ISO 27002 - Kapitel 5.28 Sammlung von Beweismitteln
Im Abschnitt 5.28 Sammlung von Beweismitteln geht die ISO 27002 auf die Gefahr ein, dass Beweise aus Versehen oder mit Vorsatz vernichtet werden, bevor das Ausmaß des Vorfalls bekannt wird. Allerdings ist eine ordnungsgemäße Handhabung des Beweismaterials insbesondere für Disziplinar- und Gerichtsverfahren besonders wichtig. Im Folgenden werden einige Beispiele für Maßnahmen vorgestellt, die Organisationen zur Umsetzung dieses Kapitels ergreifen können.
Maßnahmen zur Sammlung von Beweismitteln
Festlegung einer Richtlinie zur Beweissicherung
Organisationen sollten eine Richtlinie zur Beweissicherung entwickeln, die klare Anweisungen und Verfahren für die zuverlässige Identifizierung, Sammlung, Aufbewahrung und den Schutz von Beweismitteln enthält. Die Richtlinie sollte rechtliche Anforderungen für die Sammlung von Beweisen berücksichtigen und sicherstellen, dass die Integrität und Vertraulichkeit der Beweise gewahrt bleibt. Darüber hinaus ist zu beachten, dass Beweise, die Gegenstand eines Disziplinar- oder Gerichtsverfahrens sein sollen, vollständig erhoben und vor Manipulation geschützt sind. Der Zeitpunkt der Erhebung ist aufzuzeichnen.
Schulung und Sensibilisierung der Mitarbeiter
Es ist wichtig, alle Mitarbeiter über die Bedeutung der Beweissicherung aufzuklären und sie für die richtigen Verfahren zu sensibilisieren. Schulungen sollten Mitarbeiter über die Sammlung von Beweismitteln, die Aufrechterhaltung der Integrität von Beweisen und die Dokumentation von Beweisketten informieren.
Hinweise des BSI zur Sensibilisierung von Mitarbeitern
Einsatz von forensischen Werkzeugen und Technologien
Organisationen sollten angemessene forensische Werkzeuge und Technologien einsetzen, um Beweismittel zu erfassen, zu analysieren und zu sichern. Diese Werkzeuge können beispielsweise digitale Forensiksoftware, Datenwiederherstellungsprogramme oder Netzwerküberwachungssysteme umfassen. Die Auswahl der richtigen Tools sollte auf den spezifischen Bedürfnissen und der Infrastruktur der Organisation basieren. Entscheidend kann auch der Nachweis sein, dass die eingesetzten Mittel zur Sicherung von Beweisen zum Einsatzzeitpunkt korrekt funktionierten.
Incident-Response-Teams
Die Organisation sollte definieren, wer für die Reaktion auf Sicherheitsvorfälle und die Sammlung von Beweismitteln verantwortlich ist. Der Verantwortliche sollte über ausreichende Fachkenntnisse und technische Ressourcen verfügen, um effektiv und effizient Beweise zu sammeln und zu analysieren. Dabei ist es sinnvoll ein Verfahren zur Zertifizierung von Personal und Werkzeugen einzuführen, um den Beweiswert zu erhöhen.
Hinweise des BSI zur Behandlung von Sicherheitsvorfällen
Dokumentation und Protokollierung
Eine sorgfältige Dokumentation und Protokollierung aller Beweismittel sind unerlässlich. Organisationen sollten einheitliche Protokolle für die Sammlung, den Transport, die Aufbewahrung und den Zugriff auf Beweise implementieren. Jeder Schritt des Prozesses sollte genau dokumentiert werden, um die Integrität der Beweisstücke zu gewährleisten und ihre Verwendbarkeit vor Gericht sicherzustellen.
Handhabung von digitalen Beweismitteln in der ISO 27002
Obige Maßnahmen können zu einem verantwortungsvollen Umgang mit Beweismitteln in einem Unternehmen beitragen. Weitere hilfreiche Informationen zur Identifizierung, Sammlung, Erfassung und Aufbewahrung digitaler Beweise sind in der ISO/IEC 27037 zu finden. Zudem behandelt die ISO/IEC 27050-Reihe die Verarbeitung elektronischer Daten als Beweismittel.