Zum Hauptinhalt springen
CENEDRIL WIKI
EN
Annex A · Organisatorische Kontrolle

A.5.28 — Sammlung von Beweismitteln

Aktualisiert am 3 Min. Geprüft von: Cenedril-Redaktion
A.5.28 ISO 27001ISO 27002BSI DER.2.2

Ein Mitarbeiter wird verdächtigt, Kundendaten an einen Wettbewerber weitergegeben zu haben. Die IT-Abteilung prüft den Laptop, findet verdächtige Dateien und löscht sie versehentlich beim Neuaufsetzen. Die Beweislage ist vernichtet, eine arbeitsrechtliche Konsequenz unmöglich. A.5.28 fordert Verfahren für die korrekte Identifizierung, Sammlung und Aufbewahrung von Beweismitteln bei Sicherheitsvorfällen.

Was verlangt die Norm?

  • Verfahren definieren. Die Organisation hat dokumentierte Verfahren für die Identifizierung, Sammlung, Sicherung und Aufbewahrung von Beweismitteln.
  • Integrität sicherstellen. Beweismittel werden so gesichert, dass ihre Unversehrtheit nachweisbar ist (Hash-Werte, Write-Blocker, forensische Images).
  • Chain of Custody dokumentieren. Lückenlose Dokumentation, wer wann auf das Beweismittel zugegriffen hat.
  • Rechtliche Anforderungen beachten. Die Verfahren entsprechen den rechtlichen Anforderungen der relevanten Rechtsordnungen, damit Beweise vor Gericht verwertbar sind.

In der Praxis

Beweissicherung vor Bereinigung. Goldene Regel: Erst sichern, dann bereinigen. Bevor ein kompromittiertes System neu aufgesetzt wird, wird ein forensisches Image erstellt (Bit-für-Bit-Kopie der Festplatte). RAM-Inhalte werden gesichert, wenn das System noch läuft.

Hash-Werte für Integrität. Erstelle sofort nach der Sicherung einen kryptographischen Hash (SHA-256) des Beweismittels. Der Hash beweist, dass das Beweismittel nach der Sicherung nicht verändert wurde. Dokumentiere den Hash im Chain-of-Custody-Protokoll.

Chain-of-Custody-Formular nutzen. Für jedes Beweismittel: Was wurde gesichert? Wann? Von wem? Wo wird es aufbewahrt? Wer hatte seitdem Zugriff? Das Formular begleitet das Beweismittel von der Sicherung bis zur Entsorgung.

Aufbewahrung sicher gestalten. Beweismittel werden verschlüsselt und an einem zugangsgeschützten Ort aufbewahrt. Physische Datenträger: verschlossener Tresor. Digitale Beweise: verschlüsselter, zugangsgeschützter Speicher mit Zugriffsprotokollierung.

Typische Audit-Nachweise

Auditoren erwarten bei A.5.28 typischerweise diese Nachweise:

  • Beweissicherungsverfahren — dokumentierte Prozesse für die forensische Sicherung
  • Chain-of-Custody-Formulare — ausgefüllte Formulare für tatsächliche Vorfälle
  • Forensisches Toolkit — Nachweis der Verfügbarkeit geeigneter Werkzeuge
  • Hash-Dokumentation — Integritätsnachweise für gesicherte Beweismittel
  • Schulungsnachweise — Nachweis, dass zuständiges Personal in Beweissicherung geschult ist

KPI

% der IS-Vorfälle mit ordnungsgemäß gesicherter und aufbewahrter Beweisdokumentation

Gemessen am Vorfallregister: Wie viele Vorfälle ab Schweregrad 2 haben eine dokumentierte Beweissicherung? Ziel: 100% für alle Vorfälle, bei denen rechtliche oder disziplinarische Konsequenzen möglich sind.

Ergänzende KPIs:

  • Anteil der Beweismittel mit vollständiger Chain of Custody
  • Verfügbarkeit des forensischen Toolkits (getestet und aktuell)
  • Anzahl des in Beweissicherung geschulten Personals

BSI IT-Grundschutz

A.5.28 mappt auf den BSI-Baustein zur forensischen Analyse:

  • DER.2.2 (Vorsorge für die IT-Forensik) — enthält Anforderungen an die Vorbereitung forensischer Untersuchungen: Toolkit, geschultes Personal, Verfahren, rechtliche Rahmenbedingungen.

Verwandte Kontrollen

A.5.28 unterstützt die Vorfallbehandlung mit Beweissicherung:

Quellen

Häufig gestellte Fragen

Was bedeutet Chain of Custody?

Die lückenlose Dokumentation, wer wann Zugriff auf ein Beweismittel hatte. Vom Zeitpunkt der Sicherung bis zur Vorlage vor Gericht muss nachvollziehbar sein, dass das Beweismittel nicht verändert wurde. Ohne Chain of Custody kann ein Gericht das Beweismittel als unzulässig ablehnen.

Brauche ich einen forensischen Dienstleister?

Für einfache Beweissicherung (Log-Export, Festplatten-Image) kannst du intern geschultes Personal einsetzen. Für komplexe forensische Analyse (Malware-Analyse, Angriffspfad-Rekonstruktion) empfiehlt sich ein spezialisierter Dienstleister. Schließe einen Rahmenvertrag ab, bevor du ihn brauchst.

Wie lange muss ich Beweismittel aufbewahren?

Bis die Angelegenheit vollständig abgeschlossen ist — inklusive möglicher Gerichtsverfahren, die Jahre dauern können. Bei arbeitsrechtlichen Vorfällen: mindestens bis zur Bestandskraft der Kündigung. Bei strafrechtlichen Vorfällen: in Abstimmung mit Strafverfolgungsbehörden. Im Zweifel: Rechtsberatung einbeziehen.