Zum Hauptinhalt springen
Informationssicherheit / NIS2

IT-Forensik

IT-Forensik ist die methodische, beweissichere Identifikation, Sicherung, Analyse und Dokumentation digitaler Spuren nach einem Sicherheitsvorfall, um Hergang, Umfang und Verursacher gerichtsfest nachvollziehen zu können.

IT-Forensik (auch digitale Forensik) bezeichnet die wissenschaftlich fundierte Untersuchung von IT-Systemen, Datenträgern, Netzwerken und Anwendungen mit dem Ziel, digitale Spuren eines Vorfalls so zu sichern und auszuwerten, dass die Ergebnisse vor Behörden und Gerichten Bestand haben. Anders als die reine technische Störungsbeseitigung folgt sie einem strengen Prozessmodell aus Identifikation, Sicherung (Akquise), Analyse und Dokumentation. Leitend sind dabei die Grundsätze der Integrität (die Beweise dürfen nicht verändert werden), der Authentizität (Herkunft und Echtheit sind belegbar) und der lückenlosen Beweiskette (Chain of Custody), die jeden Zugriff auf das Beweismaterial protokolliert.

Methodisch wird zwischen Post-mortem-Analyse (Auswertung abgeschalteter Systeme und forensischer Datenträger-Images) und Live-Forensik (Sicherung flüchtiger Daten wie Arbeitsspeicher, offener Netzwerkverbindungen oder laufender Prozesse) unterschieden. Zentrale Techniken sind die bitgenaue Erstellung von Images mit Hashwert-Verifikation (z. B. SHA-256), die Wiederherstellung gelöschter Dateien, die Auswertung von Log-Daten und Zeitstempeln (Timeline-Analyse) sowie die Untersuchung von Schadsoftware. In Deutschland orientiert sich die Praxis am BSI-Leitfaden "IT-Forensik" und am Standardmodell forensischer Untersuchungen; international ist die ISO/IEC 27037 für die Identifikation, Sicherung und Erhaltung digitaler Beweise maßgeblich.

Im Compliance-Kontext ist IT-Forensik eng mit dem Incident-Response-Prozess und gesetzlichen Meldepflichten verzahnt. Nach der NIS2-Richtlinie und dem deutschen Umsetzungsrecht müssen besonders wichtige und wichtige Einrichtungen Sicherheitsvorfälle innerhalb enger Fristen melden und Maßnahmen zur Bewältigung sowie Ursachenanalyse vorhalten; auch die DSGVO verlangt bei Datenschutzverletzungen eine dokumentierte Aufarbeitung. Eine forensisch saubere Sicherung schon zu Beginn eines Vorfalls entscheidet darüber, ob später Schadensersatzansprüche, Versicherungsfälle, arbeitsrechtliche oder strafrechtliche Verfahren belastbar geführt werden können. Forensische Bereitschaft (Forensic Readiness) sollte deshalb bereits vor dem Ernstfall organisatorisch und technisch verankert sein.

Rechtliche Grundlage

ISO/IEC 27037 (Identifikation, Sicherung und Erhaltung digitaler Beweise); BSI-Leitfaden IT-Forensik; Art. 21 und Art. 23 NIS2-Richtlinie (EU) 2022/2555 i. V. m. dem nationalen Umsetzungsrecht; Art. 33 DSGVO (Dokumentation von Datenschutzverletzungen)

Praxisbeispiel

Ein mittelständisches Unternehmen entdeckt nachts verschlüsselte Dateifreigaben und eine Lösegeldforderung. Statt die betroffenen Server sofort neu aufzusetzen, isoliert das Incident-Response-Team die Systeme vom Netz, sichert den Arbeitsspeicher der noch laufenden Maschinen und erstellt bitgenaue Images der Datenträger mit anschließender Hashwert-Prüfung. Anhand der Timeline-Analyse der Logs rekonstruiert die IT-Forensik den Erstzugang über eine kompromittierte VPN-Anmeldung, identifiziert die laterale Ausbreitung und das Datenabflussvolumen. Diese beweissichere Dokumentation dient zugleich der fristgerechten NIS2-Meldung, der DSGVO-Bewertung des Datenabflusses und als Grundlage für die Cyberversicherung und mögliche strafrechtliche Ermittlungen.

Häufige Fragen

Incident Response umfasst den gesamten Prozess der Vorfallsbewältigung, einschließlich Eindämmung und Wiederherstellung des Betriebs. IT-Forensik ist der spezialisierte Teilbereich, der digitale Spuren beweissicher sichert und analysiert, um Hergang und Verursacher gerichtsfest zu klären. Beide greifen ineinander, verfolgen aber unterschiedliche Primärziele.
Beim Neuaufsetzen oder Neustart gehen flüchtige Daten wie Arbeitsspeicher, laufende Prozesse und offene Verbindungen unwiederbringlich verloren, und gelöschte Spuren werden überschrieben. Damit fehlt die Grundlage für eine beweissichere Analyse, Meldepflichten und spätere rechtliche oder versicherungsrelevante Verfahren. Zuerst sichern, dann bereinigen lautet die Regel.
Forensic Readiness beschreibt die vorausschauende organisatorische und technische Vorbereitung, damit im Ernstfall sofort beweissicher gesichert werden kann. Dazu gehören ausreichende Protokollierung mit zentraler und manipulationssicherer Speicherung, definierte Zuständigkeiten, vorbereitete Werkzeuge und klare Eskalationswege. Sie verkürzt die Reaktionszeit und erhöht die Verwertbarkeit der Beweise erheblich.

So unterstützt preeco Sie

Erfahren Sie, wie unsere Software Sie bei diesem Thema unterstützt.

Mehr erfahren

Verwandte Begriffe

Incident-Response Sicherheitsvorfall (Security Incident) Computer Security Incident Response Team Protokollierung und Monitoring Ransomware
Zurück zum Glossar