Digitale Forensik für Unternehmen – Vorgehen bei IT-Vorfällen

Inhalt in Kürze

• Digitale Forensik sichert nach IT-Vorfällen Beweise gerichtsfest und rekonstruiert den Tathergang – unverzichtbar für Unternehmen mit Meldepflichten nach DSGVO und NIS2.
• Sechs Phasen bilden den Ablauf: von der Identifikation über Beweissicherung und Analyse bis zum Abschlussbericht.
• Professionelle Tools wie EnCase, Autopsy oder Volatility unterscheiden sich in Kosten und Einsatzgebiet – ein Mix aus Open Source und kommerziell ist oft die beste Lösung.
• Frühzeitige Vorbereitung (Logging, Incident-Response-Plan, Retainer-Vertrag) entscheidet darüber, ob im Ernstfall verwertbare Beweise vorliegen.

---

Montagmorgen, 7:14 Uhr. Ihr IT-Leiter ruft an: Mehrere Server verhalten sich auffällig, es gibt unerklärliche Datenabflüsse. Wurde Ihr Unternehmen gehackt? Wer war es? Welche Daten sind betroffen? Und vor allem: Wie sichern Sie jetzt Beweise, ohne sie zu zerstören?

Genau hier beginnt digitale Forensik. Dieser Artikel erklärt, wie eine forensische Untersuchung abläuft, welche Tools zum Einsatz kommen und wann Sie einen externen Experten hinzuziehen sollten.

Was ist digitale Forensik?

Digitale Forensik – auch IT-Forensik oder Computerforensik – bezeichnet die methodische Untersuchung von IT-Systemen zur Aufklärung von Sicherheitsvorfällen. Das Ziel: digitale Spuren sichern, analysieren und so aufbereiten, dass sie als Beweismittel vor Gericht oder gegenüber Behörden Bestand haben.

Der entscheidende Unterschied zu Incident Response: Während Incident Response darauf abzielt, einen laufenden Angriff zu stoppen und den Normalbetrieb wiederherzustellen, konzentriert sich die Forensik auf die lückenlose Dokumentation und Beweissicherung. In der Praxis greifen beide Disziplinen ineinander – doch wer bei der Vorfallreaktion forensische Grundsätze missachtet, zerstört unter Umständen genau die Beweise, die für eine Meldung an die Aufsichtsbehörde oder ein Strafverfahren benötigt werden.

Das BSI beschreibt IT-Forensik als eine „methodisch vorgenommene Datenanalyse auf Datenträgern und Computernetzen zur Aufklärung von Vorfällen" und stellt mit dem Leitfaden IT-Forensik ein umfassendes Grundlagenwerk bereit.

Die 6 Phasen einer forensischen Untersuchung

Jede seriöse forensische Untersuchung folgt einem strukturierten Ablauf. Diese sechs Phasen haben sich als Standard etabliert:

1. Identifikation: Welche Systeme, Datenträger und Netzwerksegmente sind betroffen? In dieser Phase grenzen Sie den Umfang ein und identifizieren alle relevanten Beweisquellen – Server, Laptops, Smartphones, Cloud-Dienste, Log-Dateien.
2. Sicherung (Preservation): Die Originaldaten dürfen nicht verändert werden. Forensiker erstellen bitgenaue Kopien (Images) der betroffenen Datenträger und setzen Hardware-Write-Blocker ein. Jedes Image erhält einen kryptographischen Hash (SHA-256) zur Integritätsprüfung.
3. Datensammlung (Collection): Neben den gesicherten Images werden flüchtige Daten erfasst: RAM-Inhalte, aktive Netzwerkverbindungen, laufende Prozesse. Diese Daten gehen beim Ausschalten des Systems unwiderruflich verloren – Geschwindigkeit ist hier entscheidend.
4. Analyse: Die gesicherten Daten werden systematisch ausgewertet: Timeline-Analyse, Keyword-Suche, Dateiwiederherstellung, Malware-Analyse, Log-Korrelation. Hier entsteht das Bild dessen, was tatsächlich passiert ist.
5. Dokumentation: Jeder einzelne Schritt wird lückenlos protokolliert – welche Tools wurden eingesetzt, welche Parameter, welche Ergebnisse. Die sogenannte Chain of Custody (Beweiskette) muss lückenlos sein, damit Beweise vor Gericht verwertbar bleiben.
6. Berichterstattung: Der Abschlussbericht fasst Methoden, Ergebnisse und Schlussfolgerungen zusammen. Er richtet sich an Geschäftsführung, Rechtsabteilung oder Aufsichtsbehörden und muss auch für Nicht-Techniker verständlich sein.

Forensik-Tools im Überblick

Die Wahl der richtigen Werkzeuge hängt vom Einsatzgebiet und Budget ab. In der Praxis setzen die meisten Teams auf einen Mix aus Open-Source- und kommerziellen Lösungen.

Tool	Kategorie	Lizenz	Einsatzgebiet
EnCase Forensic	Komplettlösung	Kommerziell	Beweissicherung, Analyse, Reporting – Goldstandard bei Behörden
FTK (Forensic Toolkit)	Disk-Analyse	Kommerziell	Datenträger-Analyse, Keyword-Suche, Entschlüsselung
Autopsy / Sleuth Kit	Dateianalyse	Open Source	Dateisystem-Analyse, Timeline, Datenwiederherstellung
Volatility	RAM-Analyse	Open Source	Analyse von Arbeitsspeicher-Dumps, Malware-Erkennung
Cellebrite UFED	Mobile Forensik	Kommerziell	Smartphone-Extraktion, App-Daten, Cloud-Zugriff
Wireshark	Netzwerkforensik	Open Source	Paketanalyse, Protokolluntersuchung
Ghidra	Malware-Analyse	Open Source (NSA)	Reverse Engineering, Codeanalyse

Für KMU, die keine eigene Forensik-Abteilung aufbauen, ist die Kombination aus grundlegenden Open-Source-Tools und einem Retainer-Vertrag mit einem Incident-Response-Dienstleister oft die wirtschaftlichste Lösung. EnCase und Cellebrite sind leistungsstark, aber die Lizenzen liegen schnell im fünfstelligen Bereich.

Aus der Praxis: Wenn der Angriff vom Geschäftspartner kommt

Digitale Forensik ist keine Theorie. In der Beratungspraxis zeigt sich immer wieder, wie wichtig schnelles und methodisches Handeln ist – auch bei scheinbar harmlosen Vorfällen.

Dieser Fall zeigt ein typisches Szenario: Der Geschäftspartner war gehackt worden, der Angreifer nutzte dessen echtes E-Mail-Konto. Ohne forensische Analyse wäre der Angriffsweg nie aufgeklärt worden. Die Untersuchung der E-Mail-Header, Login-Protokolle und Netzwerk-Logs brachte den tatsächlichen Ursprung ans Licht – und ermöglichte eine fristgerechte Meldung nach Art. 33 DSGVO.

Wann brauchen Sie einen Forensik-Experten?

Nicht jeder IT-Vorfall erfordert eine vollständige forensische Untersuchung. Aber in bestimmten Situationen sollten Sie nicht zögern, einen Spezialisten einzuschalten:

• Ransomware-Angriff: Daten sind verschlüsselt, Sie müssen den Angriffsweg rekonstruieren und den Schaden bewerten.
• Verdacht auf Datenabfluss: Personenbezogene Daten oder Geschäftsgeheimnisse könnten entwendet worden sein – eine Meldepflicht nach DSGVO steht im Raum.
• Insider-Bedrohung: Ein Mitarbeiter hat möglicherweise Daten mitgenommen oder Systeme sabotiert. Hier brauchen Sie gerichtsfeste Beweise.
• Ungewöhnliche Systemaktivitäten: Unerklärliche Login-Versuche, unbekannte Prozesse oder auffälliger Netzwerkverkehr deuten auf eine Kompromittierung hin.
• Behördliche Anforderung: Die Aufsichtsbehörde oder Strafverfolgung verlangt einen forensischen Bericht – etwa im Rahmen einer NIS2-Meldung.
• Vor Gericht verwertbare Beweise: Sobald ein Rechtsstreit absehbar ist, muss die Chain of Custody von Anfang an stehen. Nachträgliche Sicherung ist oft wertlos.

Als Faustregel gilt: Wenn Sie sich fragen, ob Sie einen Forensiker brauchen, brauchen Sie wahrscheinlich einen. Die Kosten einer professionellen Erstanalyse (3.000 bis 8.000 Euro) stehen in keinem Verhältnis zu den Folgen einer verpfuschten Beweissicherung.

Fazit

Ein Cyberangriff ist kein Wenn, sondern ein Wann. Digitale Forensik gibt Ihrem Unternehmen die Möglichkeit, nach einem Vorfall handlungsfähig zu bleiben: Beweise sichern, Meldepflichten erfüllen, Angreifer identifizieren und Schwachstellen schließen. Die Investition in forensische Bereitschaft zahlt sich im Ernstfall um ein Vielfaches aus.

Häufig gestellte Fragen (FAQ)

Was ist digitale Forensik?

Die systematische Untersuchung von IT-Systemen nach Sicherheitsvorfällen – mit dem Ziel, Beweise gerichtsfest zu sichern und den Tathergang zu rekonstruieren. Anders als bei der reinen Vorfallreaktion steht hier die lückenlose Dokumentation im Vordergrund, damit Ergebnisse vor Gericht oder gegenüber Aufsichtsbehörden Bestand haben.

Wann braucht ein Unternehmen digitale Forensik?

Bei Verdacht auf Cyberangriffe, Datenpannen, Insider-Bedrohungen oder wenn Beweise für rechtliche Verfahren gesichert werden müssen. Auch bei NIS2-Meldepflichten ist eine forensische Ursachenanalyse oft Voraussetzung für den vorgeschriebenen Abschlussbericht.

Was kostet eine forensische Untersuchung?

Je nach Umfang zwischen 5.000 und 50.000 Euro. Eine schnelle Erstanalyse liegt bei ca. 3.000 bis 8.000 Euro. Die Kosten hängen von der Anzahl betroffener Systeme, der Datenmenge und der Komplexität des Vorfalls ab.

Darf man nach einem Cyberangriff selbst Beweise sichern?

Grundsätzlich ja, aber unsachgemäßes Vorgehen kann Beweise zerstören. Schon das Hochfahren eines Rechners verändert Zeitstempel und Dateien. Im Zweifelsfall: Systeme nicht verändern, Netzwerkstecker ziehen (nicht herunterfahren) und sofort einen Forensik-Experten einschalten.

Welche Tools werden in der digitalen Forensik eingesetzt?

Gängige Tools sind EnCase (Komplettlösung), FTK (Disk-Analyse), Autopsy (Open-Source-Alternative), Volatility (RAM-Analyse) und Cellebrite (Mobilgeräte). Die meisten professionellen Teams arbeiten mit einem Mix aus Open-Source- und kommerziellen Werkzeugen.