IT-Sachverständiger Neumann
Chain of Custody - Beweismittelkette
in der IT-Forensischen Arbeit
Technische und organisatorische Anforderungen an eine beweissichere Spurendokumentation nach ISO/IEC 27037
Datum: 14.11.2025, Christoph Neumann, Forensik-Blog
1. Einleitung – Bedeutung der Chain of Custody
Digitale Beweismittel spielen in Strafverfahren, internen Ermittlungen und Zivilprozessen eine zunehmend zentrale Rolle. Ihre Aussagekraft steht und fällt mit der Nachvollziehbarkeit ihrer Herkunft und Behandlung. Die sogenannte Chain of Custody – also die durchgängige Dokumentation der Beweismittelkette – ist dabei das Rückgrat jeder forensischen Untersuchung. Nur wenn zweifelsfrei belegt werden kann, wer wann welches Beweismittel in welcher Form übernommen, untersucht und weitergegeben hat, bleibt dessen Beweiswert erhalten.
Fehler in dieser Kette können im schlimmsten Fall zur gerichtlichen Unverwertbarkeit der digitalen Beweise führen. Entsprechend fordern Standards wie die ISO/IEC 27037:2012 eine lückenlose Dokumentation aller forensischen Schritte – von der Sicherstellung bis zur Auswertung.
2. Relevanz und rechtlicher Rahmen
Die Anforderungen an die Beweissicherung ergeben sich aus technischen wie juristischen Grundlagen. Während die ISO/IEC 27037 und ISO/IEC 27041 die methodischen Grundsätze der Beweissicherung und Validierung festlegen, konkretisieren Richtlinien wie die BSI TR-03161 oder die ENFSI-Guidelines die praktische Umsetzung.
In der juristischen Bewertung ist entscheidend, dass digitale Beweismittel unverändert und nachvollziehbar bleiben. Dazu gehören die Dokumentation jeder Zugriffshandlung, der Nachweis der Integrität durch Hashwerte und eine saubere Übergabeprotokollierung zwischen den Beteiligten.
3. Methodik und praktische Umsetzung
3.1 Übergabeprotokoll und Beweismittelübernahme
Die Chain of Custody beginnt mit der physischen oder digitalen Übernahme des Beweismittels. Hierbei wird in einem Übergabeprotokoll der genaue Zustand, die Identifikationsmerkmale und der Übergabezeitpunkt dokumentiert. Ein vollständiges Übergabeprotokoll enthält unter anderem: Kennzeichnung, Zeitpunkt, Ort, Beschreibung, Signaturen. Übergaben an andere Personen werden hier dokumentiert und gegengezeichnet. Hierbei sollte immer jedes Beweismittel separat geführt werden, bei mehreren Objekten kann ein Beweismittelblatt pro Objekt angelegt werden.
Im Übergabeprotokoll geht es somit nicht um die forensische Analyse, sondern einzig um die Handhabung des Beweismittels selbst und die Wahrung dessen Integrität. Ein Übergabeprotokoll in Anlehnung an ISO/IEC 27037 Norm ist umfangreich und die Führung ist durchaus aufwändig, umfasst dafür aber alle Dokumentationen hinsichtlich:
✅ Übergabezeitpunkt und Empfangsbestätigung des Beweismittels
✅Beschreibung, Zustand und Eigenschaften bei Übergabe zur eindeutigen Identifizierung
✅Zweck und rechtliche Grundlagen der Übergabe, Datenschutz- und Verhältnismäßigkeitsprüfung
✅ Informationen zur initialen Datenextraktion (z.B. Methodik, alle erzeugten Hashwerte, Write-Blocker)
✅ Dokumentation interner Übergaben (wer hatte wann Zugriff), ggfls. Info zur Verwahrung
✅ Ggfls. Handhabung von Datenextrakten (Aufbewahrung, Löschung, etc.)
✅Untersuchungsgrundlagen, sonstige Anmerkungen
Das Übergabeprotokoll endet mit der Übergabe an eine andere Partei, z.B. das Rückgabe an das Gericht. Dies ist im Protokoll abzuzeichnen.
3.2 Arbeitsprotokoll und Dokumentation der forensischen Tätigkeit
Jeder Verarbeitungsschritt während der Untersuchung muss in einem Arbeitsprotokoll festgehalten werden. Dies umfasst verwendete Tools, Methoden, Bearbeiter, Datum und Besonderheiten. Das Arbeitsprotokoll ermöglicht Reproduzierbarkeit und Überprüfbarkeit der Untersuchung.
Der erste Eintrag des Arbeitsprotokolls dokumentiert die Übergabe des/der Beweismittel(s) und referenziert im Idealfall auf das entsprechende Übergabeprotokoll. Alle Aktionen, welche nun z.B. in Form einer Datenextraktion oder Analyse durchgeführt werden, sind hier zwecks Reproduzierbarkeit und Integrität vermerkt.
Es sei an dieser Stelle angemerkt, dass das Arbeitsprotokoll nicht nur aus den zuvor genannten Gründen detailliert geführt werden sollte. Erstellt man ein Gutachten für ein Gericht, so ist das Arbeitsprotokoll ein "Arbeitsnachweis", aus dem auch der tatsächliche zeitliche Aufwand zur Auftragsdurchführung hervor geht und somit auch Grundlage der Abrechnung sein kann.
3.3 Datenextraktion und Sicherung der Integrität
Bei der Datenextraktion ist sicherzustellen, dass keine Veränderung am Originaldatenträger erfolgt. Nach ISO/IEC 27037 wird empfohlen, ein 1:1-Abbild zu erstellen und dieses mit einem eindeutigen Hashwert zu dokumentieren. Der Hashwert fungiert als digitaler Fingerabdruck und muss bei jeder Weitergabe konstant bleiben. Diese initiale Extraktion ist idealerweise im Übergabeprotokoll zu dokumentieren. Auch alle erzeugten Hashwerte sollten hier dargelegt werden. Übernimmt man als Beweismittel ein existierendes Image, so ist zunächst der Hashwert gegenüber der Imagedatei auf Integrität zu prüfen (hinsichtlich Einschränkungen siehe auch 4.)!
3.4 Übergaben und Archivierung
Jede Weitergabe wird in einem Übergabeprotokoll erfasst. Dies gilt auch für interne Übergaben an andere Mitarbeiter. Ebenfalls sollte hier der Verwahrungsort angegeben werden. Nach Abschluss der Untersuchung sind sämtliche Dokumente revisionssicher zu archivieren, einschließlich Übergabeprotokolle, Arbeitsprotokolle, Hashlisten und Prüfberichte.
4. Praxisbeispiel
In einem aktuellen Fall der Analyse eines Datenträgers wurde die Beweiskette von der physischen Sicherstellung bis zur gerichtlichen Vorlage dokumentiert:
1. Übernahme: Datenträger vom Gericht übergeben, Übergabeprotokoll erstellt und unterschrieben (Empfänger, Übergebender, Eintrag ins Arbeitsprotokoll)
2. Imaging: Erstellung eines 1:1-Abbilds mit FTK Imager. Hashwert, Tool und Extraktion dokumentiert (Übergabeprotokoll und Eintrag Arbeitsprotokoll)
3. Analyse: Datenanalyse entsprechend Beweisbeschluss, detailliert protokolliert (zusätzlich Eintrag ins Arbeitsprotokoll)
4. Rückgabe: Original und Kopie mit identischem* Hashwert an Gericht übergeben (Übergabeprotokoll und Eintrag Arbeitsprotokoll)
*je nach Beweismittel ist dies interpretationsbedürftig. Mobilgeräte müssen im Verlauf der Extraktion/Analyse zwangsläufig eingeschaltet werden, wodurch sich ein identischer Hashwert vor und nach der Auswertung oftmals ausschließt und somit auch bei Übernahme schwer zu verifizieren ist. Daher könnte sich hier der Hashwert auch auf die zu untersuchenden Dateien/Artefakte/ Datenbanken beziehen.
5. Fazit und Handlungsempfehlungen
Die Chain of Custody ist die Grundlage gerichtsfester digitaler Forensik. Nur wenn jeder Schritt, jede Person und jedes Medium eindeutig dokumentiert sind, bleibt ein digitales Beweismittel verwertbar.
Empfehlungen:
✅ Verwendung standardisierter Übergabe- und Arbeitsprotokolle.
✅ Durchführung Hashwert-Erzeugung / -Vergleiche nach jedem Kopiervorgang
✅ Klare Trennung zwischen Original, Arbeitskopie und Analyseergebnissen.
✅ Orientierung an ISO/IEC 27037 und BSI TR-03161.
✅ Revisionssichere Archivierung aller Protokolle
Hinzu kommt die Reproduzierbarkeit der eigentlichen Analyse, welche durch Arbeitsprotokoll, Log-Dateien und den Methoden-Erläuterungen im Gutachten vollständig dokumentiert werden sollte.
Kurzprofil des Autors
Christoph Neumann ist IT-Forensiker und Sachverständiger für digitale Beweismittel aus Mainz. Er befasst sich mit der Sicherung, Analyse und Bewertung digitaler Daten im Auftrag von Unternehmen, Gerichten und Behörden.
Bei Fragen, Anregungen oder weiterführende Informationen schreiben Sie mir gerne eine Nachricht:
KONTAKT.
IT-Sachverständiger Neumann - Sachverständiger, Gutachter und IT Forensiker
Telefon: +49 6732 607 9976
Fax: +49 6732 607 9731
E-Mail: info@it-sachverstaendiger-neumann.de
Wilhelm-Theodor-Römheld-Straße 14
55130 Mainz