabbilder oder Netzwerkdaten
physische Beweise wie Datenträger, Geräte oder Dokumente
Informationen aus Anwendungen, Cloud-Diensten oder Drittanbietersystemen
Kommunikationsdaten und Ereignisprotokolle
Die Verfahren müssen dokumentiert und nachvollziehbar sein.
2. Identifikation relevanten Beweismaterials
Im Ereignisfall muss festgestellt werden, welches Beweismaterial relevant ist:
Bestimmung der betroffenen Systeme, Informationen und Prozesse
Identifikation von Datenquellen mit potenzieller Beweisrelevanz
Abgrenzung zwischen erforderlichen und nicht erforderlichen Daten
Berücksichtigung datenschutzrechtlicher und rechtlicher Vorgaben
Dies verhindert unnötige Datenerhebung und Risiken.
3. Sicherung der Integrität von Beweismaterial
Die Integrität des Beweismaterials muss jederzeit gewährleistet sein:
Schutz vor Veränderung, Verlust oder Beschädigung
Nutzung geeigneter technischer Maßnahmen (z. B. Schreibschutz)
Vermeidung unnötiger Zugriffe oder Kopien
Dokumentation aller Handlungen am Beweismaterial
So bleibt das Beweismaterial vertrauenswürdig.
4. Dokumentation der Beweiskette
Die Sammlung und Handhabung von Beweismaterial muss vollständig dokumentiert werden:
Zeitpunkt und Ort der Sicherstellung
beteiligte Personen und Rollen
Art und Umfang des Beweismaterials
durchgeführte Maßnahmen und Übergaben
Eine lückenlose Beweiskette ist entscheidend für Nachvollziehbarkeit und Verwertbarkeit.
5. Zugriffsbeschränkung und Aufbewahrung
Beweismaterial darf nur einem begrenzten Personenkreis zugänglich sein:
Definition berechtigter Rollen
sichere Aufbewahrung physischer und digitaler Beweise
Schutz vor unbefugtem Zugriff
Einhaltung definierter Aufbewahrungsfristen
Dies reduziert Risiken von Manipulation oder Offenlegung.
6. Einbindung rechtlicher und fachlicher Expertise
Bei Bedarf müssen geeignete Fachstellen eingebunden werden:
Rechtsabteilung oder externe Rechtsberatung
Datenschutzbeauftragte
Forensik- oder IT-Sicherheitsexperten
Behörden oder Strafverfolgungsstellen
Dies stellt sicher, dass Beweismaterial korrekt und rechtskonform behandelt wird.
7. Berücksichtigung rechtlicher und regulatorischer Anforderungen
Beim Sammeln von Beweismaterial müssen relevante Vorgaben eingehalten werden:
Datenschutz- und Persönlichkeitsrechte
arbeitsrechtliche und strafrechtliche Anforderungen
branchenspezifische oder regulatorische Vorgaben
vertragliche Verpflichtungen
Die Einhaltung dieser Anforderungen muss dokumentiert sein.
8. Überprüfung und Verbesserung der Verfahren
Die Verfahren zur Beweissicherung müssen regelmäßig überprüft werden:
Bewertung der Wirksamkeit nach Vorfällen
Berücksichtigung von Lessons Learned
Anpassung an neue Technologien oder rechtliche Anforderungen
Integration in Schulungen und Übungen
So bleibt die Beweissicherung dauerhaft wirksam.
Zusammenfassung
A 5.28 fordert, dass Organisationen Beweismaterial im Zusammenhang mit Informationssicherheitsvorfällen systematisch und rechtskonform sammeln und behandeln. Durch klar definierte Verfahren, Sicherung der Integrität, vollständige Dokumentation der Beweiskette und Einbindung geeigneter Fachstellen wird sichergestellt, dass Beweismaterial verwertbar bleibt. Das Control ist ein wichtiger Bestandteil eines professionellen Incident- und Compliance-Managements sowie der kontinuierlichen Verbesserung des Informationssicherheitsmanagementsystems.
