IT-Forensik: Spuren sichern, Vorfälle aufklären
2026-07-18 · von SECURITYSQUAD
Nach einem schweren Sicherheitsvorfall zählt jede Minute – und jede Entscheidung, die in dieser Minute getroffen wird. Wer vorschnell Systeme neu aufsetzt, zerstört oft genau die Spuren, die später über Aufklärung, Versicherungsleistung und Haftung entscheiden. IT-Forensik sorgt dafür, dass aus einem Vorfall belastbare Fakten werden statt Vermutungen.
Was ist IT-Forensik?
IT-Forensik – auch digitale Forensik genannt – ist die methodische Sicherung, Untersuchung und Auswertung digitaler Spuren mit dem Ziel, einen Vorfall nachvollziehbar zu rekonstruieren. Anders als reines Aufräumen nach einem Angriff geht es darum, belastbar zu beantworten, was passiert ist: Wie sind Angreifer eingedrungen? Welche Systeme und Daten waren betroffen? Wurden Daten abgezogen? Und seit wann?
Der entscheidende Unterschied liegt im Anspruch an das Ergebnis. Forensik arbeitet so, dass ihre Feststellungen auch außerhalb der eigenen IT Bestand haben – gegenüber Versicherern, Aufsichtsbehörden und, wenn nötig, vor Gericht. Der deutsche BSI-Leitfaden IT-Forensik hat sich hier als Referenz für ein methodisch sauberes Vorgehen etabliert. Zentral sind dabei zwei Grundsätze: die Integrität der Beweise bleibt jederzeit nachweisbar, und jeder Arbeitsschritt ist so dokumentiert, dass ein Dritter ihn nachvollziehen und im Zweifel wiederholen könnte.
Wann brauchen Sie IT-Forensik?
Forensik ist kein Standardbestandteil jedes IT-Tickets, aber in bestimmten Lagen unverzichtbar:
- Nach einem Ransomware-Angriff – um Einfallstor, Ausbreitungsweg und einen möglichen Datenabfluss zu klären, bevor Systeme wiederhergestellt werden.
- Bei Verdacht auf Datenabfluss – etwa wenn interne Dokumente auftauchen oder ungewöhnliche Datenbewegungen auffallen.
- Bei Insider-Sachverhalten – Missbrauch von Berechtigungen, Sabotage oder Datendiebstahl durch eigene Mitarbeitende.
- Bei jedem meldepflichtigen Vorfall – wenn Sie gegenüber Aufsicht, KRITIS-Regime oder DSGVO belastbar darlegen müssen, was geschehen ist.
Gerade für KRITIS-Betreiber und Einrichtungen im Gesundheitswesen ist die saubere Aufklärung nicht nur Selbstschutz, sondern Teil der regulatorischen Nachweispflicht.
Der forensische Ablauf
Ein forensisches Vorgehen folgt einer festen, dokumentierten Abfolge – nicht als Bürokratie, sondern weil jeder Schritt den Beweiswert des Ergebnisses trägt.
1. Identifikation
Zunächst wird bestimmt, welche Systeme betroffen sind und wo relevante Spuren liegen könnten: Server, Endgeräte, Log-Daten, Netzwerktelemetrie, Cloud-Dienste. Hier fällt auch die kritische Entscheidung, ob ein System vom Netz getrennt oder für flüchtige Beweise (etwa Arbeitsspeicher) zunächst laufen gelassen wird.
2. Gerichtsfeste Sicherung (Imaging)
Bevor analysiert wird, werden die Datenträger bitgenau kopiert – ein forensisches Image. Gearbeitet wird ausschließlich mit der Kopie, das Original bleibt unangetastet. Über kryptografische Prüfsummen (Hashwerte) lässt sich jederzeit belegen, dass die Kopie mit dem Original identisch und seither unverändert ist. Diese Integritätssicherung ist das Fundament jeder gerichtsfesten Auswertung.
3. Analyse
Auf der gesicherten Kopie werden die Spuren zusammengeführt und ausgewertet: Zeitlinien von Zugriffen, Schadsoftware, veränderte oder gelöschte Dateien, Anmeldevorgänge, Datenbewegungen. Einzelne Beobachtungen ergeben erst im Zusammenhang ein Bild – deshalb werden Quellen abgeglichen und Hypothesen an den Spuren geprüft, nicht umgekehrt. Ziel ist eine belastbare Rekonstruktion des Vorfalls – vom ersten Zugriff bis zur Wirkung.
4. Dokumentation und Reporting
Jeder Schritt wird protokolliert – wer wann was mit welchen Mitteln getan hat. Das Ergebnis ist ein nachvollziehbarer Bericht, der Feststellungen und Schlussfolgerungen sauber trennt und auch für Nicht-Techniker verständlich bleibt.
Chain of Custody und Beweiswert
Der Beweiswert digitaler Spuren steht und fällt mit der Chain of Custody – der lückenlosen Dokumentation, wer wann welches Beweismittel gefunden, gesichert, transportiert, aufbewahrt und untersucht hat. Kann diese Kette nicht durchgängig belegt werden, verlieren Feststellungen ihre Wirkung, egal wie sauber die technische Analyse war.
Das deutsche Recht kennt keine ausdrückliche Vorschrift zur Chain of Custody, doch Gerichte legen großen Wert auf ihre Einhaltung. Ebenso zählt sie gegenüber Cyber-Versicherern, die Leistungen an einen nachvollziehbaren Nachweis des Schadenshergangs knüpfen, und gegenüber Aufsichtsbehörden. Wer die Kette von Beginn an wahrt, hält sich alle Wege offen – auch den zur Strafverfolgung.
Zusammenspiel mit Incident Response und SOC
Forensik und Incident Response sind zwei Seiten derselben Medaille. Incident Response stoppt den Angriff, begrenzt den Schaden und stellt den Betrieb wieder her – oft unter hohem Zeitdruck. Forensik klärt im Anschluss oder parallel auf, was geschehen ist. Beide dürfen sich nicht in die Quere kommen: Eine übereilte Bereinigung kann Beweise vernichten, eine zu langsame Sicherung den Geschäftsbetrieb lähmen. Die Kunst liegt in der Abwägung.
Wertvolle Vorarbeit leistet ein Security Operations Center. Ein Managed SIEM wie unser GUARDIANVIEW sammelt und bewahrt kontinuierlich Telemetrie – Logs, Anmeldungen, Netzwerkereignisse. Genau diese Daten sind im Ernstfall die erste Spurenquelle. Wer sie erst nach dem Vorfall sucht, findet oft nichts mehr.
Typische Fehler im Ernstfall
Die schwersten Schäden für die spätere Aufklärung entstehen in den ersten Stunden:
- Betroffene Systeme neu aufsetzen oder zurücksetzen, bevor gesichert wurde.
- Auf dem Original weiterarbeiten statt auf einer forensischen Kopie.
- Logs überschreiben lassen, weil Aufbewahrungsfristen zu kurz gesetzt sind.
- Handeln ohne Protokoll – ohne festzuhalten, wer wann was getan hat.
Die wichtigste Sofortmaßnahme ist oft die einfachste: Ruhe bewahren, nichts verändern und früh die richtigen Fachleute einbinden.
Was SECURITYSQUAD leistet
SECURITYSQUAD bietet IT-Forensik als Leistung – eng gekoppelt an Incident Response. Wir sichern Spuren methodisch und gerichtsfest, rekonstruieren den Vorfall und dokumentieren nachvollziehbar für Versicherung, Aufsicht und, wenn nötig, Strafverfolgung. Weil wir mit GUARDIANVIEW zugleich Managed SIEM und SOC betreiben, greifen Erkennung, Reaktion und Aufklärung nahtlos ineinander. Als seit 2022 nach ISO 27001 und IT-Grundschutz (BSI) arbeitendes Unternehmen und Teilnehmer der Allianz für Cyber-Sicherheit legen wir Wert auf ein sauberes, standardorientiertes Vorgehen.
Weiterführend: GUARDIANVIEW – Managed SIEM · Ransomware-Schutz · Cyber-Risiko-Check · Kompetenz & Services