Vorschriften und Standards für den digitalen forensischen Bereich (II von III)
Juan Antonio Calles
Heute wird die Reihe "Normen und Standards für den Bereich der digitalen Forensik" fortgesetzt, die am vergangenen Montag mit ihrer ersten Ausgabe begann, welche über den folgenden Link eingesehen werden kann:
https://www.flu-project.com/2025/06/normativas-estandares-forense-1-de-3.html
ISO/IEC 27043: Leitlinien für die Durchführung forensischer Untersuchungen
Die ISO/IEC 27043 definiert einen vollständigen methodischen Rahmen für die Durchführung digitaler Untersuchungen. Im Gegensatz zur 27037, die sich auf die Beweiserhebung konzentriert, deckt diese Norm den gesamten Untersuchungsprozess ab, von der Planung und Erkennung des Vorfalls bis zur Präsentation der Schlussfolgerungen. Sie ist besonders nützlich, um einen formellen Reaktionsplan bei Cybervorfällen mit technischem Gutachtenbedarf zu strukturieren.
Der Mehrwert dieser Norm liegt in ihrer Ausrichtung auf den Lebenszyklus der Untersuchung, die eine systemische Annäherung basierend auf klar definierten Phasen, Techniken und Zielen ermöglicht. Zudem fördert sie die Kohärenz zwischen verschiedenen Disziplinen (Cybersicherheit, Recht, Audit) durch die Verwendung einer gemeinsamen Terminologie, die Kommunikation und Nachvollziehbarkeit zwischen den Akteuren verbessert.
ISO/IEC 20000-1: IT-Service-Management
Obwohl eher mit IT-Service-Management als mit Sicherheit an sich verbunden, ist die Norm ISO/IEC 20000-1 relevant, wenn Vorfälle im Zusammenhang mit Technologie-Dienstleistern analysiert werden. Diese Norm legt Anforderungen fest, damit die erbrachten Dienstleistungen auf Qualitäts-, Verfügbarkeits- und Reaktionsbedürfnisse bei Vorfällen abgestimmt sind, einschließlich solcher forensischer Natur.
Der Ermittler kann sie als Rahmen verwenden, um die zum Zeitpunkt des Vorfalls geltenden Service Level Agreements (SLA) zu analysieren und zu bestimmen, ob das Verhalten des Anbieters im erwarteten Rahmen lag. Ebenso ermöglicht sie die Untersuchung, wie frühere Vorfälle gehandhabt wurden, was Hinweise auf mögliche Fahrlässigkeiten oder nicht angemessen gelöste Fehlerbilder geben kann.
ISO 22301: Management der Geschäftskontinuität
Die ISO 22301 definiert die Grundsätze zur Einrichtung eines Business Continuity Management Systems (BCMS), einschließlich der Vorbereitung und Wiederherstellung bei störenden Ereignissen. In Umgebungen, in denen ein IT-Sicherheitsvorfall die Verfügbarkeit kritischer Dienste beeinträchtigt hat, kann diese Norm helfen zu bewerten, ob die Organisation über angemessene Notfallpläne verfügte.
Aus forensischer Sicht kann die 22301 als Referenz dienen, um zu analysieren, ob die nach dem Vorfall angewandten Wiederherstellungsverfahren die Grundsätze der Beweisintegrität respektierten oder ob im Gegenteil Handlungen vorgenommen wurden, die wichtige Daten zerstörten. Sie kann auch die Bewertung der vor dem Vorfall bestehenden Kontinuitätsnachweise leiten.
ISO/IEC 25000: Softwarequalität
Die ISO/IEC 25000-Familie, bekannt als SQuaRE, legt Kriterien zur Bewertung der Softwarequalität fest. In Untersuchungen im Zusammenhang mit Sicherheitsfehlern in Anwendungen ermöglicht diese Norm dem Sachverständigen festzustellen, ob das betroffene Produkt Mindestmetriken in Bezug auf Sicherheit, Wartbarkeit, Nachvollziehbarkeit oder Robustheit erfüllte.
Die Softwarequalitätsanalyse kann bei Untersuchungen zur Ausnutzung von Schwachstellen entscheidend sein, insbesondere in Umgebungen mit interner Entwicklung oder Altsystemen. Die Norm erleichtert den Aufbau fundierter technischer Argumente bezüglich der Verantwortung des Herstellers oder Entwicklers auf Basis objektiver Standards.
ISO/IEC 38500: IT-Governance
Die Norm ISO/IEC 38500 legt Prinzipien für die Corporate Governance der Informationstechnologie fest. Obwohl sie keine technische Sicherheits- oder Forensiknorm ist, liegt ihr Wert darin, dass sie die Analyse des Engagements der obersten Führungsebene im Management technologischer Risiken ermöglicht. Dies kann in Gutachten relevant sein, die Verantwortlichkeiten auf organisatorischer Ebene klären wollen.
Der Forensiker kann auf diese Norm zurückgreifen, wenn er bewerten muss, ob strategische Entscheidungen im IT-Bereich mit Prinzipien der Verantwortung, Strategie und Leistung übereinstimmen. Ihre Anwendung ist besonders nützlich bei umfangreichen forensischen Audits oder wenn strukturelle Fehler in den IT-Managementsystemen der bewerteten Organisation analysiert werden.
UNE 197001: Kriterien für gerichtliche Sachverständigenberichte
Die Norm UNE 197001 bietet einen nationalen Referenzrahmen für die Erstellung von Gutachten und Sachverständigenberichten, die vor Gerichten vorgelegt werden. Ihre Anwendung ist essenziell bei digitalen forensischen Untersuchungen, die ein rechtlich gültiges Format erfordern. Sie legt Kriterien für formale Struktur, technische Sprache, klare Darstellung, Nachvollziehbarkeit der Quellen, Identifikation des Sachverständigen, angewandte Methodik und fundierte Schlussfolgerungen fest.
Der praktische Wert dieser Norm liegt darin, dass sie dem digitalen Sachverständigen ermöglicht, ein solides, technisch fundiertes und juristisch verteidigungsfähiges Dokument zu erstellen. Im Kontext der Analyse von E-Mails erleichtert sie beispielsweise die klare und geordnete Darstellung von Beweismitteln wie technischen Headern, Metadaten, Netzspuren oder der Korrelation mit Systemprotokollen. Die Ausrichtung an UNE 197001 verbessert die Akzeptanz des Berichts bei Richtern, Anwälten und anderen Verfahrensbeteiligten erheblich.
