In der IT-Forensik muss stets genau und nach bestimmten Vorgaben gearbeitet werden. Dabei sind es zumeist nicht nur technische Vorschriften, sondern auch Vorgaben aus dem rechtlichen Bereich. Dieser Beitrag befasst sich mit den rechtlichen Normen, die die Arbeit als IT-Forensiker immer begleiten, vom Anfangsverdacht über den Datenschutz bis hin zum Strafrecht.
Der Inhalt im Überblick
Anfangsverdacht
Der „Anfangsverdacht“ ist notwendig, um eine missbräuchliche Beauftragung forensischer Arbeit auszuschließen. Angelehnt an die Strafprozessordnung (§ 152 Abs. 2 StPO) müssen „zureichende tatsächliche Anhaltspunkte“ für einen begründeten Anlass forensischer Untersuchungen vorliegen. Das wäre zum Beispiel bei klaren Indizien für einen IT-Sicherheitsvorfall gegeben oder bei konkreten Anhaltspunkten für strafbares Verhalten. Damit wäre die Grundlage für den Arbeitsbeginn geregelt.
Datenschutzrecht
Nun werden bei einem IT-forensischen Einsatz möglicherweise personenbezogene Daten erhoben, welche dem Zweck dienen, den Täter zu fassen und den Sicherheitsvorfall aufzuklären. Die Erfassung dieser personenbezogenen Daten ist in diesem Fall zwar nicht das primäre Ziel, jedoch handelt es sich auch hier um eine zweckgebundene Erfassung der Daten.
Am folgenden Beispiel lässt sich dies gut veranschaulichen:
Ein Unternehmen wird im aktiven Betrieb angegriffen und der Angriff findet zum Zeitpunkt des Eintreffens der IT-Forensiker live statt. Nun entscheiden sich die IT-Forensiker einen Netzwerkmitschnitt aufzuzeichnen, um nachverfolgen zu können, welche Schritte der Täter ergreift. Dabei werden jedoch auch personenbezogene Daten der Mitarbeiter erfasst, die Auskunft darüber geben, wie sich auch die einzelnen Mitarbeiter derzeit im Unternehmensnetzwerk verhalten. Dabei ist jedoch nicht die Erfassung und Analyse der Daten der Mitarbeiter im Vordergrund, sondern die Erfassung personenbezogener Daten dient in diesem Fall dem Zweck der Nachverfolgung des Täters.
Auch die Normen aus der DSGVO müssen dem IT-Forensiker in diesem Fall bewusst sein. Demnach müssen nach Artikel 5 der DSGVO personenbezogene Daten für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden (Grundsatz der Zweckbindung). Demnach dürfte der IT-Forensiker in einem solchen Szenario die Daten zwar erfassen, dürfte sie jedoch nur zum Zwecke der Nachverfolgung des Angreifers nutzen und nicht für die weitere Verarbeitung der Daten in Bezug auf die Mitarbeiter des Unternehmens.
Strafrecht
Wichtig beim Umgang mit personenbezogenen Daten ist natürlich, sofern diese wie im Abschnitt Datenschutz beschrieben überhaupt bezogen werden dürfen, dass diese Daten mit höchster Vertraulichkeit behandelt werden. In diesem Fall kommt eine sogenannte Verschwiegenheitserklärung (NDA) zum Einsatz. Darüber hinaus regelt der Vertrag zur Beauftragung eines IT-Forensikers, wie weit dessen Befugnisse gehen sollen.
Dadurch soll gewährleistet werden, dass die Arbeit des IT-Forensikers auch in Bezug auf das Strafrecht die relevanten Richtlinien, Verhaltensregeln und Gesetze einhält. Natürlich kommen weitere Gesetze zum Greifen in Bezug auf die IT-forensische Arbeit, wie beispielweise § 269 zur Fälschung beweiserheblicher Daten, welcher besagt, dass
„Wer zur Täuschung im Rechtsverkehr beweiserhebliche Daten so speichert oder verändert, dass bei ihrer Wahrnehmung eine unrechte oder verfälschte Urkunde vorliegen würde, oder derart gespeicherte oder veränderte Daten gebraucht, wird mit Freiheitsstraße bis zu fünf Jahren oder mit Geldstrafe bestraft“.
Dementsprechend muss ein IT-Forensiker auch in diesem Falle die Gesetze einhalten und darauf achten, seine Arbeit ordnungsgemäß auszuführen.
Es kommt darauf an
Wie in vielen Bereichen des Rechts und so auch in der digitalen Forensik kommt es immer auf die Situation an, jedoch muss auch in der IT-Forensik immer der rechtliche Rahmen eingehalten werden, um die Arbeit richtig auszuführen zu können. Dafür muss der rechtliche Rahmen nicht nur festgelegt, sondern dem IT-Forensiker auch bekannt sein. Nur so kann der IT-Forensiker sich selbst und auch die Arbeit absichern, indem er sich an die geltenden Gesetze hält.
