Wenn der Ernstfall eintritt, zählt jede Minute – und jeder digitale Beweis. Wie Schweizer Unternehmen mit professioneller IT-Forensik Angreifer überführen und Schäden begrenzen.
Es beginnt oft unscheinbar: Ein Mitarbeiter bemerkt ungewöhnliche Aktivitäten auf seinem Firmenlaptop. Dateien wurden verschoben, die niemand angerührt haben will. Oder ein Server zeigt plötzlich Verbindungen zu IP-Adressen in Ländern, mit denen Ihr Unternehmen keine Geschäftsbeziehungen pflegt. Ist das ein Fehlalarm – oder der Anfang einer Katastrophe?
Genau hier kommt die digitale Forensik ins Spiel. Sie ist der Unterschied zwischen hilflosem Rätselraten und methodischer Aufklärung.
Was ist digitale Forensik?
Digitale Forensik – auch IT-Forensik oder Computer Forensik genannt – ist die wissenschaftliche Untersuchung und Auswertung digitaler Spuren. Dabei werden Daten auf Computern, Smartphones, Servern, Netzwerken und Cloud-Systemen gesichert, analysiert und so aufbereitet, dass sie als Beweismittel vor Gericht standhalten.
Anders als bei einem normalen IT-Support geht es bei der Forensik nicht darum, ein Problem schnell zu beheben. Im Gegenteil: Vorschnelles Handeln kann Beweise unwiederbringlich zerstören. Der forensische Ansatz ist methodisch, dokumentiert und gerichtsfest.
Die drei Säulen der digitalen Forensik
Computer Forensik: Wenn der Rechner zum Tatort wird
Bei der Computer Forensik werden Festplatten, SSDs und Arbeitsspeicher von Desktop-Rechnern, Laptops und Servern untersucht. Selbst gelöschte Dateien, versteckte Partitionen und verschlüsselte Bereiche können oft wiederhergestellt und analysiert werden.
Typische Einsatzszenarien sind die Aufklärung von Datendiebstahl durch ehemalige Mitarbeitende, die Analyse von Ransomware-Angriffen, um den Einfallsvektor zu identifizieren, die Untersuchung bei Verdacht auf Wirtschaftskriminalität oder Industriespionage sowie die Wiederherstellung versehentlich oder mutwillig gelöschter Geschäftsdaten.
Handy Forensik: Das Smartphone als Beweisquelle
Smartphones sind heute wahre Datenschätze – und damit auch für die Forensik von enormer Bedeutung. Ein einzelnes Gerät enthält Kommunikationsverläufe, Standortdaten, Fotos mit Metadaten, App-Nutzungshistorien und oft auch Zugangsdaten zu Cloud-Diensten.
Die Handy Forensik ist technisch besonders anspruchsvoll, da moderne Smartphones über ausgefeilte Verschlüsselungsmechanismen verfügen. Professionelle Forensiker setzen spezialisierte Hardware und Software ein, um auch aus gesperrten oder beschädigten Geräten verwertbare Daten zu extrahieren – selbstverständlich immer im Rahmen der geltenden Gesetze.
Netzwerk-Forensik: Den digitalen Spuren im Datenverkehr folgen
Während Computer- und Handy-Forensik sich auf einzelne Geräte konzentrieren, analysiert die Netzwerk-Forensik den Datenverkehr selbst. Wer hat wann welche Daten wohin übertragen? Über welchen Weg sind Angreifer eingedrungen? Welche Systeme wurden kompromittiert?
Diese Disziplin ist besonders bei der Aufklärung von Cyberangriffen entscheidend, da sich Angreifer oft lateral – also seitwärts – durch das Netzwerk bewegen, bevor sie zuschlagen.
Digitale Beweise sichern: Warum jede Sekunde zählt
Der grösste Fehler, den Unternehmen nach einem Sicherheitsvorfall machen, ist vorschnelles Handeln. In der Panik werden Server neu gestartet, Passwörter geändert, Systeme «gesäubert» – und damit wertvolle Beweise vernichtet.
Für die korrekte digitale Beweissicherung gelten strikte Grundsätze:
Nichts verändern. Betroffene Systeme sollten nicht heruntergefahren, sondern im laufenden Betrieb gesichert werden. Der Arbeitsspeicher enthält oft flüchtige Beweise, die bei einem Neustart unwiederbringlich verloren gehen.
Alles dokumentieren. Jeder Schritt muss lückenlos protokolliert werden – wer hat wann was getan? Diese sogenannte Chain of Custody (Beweismittelkette) ist entscheidend, wenn die Ergebnisse vor Gericht verwendet werden sollen.
Forensische Kopien erstellen. Die Analyse erfolgt nie am Originaldatenträger, sondern immer an einer bitgenauen Kopie. So bleibt das Original unverändert und als Beweismittel erhalten.
Integrität nachweisen. Durch kryptographische Hashwerte wird sichergestellt, dass die gesicherten Daten nicht nachträglich manipuliert wurden.
Wann brauchen Sie digitale Forensik?
Viele Unternehmen denken bei Forensik an spektakuläre Kriminalfälle. Die Realität ist nüchterner – und alltäglicher, als man denkt:
Nach einem Cyberangriff – um zu verstehen, wie der Angreifer eingedrungen ist, welche Daten betroffen sind und ob noch Hintertüren im System existieren. Diese Informationen sind auch für die ISG-Meldepflicht beim BACS relevant.
Bei Verdacht auf internen Datendiebstahl – wenn ein Mitarbeiter das Unternehmen verlässt und der Verdacht besteht, dass Kundendaten, Geschäftsgeheimnisse oder geistiges Eigentum mitgenommen wurden.
Im Rahmen von arbeitsrechtlichen Auseinandersetzungen – wenn digitale Kommunikation als Beweismittel benötigt wird und gerichtsfest aufbereitet werden muss.
Bei Compliance-Untersuchungen – wenn Regulatoren oder Auditoren Nachweise über den Umgang mit sensiblen Daten verlangen.
Digitale Forensik und Schweizer Recht
In der Schweiz unterliegt die digitale Forensik strengen rechtlichen Rahmenbedingungen. Das Schweizer Datenschutzgesetz (revDSG), das Strafrecht und arbeitsrechtliche Bestimmungen setzen klare Grenzen.
Besonders wichtig: Nicht alles, was technisch möglich ist, ist auch rechtlich zulässig. Die forensische Untersuchung eines Firmengeräts erfordert andere rechtliche Grundlagen als die eines privaten Smartphones. Professionelle Forensik-Dienstleister in der Schweiz kennen diese Grenzen und stellen sicher, dass die gewonnenen Beweise auch tatsächlich vor Gericht verwertbar sind.
So bereiten Sie Ihr Unternehmen vor
Die beste Forensik ist die, die Sie nie brauchen. Aber wenn Sie sie brauchen, sollten Sie vorbereitet sein. Als Unternehmen für IT-Sicherheit in der Schweiz und Cybersicherheit Schweiz sehen wir immer wieder: Wer sich vorbereitet, übersteht den Ernstfall besser. Folgende Massnahmen können Sie heute schon ergreifen:
Incident-Response-Plan erstellen. Definieren Sie vorab, wer im Ernstfall was tut. Wer ruft den Forensiker an? Wer informiert die Geschäftsleitung? Wer meldet den Vorfall beim BACS?
Logging aktivieren und aufbewahren. Ohne Logs gibt es keine Spuren. Stellen Sie sicher, dass Ihre Systeme ausreichend protokollieren und die Logs mindestens 90 Tage aufbewahrt werden.
Forensik-Partner identifizieren. Suchen Sie sich jetzt – nicht erst im Krisenfall – einen vertrauenswürdigen Forensik-Dienstleister in der Schweiz. Im Ernstfall zählt jede Stunde.
Mitarbeitende schulen. Ihre Teams müssen wissen, dass sie bei einem Verdacht nichts selbst «reparieren» sollen, sondern sofort die IT-Sicherheitsverantwortlichen informieren.
Fazit: Digitale Forensik ist kein Krimi – sondern Unternehmensschutz
In einer Welt, in der Geschäftsprozesse fast vollständig digital ablaufen, sind digitale Beweise genauso real und wichtig wie physische. Ob nach einem Cyberangriff, bei internem Fehlverhalten oder in rechtlichen Auseinandersetzungen: Professionelle digitale Forensik schützt Ihr Unternehmen, sichert Ihre Rechte und liefert die Fakten, die Sie für fundierte Entscheidungen brauchen.
Warten Sie nicht, bis der Ernstfall eintritt. Bereiten Sie sich heute vor – damit Sie morgen handlungsfähig sind.
Ihr Unternehmen wurde angegriffen oder Sie vermuten einen Sicherheitsvorfall? Melden Sie Ihren Vorfall – unser Incident-Response-Team ist rund um die Uhr erreichbar.
