Beweissicherung
Was ist Beweissicherung?
BeweissicherungForensische Disziplin, digitale Beweise vor Veränderung, Verlust oder Verunreinigung zu schützen, damit sie während der Ermittlungen verwertbar und verlässlich bleiben.
Die Beweissicherung stellt sicher, dass als potenziell relevant identifizierte Daten von der Erhebung bis zum Gerichtssaal ihren ursprünglichen Zustand behalten. Fachleute isolieren Quellen, stoppen zerstörerische Prozesse, setzen Log-Rotationen aus, verhängen Legal Holds und nutzen Write Blocker beim Imaging. Jeder Datenträger wird bei der Erfassung gehasht (MD5, SHA-256) und später erneut geprüft, während die Chain of Custody Bearbeiter, Orte und Zugriffe dokumentiert. Flüchtige Beweise wie RAM, ARP-Caches und aktive Verbindungen werden zuerst erfasst, da sie beim Abschalten verloren gehen. NIST SP 800-86, ISO/IEC 27037 und die ACPO-Leitlinien kodifizieren diese Verfahren.
● Beispiele
- 01
Verhängen eines Legal Hold, um bei einer Insider-Untersuchung die Rotation von Postfach-Audit-Logs zu stoppen.
- 02
Erfassen des flüchtigen Speichers mit WinPmem, bevor ein vermutlich ransomware-infizierter Server heruntergefahren wird.
● Häufige Fragen
Was ist Beweissicherung?
Forensische Disziplin, digitale Beweise vor Veränderung, Verlust oder Verunreinigung zu schützen, damit sie während der Ermittlungen verwertbar und verlässlich bleiben. Es gehört zur Kategorie Forensik und Incident Response der Cybersicherheit.
Was bedeutet Beweissicherung?
Forensische Disziplin, digitale Beweise vor Veränderung, Verlust oder Verunreinigung zu schützen, damit sie während der Ermittlungen verwertbar und verlässlich bleiben.
Wie schützt man sich gegen Beweissicherung?
Schutzmaßnahmen gegen Beweissicherung kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für Beweissicherung?
Übliche alternative Bezeichnungen: Beweismittelsicherung, Forensische Sicherung.