Beweissicherung (Digital Evidence Preservation / Forensische Sicherung)

Beweissicherung bezeichnet die gerichtsfeste Erfassung, Sicherung und Dokumentation digitaler Daten und Systemzustände nach einem Sicherheitsvorfall, sodass die Integrität der Beweise für spätere Strafverfolgung oder Zivilrechtsstreitigkeiten nachweisbar ist. Forensische Standards wie ISO/IEC 27037 schreiben vor, dass Beweise mit Werkzeugen gesichert werden, die keine Veränderung am Original verursachen (Write-Blocker, Hash-Verifikation). In IT-Vergaben für SOC-, MSSP- oder Incident-Response-Dienstleistungen sollten Auftraggeber Beweissicherungspflichten, Beweiskette (Chain of Custody) und Übergabeprotokolle als vertraglich verbindliche Leistungsbestandteile definieren.