Zurück zur Übersicht
15.09.2022

IT-Forensik und Datenschutz

Der HmbBfDI hat eine standardisierte Vorgehensweise für forensische Prüfungen etabliert.

Im Zuge von Prüfungen und Beschwerden muss zunächst festgestellt werden, welche Daten auf einem Gerät, etwa einem Smartphone oder USB-Stick gespeichert und verarbeitet wurden. Auch zuvor gelöschte und dann rekonstruierte Daten können für die Sachverhaltsaufklärung von Interesse sein. Bei diesen technischen Prüfungen des HmbBfDI ist es von hoher Relevanz, aussagekräftige und belastbare Informationen über den jeweiligen Prüfgegenstand zu gewinnen, die letztlich eine gerichtsfeste Qualität aufweisen. Die daraus gewonnenen Erkenntnisse bilden die Grundlage für die Beurteilungen, ob datenschutzrechtliche Verstöße vorliegen und ob und welche Sanktionen verhängt werden. Dabei war in den vergangenen Jahren ein Anstieg solcher technischen Prüfungen zu verzeichnen, die der HmbBfDI zum Anlass genommen hat, für bestimmte Teilbereiche standardisierte Prozesse zu etablieren. Insbesondere anlassbezogene Prüfungen, in denen Speichermedien auszuwerten waren, stellen zunehmend einen solchen Bereich dar.

Für die bisherige aufsichtsbehördliche Praxis beim HmbBfDI waren Auswertungen von Speichermedien wie u.a. (externe) Festplatten, USB-Sticks, SD-Karten und auch Speicher von Smartphones für die Aufklärung von Sachverhalten im Rahmen technischer Prüfungen von Bedeutung. Um solche Speichermedien und die auf ihnen gespeicherten personenbezogenen Daten beurteilen und würdigen zu können, ist es wichtig, einheitliche und abgestimmte Analyseprozesse zu definieren, die von externen Stellen – wie etwa Gerichten – nachvollzogen und evaluiert werden können. Der HmbBfDI hat daher zum Zwecke der Datenträgeruntersuchung ein standardisiertes Vorgehen definiert:

Zunächst werden diese Datenträger/Speichermedien gesichert, ohne dass die Speichermedien verändert werden. Erst dann folgt die Analyse, die lückenlos dokumentiert wird. Die Vorgehensweise basiert auf dem Leitfaden IT-Forensik des Bundesamtes für Sicherheit in der Informationstechnik (BSI), mit der die Vollständigkeit und Integrität sowie Authentizität sichergestellt wird. Sie umfasst dabei u.a. die integritätsgesicherte Erstellung forensischer Duplikate mittels sog. WriteBlocker sowie eine Auswertung auf Basis von Werkzeugen, die dem aktuellen Stand der Technik entsprechen. In der Regel sind die genutzten Programme quelloffen in der IT-Security-Community entwickelt worden. Der Untersuchungsumfang wird dabei stets zu Beginn der jeweiligen Überprüfung festgelegt und alle Schritte dieses Prozesses dokumentiert. Die notwendige Hardwareausstattung wurde in den vergangenen Jahren stets zielgerichtet beschafft, sodass die benötigten Ressourcen zur Verfügung stehen. Durch externe Schulungen konnte das notwendige Know-how bei den zuständigen Mitarbeiterinnen und Mitarbeitern ausgebaut werden. Der HmbBfDI geht davon aus, dass sich die geschilderte Entwicklung zur Notwendigkeit solcher technischen Untersuchungen im Laufe der kommenden Jahre weiter fortsetzen und sogar erhöhen wird. Auch ist davon auszugehen, dass zukünftig im Rahmen anlassloser Prüfungen sowie Meldungen der verantwortlichen Stellen über Verletzungen des Schutzes personenbezogener Daten nach Art. 33 DSGVO (Data Breaches) ebensolche Methodiken durch den HmbBfDI zunehmend genutzt werden. Der Austausch mit anderen Datenschutzaufsichtsbehörden wird dabei einerseits die Bewertung deutschlandweit und auch auf europäischer Ebene vereinheitlichen und andererseits durch den fachlichen Austausch auch bezüglich der Qualität datenschutztechnischer Prüfungen zu Mehrwerten in der aufsichtsbehördlichen Praxis führen.

An dieser Stelle sei deutlich betont, dass der unberechtigte Zugang zu Daten, die besonders gesichert sind, oder gar die Nutzung von Backdoors im Rahmen dieser technischen Prüfungen eine klare Grenze darstellen und zu keinem Zeitpunkt geplant waren. Im Gegenteil positioniert sich der HmbBfDI seit etlichen Jahren klar dafür, dass IT-Sicherheitslücken schnellstmöglich zu schließen sind, damit alle Personen sicher sein können, dass ihre personenbezogenen Daten nur ihnen und ausdrücklich Berechtigten zugänglich gemacht werden. Im Rahmen der o.g. Prüfungen findet außerdem stets eine Abwägung zwischen den durchzuführenden Eingriffen – teilweise bei privaten Endgeräten – und dem im Raum stehenden datenschutzrechtlichen Verstoß statt.

Quelle: HmbBfDI

Weitere unterstützende Hinweise zum Datenschutz finden Sie in diesen Beiträgen:

Dieser Absatz enthält Affiliatelinks/Werbelinks