Ein Cyberangriff trifft Unternehmen oft ohne Vorwarnung – und genau in diesem Moment beginnt nicht nur der Kampf um Systeme und Daten, sondern auch um verwertbare Beweise. Wer in der Hitze des Gefechts falsch reagiert, riskiert, digitale Spuren unwiederbringlich zu vernichten und damit jede Chance auf strafrechtliche Verfolgung oder Schadensersatz zu verspielen.
Wir erklären IT-Verantwortlichen und Incident-Response-Teams, worauf es bei der rechtssicheren Beweissicherung und Erhaltung digitaler Beweise ankommt – und warum das Thema in den kommenden Jahren noch erheblich an Bedeutung gewinnen wird.
Warum ist Beweissicherung bei Cyberangriffen so kritisch?
Digitale Arbeitsumgebungen sind aus modernen Unternehmen nicht mehr wegzudenken. Laut Statistischem Bundesamt beschäftigten rund 3,2 Millionen kleine und mittlere Unternehmen (KMU) in Deutschland im Jahr 2023 etwa 53 Prozent aller Beschäftigten – und all diese Betriebe sind auf funktionierende Informations- und Kommunikationstechnik (IKT) angewiesen.
Die Kehrseite: Die Angriffsfläche wächst stetig.
Das Bundeskriminalamt (BKA) verzeichnete im Jahr 2025 allein 1041 gemeldete Ransomware-Angriffe in Deutschland (Bundeslagebild Cybercrime 2025 des BKA) . Das ist ein Anstieg von 9,6% gegenüber 2024. Noch alarmierender: Straftaten aus dem Ausland – also Angriffe, die von außerhalb des Bundesgebiets auf deutsche Unternehmen und Einrichtungen abzielen – erreichten mit über 200.000 Fällen einen neuen Höchststand.
Die Aufklärungsquote bei Cybercrime-Delikten lag bei lediglich 31,4 Prozent. Der vermutlich zentrale Grund für diese niedrige Quote: Beweise werden häufig nicht oder nicht rechtssicher gesichert.
Für unmittelbar Betroffene hat das gravierende Folgen: Ohne verwertbare digitale Beweise kann die Staatsanwaltschaft kein Ermittlungsverfahren einleiten, keine Anklage erheben und kein Urteil erwirken (siehe: Niedersächsisches Landesjustizportal). Betroffene bleiben damit nicht nur auf ihrem Schaden sitzen – sie verlieren auch die Möglichkeit, Täter zur Verantwortung zu ziehen.
Was riskieren Unternehmen ohne ausreichende Beweissicherung?
Wer Opfer eines Cyberangriffs wird, steht vor mehreren simultanen Herausforderungen. Der Druck, Systeme schnellstmöglich wiederherzustellen, kollidiert dabei regelmäßig mit der Notwendigkeit, Beweise zu sichern. Die häufigsten Risiken für Betroffene:
- Strafverfolgung scheitert: Ohne forensisch gesicherte Daten fehlt Ermittlungsbehörden die Grundlage für eine Anklageerhebung.
- Versicherungsansprüche gefährdet: Viele Cyberversicherungen verlangen eine lückenlose Dokumentation des Vorfalls als Voraussetzung für Leistungen.
- Datenschutz-Meldepflichten verletzt: Nach der Datenschutz-Grundverordnung (DSGVO) besteht bei Datenpannen mit personenbezogenen Daten eine Meldepflicht gegenüber der Aufsichtsbehörde innerhalb von 72 Stunden – ohne gesicherte Erkenntnisse ist eine sachgerechte Meldung kaum möglich.
- Cybersecurity-Meldepflichten verletzt: Unterliegen Organisationen gesetzlichen Regulierungen wie der NIS2-Richtlinie oder der DORA-Verordnung, sind bei schwerwiegenden Sicherheitsvorfällen spezifische Meldungen bei der jeweiligen Aufsichtsbehörde zu machen. Auch hier sind Angaben zum Hergang des Angriffs und zur zukünftigen Abwehr zu machen.
- Reputationsschäden verschärft: Wer den Vorfall nicht vollständig aufklären kann, verliert gegenüber Kunden, Partnern und der Öffentlichkeit an Glaubwürdigkeit.
- Wiederholung ungehindert: Wer nicht versteht, wie ein Angriff ablief, kann ihn nicht wirkungsvoll verhindern.
Besonders KMU trifft dies hart: Sie verfügen selten über eigene IT-Forensik-Kapazitäten und stehen nach einem Angriff unter enormem wirtschaftlichem Druck – was dazu verleitet, befallene Systeme einfach neu aufzusetzen, anstatt zuerst Beweise zu sichern. Ein teurer Fehler.
Unser Tipp: Legen Sie bereits vor einem möglichen Vorfall vertraglich einen externen IT-Forensik-Dienstleister fest und integrieren Sie ihn in Ihren Incident-Response-Plan. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) stellt eine Liste qualifizierter Dienstleister bereit. Externe Expertise ist in der Akutphase oft die einzige realistische Option.
Wie sollte eine Beweissicherung bei Cyberangriffen konkret erfolgen?
Um zu verstehen, welche Beweise zu sichern sind, hilft ein Blick darauf, wie gängige Angriffe technisch funktionieren. Rootkits, Trojaner und Spyware hinterlassen charakteristische digitale Fingerabdrücke: manipulierte Systembibliotheken, verdächtige Netzwerkverbindungen, ungewöhnliche Prozesse im Arbeitsspeicher. Ransomware verschlüsselt Dateien und hinterlässt dabei Spuren in Systemlogs und im RAM. Phishing-Angriffe manifestieren sich in E-Mail-Headern und DNS-Protokollen.
Achtung: All diese Spuren sind flüchtig. RAM-Inhalte verschwinden beim Neustart, Logs werden überschrieben, Zeitstempel können sich ändern. Die entscheidende Erkenntnis: Die Beweissicherung beginnt in dem Moment, in dem ein Vorfall erkannt wird – nicht erst, wenn externe Spezialisten eintreffen.
Die ersten Minuten: So reagieren Sie richtig
Der unmittelbare Umgang mit einem vermuteten Sicherheitsvorfall entscheidet darüber, ob Beweise erhalten bleiben oder verloren gehen. Die folgende Abfolge hat sich bewährt:
Ruhe bewahren und strukturiert handeln
Panik ist der Feind der Beweissicherung. Hektische, unreflektierte Maßnahmen – wie das sofortige Ausschalten oder Neuaufsetzen von Systemen – vernichten in der Regel mehr Beweise, als sie schützen. Das Schlimmste ist bereits geschehen: Jetzt geht es darum, den Schaden zu begrenzen und Erkenntnisse zu sichern.
Betroffenes Gerät vom Netzwerk trennen – aber nicht ausschalten
Das infizierte System sollte sofort durch Entfernen des Netzwerkkabels oder Deaktivieren des Netzwerkadapters vom Netz getrennt werden. Das verhindert die weitere Ausbreitung von Schadsoftware auf andere Systeme.
Gleichzeitig gilt: Das Gerät darf nicht ausgeschaltet werden. Im flüchtigen Arbeitsspeicher (RAM) befinden sich laufende Prozesse, offene Verbindungen und temporäre Schlüssel – Informationen, die nach einem Neustart für immer verloren sind und für die Aufklärung des Vorfalls entscheidend sein können.
Unser Tipp: Hängen Sie die BSI-Notfallkarte ausgedruckt an zentralen IT-Arbeitsplätzen aus. Die Karte enthält die wichtigsten Sofortmaßnahmen und Informationen, die im Ernstfall an das Incident-Response-Team gemeldet werden müssen. Darunter: Welches System ist betroffen? Was wurde beobachtet? Wann hat das Ereignis begonnen? Wo befindet sich das System?
Vorfall sofort dokumentieren
Noch vor jeder weiteren Maßnahme sollte der aktuelle Systemzustand festgehalten werden: Screenshots, Fotos des Bildschirminhalts, handschriftliche Notizen mit Zeitstempel. Jede Beobachtung zählt – auch scheinbar unbedeutende Details können später für die forensische Analyse entscheidend sein.
Incident-Response-Team aktivieren
Das Incident-Response-Team – idealerweise vorab benannt und trainiert – tritt nun in Aktion. Es sollte aus IT-Fachleuten, Entscheidungsträgern der Geschäftsführung sowie, je nach Situation, Verantwortlichen für Datenschutz und Unternehmenskommunikation bestehen.
Für Unternehmen ohne eigene forensische Kapazitäten gilt: Sofort externe Spezialisten kontaktieren.
Beweise systematisch sichern: Der forensische Prozess
Das BSI beschreibt in seinem Leitfaden IT-Forensik einen siebenstufigen Prozess, der von der strategischen Vorbereitung über die Symptomerkennung bis zur abschließenden Dokumentation reicht. Für IT-Abteilungen und Incident-Response-Teams sind vor allem die technischen Sicherungsschritte zentral:
Was gesichert werden muss
Der BSI-Leitfaden IT-Forensik definiert acht Kategorien forensischer Daten:
- Hardwaredaten
- Rohdateninhalte
- Details über Daten (Metadaten)
- Konfigurationsdaten
- Kommunikationsprotokolle
- Prozessdaten
- Sitzungsdaten
- Anwenderdaten
Wie die Sicherung technisch abläuft
Die technische Sicherung erfolgt stets über forensische Kopien – niemals wird direkt am Originaldatenträger gearbeitet. Im Einzelnen bedeutet das:
- RAM-Sicherung zuerst: Flüchtige Arbeitsspeicherinhalte müssen als Erstes mit geeigneten Forensik-Tools gesichert werden, solange das System noch läuft.
- Forensisches Image der Speichermedien: Vollständige Bit-für-Bit-Kopie aller betroffenen Datenträger.
- Logs zentral sichern: Log-Dateien von Firewalls, Routern, Mail-Servern und Betriebssystemen – diese werden häufig überschrieben und sind nur verfügbar, wenn sie vorab auf einem separaten, gut gesicherten Log-Server gespeichert wurden.
- Flüchtige Speicher von Netzwerkkomponenten: Router, Hardware-Firewalls und ähnliche Geräte halten ebenfalls relevante Daten im RAM.
- Integrität sicherstellen: Empfangene Logs sollten digital signiert werden, damit ihre Unversehrtheit auch langfristig nachweisbar ist.
Unser Tipp: Das BSI weist ausdrücklich darauf hin, dass forensische Werkzeuge vor ihrem Einsatz auf Eignung und Integrität geprüft werden sollten. Etablierte Tools wie X-Ways Forensics oder The Sleuth Kit (TSK) sind in Fachkreisen anerkannt – aber nur dann zuverlässig, wenn sie sachgerecht eingesetzt werden. Schulen Sie Ihr Team regelmäßig und aktualisieren Sie Ihren Werkzeugkatalog.
Lückenlose Dokumentation als rechtliche Grundlage
Jeder einzelne Schritt der Beweissicherung muss protokolliert werden mit Zeitstempel, Name der handelnden Person und eingesetztem Werkzeug. Diese sogenannte Chain of Custody – die Beweiskette – ist die Grundvoraussetzung dafür, dass digitale Beweise vor Gericht anerkannt werden. Fehlt sie, können selbst technisch einwandfrei gesicherte Daten als Beweismittel unverwertbar sein.
Digitale Beweise langfristig rechtssicher erhalten
Die Sicherung der Daten ist nur der erste Schritt – ebenso wichtig ist ihre langfristige Erhaltung. Der Bundesverband Deutscher Sachverständiger und Fachgutachter (BDSF e.V.) definiert digitale Beweissicherung als die Erhebung, Verarbeitung und Speicherung von Beweismitteln in digitaler Form. Dabei bestehen vier zentrale Herausforderungen:
- Manipulationssicherheit: Gesicherte Daten dürfen nach der Sicherung in keiner Weise verändert werden – dies entspricht dem Informationssicherheits-Schutzziel der Integrität.
- Sichere Speicherung und Übertragung: Verschlüsselte Speichermethoden und gesicherte Kommunikationskanäle sind Pflicht.
- Komplexität der Datenverarbeitung: Spezialisierte Softwarelösungen sind erforderlich, die nicht nur die Analyse, sondern auch die rechtssichere Langzeitspeicherung ermöglichen.
- Rechtskonforme Erhebung: Datenschutzrecht und weitere gesetzliche Anforderungen – etwa aus dem Telekommunikations-Digitale-Dienste-Datenschutz-Gesetz (TDDDG) – müssen jederzeit eingehalten werden.
Für die technische Umsetzung der Langzeitspeicherung hat das BSI die technische Richtlinie BSI TR-03125 (TR-ESOR) entwickelt. Sie beschreibt, wie kryptographisch signierte elektronische Dokumente so gespeichert werden können, dass sie auch nach vielen Jahren noch rechtlich belastbar sind. Produkte, die dieser Richtlinie entsprechen, stellen sicher, dass Beweisdaten gegen nachträgliche Manipulation geschützt bleiben – selbst wenn sich kryptographische Standards im Laufe der Zeit weiterentwickeln.
Unser Tipp: Prüfen Sie, ob Ihre Archivierungslösung der BSI TR-03125 entspricht. Gerade in Verfahren, die sich über Jahre hinziehen können, ist die langfristige Beweiskraft digitaler Daten entscheidend.
Was ist zu Strafrecht, Datenschutz und Meldepflichten zu beachten?
Cyberangriffe sind in den meisten Fällen Straftaten. Relevant sind insbesondere:
- § 202a, 202b Strafgesetzbuch (StGB): Ausspähen und Abfangen von Daten
- § 263a StGB: Computerbetrug
- § 253 StGB: Erpressung (z. B. bei Ransomware-Angriffen)
- § 303b StGB: Computersabotage
Damit die Staatsanwaltschaft tätig werden kann, benötigt sie Beweise – und diese kommen aus dem betroffenen Unternehmen.
Gleichzeitig bewegt sich die IT-Forensik im Spannungsfeld des Datenschutzrechts: Bei der Beweissicherung werden zwangsläufig personenbezogene Daten verarbeitet, etwa Anmeldeinformationen oder Kommunikationsverläufe von Mitarbeitenden. Das TDDDG und die DSGVO setzen hier klare Grenzen.
Unser Tipp: Binden Sie Ihren Datenschutzbeauftragten von Beginn an in Ihr Incident-Response-Management ein. So stellen Sie sicher, dass forensische Maßnahmen datenschutzrechtlich nicht angreifbar werden – und wahren gleichzeitig eventuelle Meldepflichten gegenüber Aufsichtsbehörden innerhalb der 72-Stunden-Frist der DSGVO.
Welche typischen Fehler sollten Unternehmen bei der Beweissicherung vermeiden?
In der Praxis wiederholen sich bestimmte Fehler immer wieder:
- Sofortiges Neuaufsetzen befallener Systeme: Verständlich aus Betriebssicht, forensisch fatal. Alle Beweise werden vernichtet. Erst sichern, dann wiederherstellen.
- Direkte Arbeit am Originaldatenträger: Forensische Analysen immer nur an Kopien durchführen – das Original bleibt unangetastet.
- Fehlende oder lückenhafte Dokumentation: Ohne vollständige Chain of Custody sind Beweise vor Gericht kaum verwertbar.
- Keine zentrale Log-Speicherung: Logs auf einzelnen Geräten werden überschrieben. Zentrales, gesichertes Logging ist Voraussetzung für eine nachträgliche Analyse.
- Zu späte Einbindung externer Expertise: Flüchtige Daten sind nach dem Neustart unwiederbringlich verloren. Externe Forensiker frühzeitig kontaktieren.
- Datenschutz wird vernachlässigt: Forensische Maßnahmen ohne Rücksicht auf DSGVO und TDDDG können selbst rechtliche Konsequenzen nach sich ziehen.
Warum wird Beweissicherung bei Cyberangriffen zukünftig noch wichtiger?
Die Bedrohungslage entwickelt sich in einem Tempo, das Unternehmen und Behörden gleichermaßen herausfordert. Angriffe werden komplexer, gezielter und grenzüberschreitender. Das BSI weist ausdrücklich darauf hin, dass die IT-Forensik sehr kurzen und starken Veränderungszyklen unterliegt – und dass Verantwortliche sich kontinuierlich über neue Bedrohungen, Methoden und Gesetzesänderungen auf dem Laufenden halten müssen.
Gleichzeitig wächst der regulatorische Druck: Die NIS2-Richtlinie der Europäischen Union (EU) verpflichtet eine deutlich erweiterte Zahl von Unternehmen zu konkreten Maßnahmen in den Bereichen Incident Response, Risikomanagement und Berichterstattung. Wer heute keine funktionierenden Prozesse zur Beweissicherung hat, wird morgen mit erheblichen Compliance-Risiken konfrontiert sein.
Hinzu kommen technologische Entwicklungen, die neue forensische Herausforderungen schaffen: Angriffe auf Cloud-Infrastrukturen, KI-Systeme und vernetzte Produktionsanlagen lassen sich mit klassischen Methoden nur begrenzt aufklären. Flüchtige Daten in Cloud-Umgebungen, verteilte Systeme ohne klare Datenhoheit und verschlüsselte Kommunikation erschweren die Beweissicherung erheblich. Langfristig ist denkbar, dass Systeme forensische Fähigkeiten von Haus aus mitbringen – also automatisiert und kontinuierlich Beweise sammeln, ohne dass dies explizit in der Netzwerkarchitektur geplant werden muss. Bis dahin liegt die Verantwortung bei IT-Abteilungen und Incident-Response-Teams.
Unser Tipp: Planen Sie IT-Forensik von Anfang an in Ihre Netzwerkarchitektur ein – nicht erst, wenn der Ernstfall eingetreten ist. Zentrales Logging, digitale Signaturen, klare Zuständigkeiten und ein getesteter Incident-Response-Plan sind keine Kür, sondern Basisanforderungen moderner Informationssicherheit.
Fazit: Beweissicherung beginnt vor dem Angriff
Rechtssichere digitale Beweissicherung ist kein Thema für Spezialisten allein – sie ist eine organisatorische und technische Kernaufgabe für alle Unternehmen, die ernsthaft mit Cyberrisiken umgehen wollen. Die ersten Minuten nach einem Sicherheitsvorfall entscheiden darüber, ob Ermittlungen überhaupt möglich werden, ob Betroffene ihre rechtliche Position wahren können und ob ein Unternehmen aus einem Angriff lernt.
IT-Abteilungen und Incident-Response-Teams sollten jetzt handeln: Prozesse etablieren, externe Expertise vertraglich sichern, forensische Anforderungen in die Netzwerkplanung integrieren und das Team regelmäßig schulen. Denn IT-Forensik beginnt nicht, wenn ein Angriff passiert ist – sondern lange davor.
