Die Chain of Custody (Beweismittelkette) ist die lückenlose Dokumentation des Besitzverlaufs von Beweismitteln — von der Sicherung über die Aufbewahrung bis zur Vorlage vor Gericht oder in einem Audit. Jeder Besitzerwechsel wird protokolliert.
Im ISMS-Kontext fordert ISO 27001 Annex A Control A.5.28 (Sammlung von Beweismitteln) die Wahrung der Beweismittelintegrität. Eine intakte Chain of Custody stellt sicher, dass digitale Beweise (Logdateien, Festplattenimages, Speicherabbilder) vor Gericht oder in internen Untersuchungen als glaubwürdig gelten. Dazu gehören: forensische Kopien statt Originale, kryptographische Hashwerte zur Integritätsprüfung, Zugriffsprotokolle für Lagerorte und die Benennung verantwortlicher Personen für jeden Übergang. Ohne dokumentierte Chain of Custody können Beweise angefochten werden.