Die Einschätzung der Cyber Academy
ISO 27037 ist der Standard für digitale Forensik: Er regelt die Identifizierung, Erhebung, Sicherung und Aufbewahrung digitaler Beweismittel. Interne Forensik-Teams, CERTs und Litigation-Support-Berater nutzen ihn, um die Chain of Custody lückenlos zu erhalten. Betrachten Sie ihn als das Regelwerk, an dem Auditoren und Rechtsanwälte Ihre Handlungen nach einem Vorfall messen werden.
Was die ISO/IEC 27037 regelt
Die ISO/IEC 27037 ist der internationale Leitfaden für die erste und fragilste Phase jeder digitalen Untersuchung: die Beweise in die Hand zu bekommen, ohne sie zu zerstören. Sie ist Teil der umfassenderen ISO/IEC 27000-Familie, neben der ISO/IEC 27001, doch während die 27001 vorgibt, wie ein Managementsystem zu betreiben ist, sagt die 27037 Ihren Einsatzkräften genau, wie sie einen laufenden Server, einen beschlagnahmten Laptop, ein Telefon oder ein Cloud-Konto behandeln, damit das Erfasste später einer Überprüfung standhält. Sie deckt vier aufeinanderfolgende Tätigkeiten ab: das Identifizieren potenzieller digitaler Beweise, das Sammeln physischer Geräte, das Erfassen der Daten daraus und das Bewahren sowohl der Geräte als auch der Kopien bis zur Übergabe.
Die Norm führt zwei Rollen ein, auf die Praktiker immer wieder zurückkommen. Der Digital Evidence First Responder (DEFR) ist die Person vor Ort, die entscheidet, was und wie sichergestellt wird. Der Digital Evidence Specialist (DES) verfügt über die tiefere technische Fähigkeit, um die heiklen Fälle zu behandeln, etwa laufende Systeme, verschlüsselte Datenträger oder ungewöhnliche Hardware. Von beiden wird erwartet, jede Entscheidung zu dokumentieren, denn der Wert eines digitalen Beweises beruht weniger auf den Bytes selbst als darauf, ob Sie nachweisen können, dass sie nicht verändert wurden.
Die Beweiskette und die ihr zugrunde liegenden Prinzipien
Die 27037 stützt sich auf eine Handvoll Prinzipien, die in jeder glaubwürdigen forensischen Methode wiederkehren. Erfasste Beweise sollten relevant, zuverlässig und ausreichend sein. Eingriffe in das Original sollten auf das notwendige Minimum beschränkt und vollständig begründet sein. Jede kompetente Person sollte den Vorgang wiederholen und zum selben Ergebnis gelangen können, weshalb Imaging-Werkzeuge, Schreibblocker und Verifizierungs-Hashes so wichtig sind. Der rote Faden, der alles verbindet, ist die Beweiskette: eine durchgehende, dokumentierte Aufzeichnung darüber, wer den Beweis in Händen hielt, was damit geschah und wann, vom Moment der Sammlung bis zur Vorlage.
- Identifizierung: erkennen, was Beweis sein könnte, von Datenträgern und Telefonen bis hin zu flüchtigem Speicher und Netzwerkmitschnitten.
- Sammlung: Geräte vom Tatort entfernen, wobei die Reihenfolge der Flüchtigkeit entscheidet, was zuerst erfasst wird.
- Erfassung: eine überprüfbare Kopie erstellen, in der Regel ein forensisches Abbild, das durch einen kryptografischen Hash validiert wird.
- Bewahrung: das Original und die Kopien vor Veränderung, Verlust oder Kontamination schützen.
Wo sie in die Incident Response und die weitere Familie passt
In der Praxis ist die 27037 die Brücke zwischen dem Erkennen eines Vorfalls und der Fähigkeit, mit den Artefakten danach überhaupt etwas Sinnvolles anzufangen. Ein internes SOC, das ein Festplattenabbild auf die falsche Weise zieht oder den flüchtigen Speicher durch einen Neustart eines kompromittierten Hosts löscht, kann einen Angreifer einwandfrei erkennen und am Ende dennoch über Beweise verfügen, denen kein Gericht und keine Aufsichtsbehörde vertrauen wird.
Deshalb liest man sie zusammen mit den Leitlinien zum Incident-Management der ISO/IEC 27035 und den Maßnahmen aus Annex A der ISO/IEC 27001. Die Disziplin ist dieselbe, ob das Ziel eine strafrechtliche Verfolgung, ein arbeitsrechtlicher Streit, ein Versicherungsanspruch oder schlicht ein interner Bericht ist, der einer Anfechtung standhält.
Für Praktiker ist die Lehre prozeduraler, nicht theoretischer Natur. Legen Sie im Voraus fest, wer Ihre DEFR und DES sind, statten Sie sie mit validierten Werkzeugen aus, verfassen Sie das Beweisketten-Formular, bevor Sie es brauchen, und üben Sie die Reihenfolge der Flüchtigkeit, damit niemand die eine Maschine neu startet, auf die es ankam. Wenn eine Untersuchung scheitert, ist es fast nie die Analyse, die versagt. Es ist die erste Stunde, genau die Stunde, über die die 27037 geschrieben ist.
Frequently asked questions
01Kann meine Organisation nach ISO/IEC 27037 zertifiziert werden?
Nein. Es ist eine Leitfadennorm für den Umgang mit digitalen Beweisen, keine Anforderungsnorm, daher gibt es nichts, wogegen man sich zertifizieren lassen könnte. Sie übernehmen sie als die Methode, der Ihre Einsatzkräfte folgen, und als den Maßstab, an dem Ihr Umgang beurteilt wird.
02Was ist der Unterschied zwischen einem DEFR und einem DES?
Der Digital Evidence First Responder ist die Person vor Ort, die Beweise identifiziert und sammelt. Der Digital Evidence Specialist verfügt über tiefere technische Expertise für schwierigere Fälle wie laufende Systeme, Verschlüsselung oder ungewöhnliche Hardware. Beide müssen ihr Handeln dokumentieren.
03Wie verhält sich die ISO/IEC 27037 zur ISO/IEC 27041, 27042 und 27043?
Die 27037 deckt das Identifizieren, Sammeln, Erfassen und Bewahren von Beweisen ab. Die 27041 behandelt Assurance und Methodenvalidierung, die 27042 deckt Analyse und Interpretation ab, und die 27043 rahmt den gesamten Untersuchungsprozess. Sie sind dafür ausgelegt, gemeinsam verwendet zu werden.
04Warum ist die Beweiskette so wichtig?
Der Beweiswert digitaler Daten hängt davon ab, nachzuweisen, dass sie nach der Sammlung nicht verändert wurden. Eine durchgehende, dokumentierte Aufzeichnung darüber, wer den Beweis behandelt und was damit getan hat, ist es, was einem Anwalt, einem Auditor oder einer Aufsichtsbehörde ermöglicht, ihm zu vertrauen.
05Gilt die ISO/IEC 27037 nur für Strafsachen?
Nein. Dieselbe Sorgfaltsdisziplin gilt für interne Untersuchungen, arbeitsrechtliche Streitigkeiten, Versicherungsansprüche und aufsichtsrechtliche Angelegenheiten. Jede Situation, in der Ihr Umgang mit den Beweisen später angefochten werden könnte, profitiert davon.