Elementare Gefährdung · BSI IT-Grundschutz

G 0.37 — Abstreiten von Handlungen

Aktualisiert am 17. April 2026 4 Min. Geprüft von: Cenedril-Redaktion

A.5.3A.5.15A.5.16A.5.17A.5.18A.5.24A.5.25A.5.28A.5.29A.5.37A.6.2A.6.4A.6.6A.6.7A.7.1A.7.4A.7.7A.7.9A.7.11A.7.12A.8.1A.8.2A.8.3A.8.4A.8.5A.8.7A.8.9A.8.14A.8.15A.8.16A.8.17A.8.18A.8.20A.8.21A.8.22A.8.23A.8.31 BSI IT-GrundschutzISO 27001ISO 27002

Ein dringend benötigtes Ersatzteil wird elektronisch bestellt. Nach einer Woche reklamiert der Einkauf das Ausbleiben der Lieferung — inzwischen sind durch den Produktionsstillstand hohe Kosten entstanden. Der Lieferant bestreitet, jemals eine Bestellung erhalten zu haben. Ohne Empfangsbestätigung oder digitale Signatur steht Aussage gegen Aussage.

Das Abstreiten von Handlungen (G 0.37) betrifft ein Schutzziel, das oft hinter Vertraulichkeit, Integrität und Verfügbarkeit zurücksteht: die Verbindlichkeit. Im englischen Sprachraum heißt das Prinzip Non-Repudiation — die Nichtabstreitbarkeit von Handlungen.

Was steckt dahinter?

Personen können aus unterschiedlichen Gründen abstreiten, bestimmte Handlungen begangen zu haben — weil die Handlungen gegen Anweisungen verstoßen, weil Fehler vertuscht werden sollen oder weil bewusst vertragliche Pflichten geleugnet werden. Ohne technische und organisatorische Mechanismen zur Sicherstellung der Nichtabstreitbarkeit gibt es keinen belastbaren Nachweis.

Formen der Abstreitbarkeit

Abstreiten des Nachrichtenversands (Repudiation of Origin) — Eine Person leugnet, eine Bestellung, Anweisung oder Freigabe gesendet zu haben.
Abstreiten des Nachrichtenempfangs (Repudiation of Receipt) — Eine Person behauptet, eine Rechnung, Mahnung oder Benachrichtigung nie erhalten zu haben.
Abstreiten einer Systemhandlung — Eine Person leugnet, eine bestimmte Transaktion ausgeführt, ein Dokument geändert oder eine Konfiguration vorgenommen zu haben.

Schadensausmass

Die Folgen betreffen vor allem geschäftliche und rechtliche Beziehungen. Wenn eine Bestellung nicht nachweisbar ist, können Lieferanten Lieferungen verweigern oder verzögern. Wenn eine Freigabe nicht belegbar ist, stockt der Genehmigungsprozess. Bei finanziellen Transaktionen kann das Abstreiten zu Vermögensschäden führen. In Rechtsstreitigkeiten hängt der Ausgang oft davon ab, ob eine Handlung einer bestimmten Person nachweisbar zugeordnet werden kann.

Praxisbeispiele

Bestellung ohne Empfangsbestätigung. Ein Unternehmen bestellt elektronisch ein Bauteil bei einem Zulieferer. Die Bestellung erfolgt per E-Mail ohne digitale Signatur und ohne Empfangsbestätigung. Als die Lieferung ausbleibt, bestreitet der Zulieferer den Eingang der Bestellung. Der Produktionsstillstand verursacht Kosten, die auf keiner Seite vertraglich abgesichert sind.

Stornierte Freigabe in einem Genehmigungsworkflow. In einem Beschaffungssystem gibt ein Abteilungsleiter eine Investition frei. Als die Kosten die geplante Höhe überschreiten, behauptet er, die Freigabe nie erteilt zu haben. Da das System keine digitale Signatur, sondern nur ein einfaches Benutzer-Login als Nachweis speichert, lässt sich die Handlung nicht zweifelsfrei seiner Person zuordnen — das Login könnte von einem Kollegen mit Kenntnis des Passworts durchgeführt worden sein.

Manipulierter Audit-Trail. Ein Systemadministrator nimmt eine unerlaubte Konfigurationsänderung vor und löscht anschließend die betreffenden Einträge aus dem lokalen Protokoll. Da die Protokolle nur lokal gespeichert werden und der Administrator Schreibrechte auf die Log-Dateien hat, kann seine Handlung nicht nachgewiesen werden.

Relevante Kontrollen

Die folgenden ISO-27001-Kontrollen wirken dieser Gefährdung entgegen. (Die vollständige Liste der 37 zugeordneten Kontrollen findest du unten im Abschnitt „Abdeckende ISO-27001-Kontrollen”.)

Prävention:

A.8.15 — Protokollierung: Zentrale, manipulationssichere Protokollierung aller sicherheitsrelevanten Handlungen.
A.5.37 — Dokumentierte Betriebsverfahren: Klare Prozesse für Freigaben, Genehmigungen und Transaktionen mit nachvollziehbarem Audit-Trail.
A.8.17 — Uhrensynchronisation: Synchronisierte Zeitstempel ermöglichen die eindeutige zeitliche Zuordnung von Handlungen.
A.5.3 — Aufgabentrennung: Funktionstrennung verhindert, dass eine Person Handlungen durchführen und deren Protokollierung manipulieren kann.

Erkennung:

A.8.16 — Überwachungsaktivitäten: Monitoring erkennt Löschung oder Manipulation von Protokolldaten.
A.7.4 — Physische Sicherheitsüberwachung: Videoüberwachung als ergänzender Nachweis für physische Handlungen.

Reaktion:

A.5.24 — Planung der Informationssicherheitsvorfallreaktion: Forensische Sicherung von Beweismitteln bei Verdacht auf abgestrittene Handlungen.
A.6.4 — Maßregelungsverfahren: Konsequenzen bei nachgewiesenem Abstreiten sicherheitsrelevanter Handlungen.

BSI IT-Grundschutz

G 0.37 verknüpft der BSI-Grundschutzkatalog mit den folgenden Bausteinen:

OPS.1.1.5 (Protokollierung) — Anforderungen an lückenlose, manipulationssichere Protokollierung.
OPS.1.1.2 (Ordnungsgemäße IT-Administration) — Nachvollziehbarkeit administrativer Handlungen.
DER.1 (Detektion von sicherheitsrelevanten Ereignissen) — Erkennung von Manipulationsversuchen an Protokolldaten.
ORP.4 (Identitäts- und Berechtigungsmanagement) — Personalisierte Konten als Grundlage für die Zuordnung von Handlungen.

Quellen

BSI: Die Lage der IT-Sicherheit in Deutschland — Jahreslagebericht mit Bezug zu Nachweispflichten und Protokollierung
BSI IT-Grundschutz: Elementare Gefährdungen, G 0.37 — Originalbeschreibung der elementaren Gefährdung
ISO/IEC 27002:2022 Abschnitt 8.15 — Umsetzungshinweise zur Protokollierung

Abdeckende ISO-27001-Kontrollen

A.5.3 Aufgabentrennung A.5.15 Zugriffskontrolle A.5.16 Identitätsmanagement A.5.17 Authentifizierungsinformationen A.5.18 Zugriffsrechte A.5.24 Planung des Vorfallmanagements A.5.25 Bewertung von Sicherheitsereignissen A.5.28 Sammlung von Beweismitteln A.5.29 Informationssicherheit bei Störungen A.5.37 Dokumentierte Betriebsverfahren A.6.2 Beschäftigungsbedingungen A.6.4 Disziplinarverfahren A.6.6 Vertraulichkeitsvereinbarungen A.6.7 Telearbeit A.7.1 Physische Sicherheitsbereiche A.7.4 Physische Sicherheitsüberwachung A.7.7 Aufgeräumter Schreibtisch und Bildschirm A.7.9 Sicherheit von Werten außerhalb der Räumlichkeiten A.7.11 Unterstützende Versorgungseinrichtungen A.7.12 Sicherheit der Verkabelung A.8.1 Benutzerendgeräte A.8.2 Privilegierte Zugriffsrechte A.8.3 Einschränkung des Informationszugangs A.8.4 Zugang zu Quellcode A.8.5 Sichere Authentifizierung A.8.7 Schutz gegen Schadsoftware A.8.9 Konfigurationsmanagement A.8.14 Redundanz von informationsverarbeitenden Einrichtungen A.8.15 Protokollierung A.8.16 Überwachung von Aktivitäten A.8.17 Uhrensynchronisation A.8.18 Nutzung privilegierter Hilfsprogramme A.8.20 Netzwerksicherheit A.8.21 Sicherheit von Netzwerkdiensten A.8.22 Trennung von Netzwerken A.8.23 Webfilterung A.8.31 Trennung von Entwicklungs-, Test- und Produktionsumgebungen

Häufig gestellte Fragen

Was bedeutet Non-Repudiation (Nichtabstreitbarkeit)?

Non-Repudiation bedeutet, dass eine Person eine durchgeführte Handlung nachträglich nicht leugnen kann. In der Informationssicherheit umfasst das den Nachweis, wer welche Aktion wann durchgeführt hat — etwa eine Transaktion ausgelöst, eine Nachricht gesendet oder ein Dokument geändert hat. Technische Mittel dafür sind Protokollierung, digitale Signaturen und Zeitstempel.

Warum ist Verbindlichkeit ein Schutzziel?

Die drei klassischen Schutzziele (Vertraulichkeit, Integrität, Verfügbarkeit) decken nicht alle Sicherheitsbedürfnisse ab. Verbindlichkeit stellt sicher, dass Handlungen nachweisbar einer bestimmten Person zugeordnet werden können. In Geschäftsbeziehungen, bei finanziellen Transaktionen und in rechtlichen Kontexten ist diese Nachweisbarkeit essentiell.

Reicht ein Zeitstempel im E-Mail-Header als Nachweis?

E-Mail-Header lassen sich trivial fälschen und sind als alleiniger Nachweis ungeeignet. Für rechtlich belastbare Nachweise brauchst du kryptographische Verfahren: qualifizierte elektronische Signaturen (nach eIDAS), qualifizierte Zeitstempel oder eine revisionssichere Archivierung mit Integritätsschutz.