---
name: forensic-imaging
description: "Leitet forensische Sicherung von IT-Systemen an – Imaging-Standards, Chain of Custody, Hash-Werte, Zulässigkeit und DSGVO-Konformität im Internal Investigations Praxis."
---

# Forensic Imaging und IT-Datensicherung

## Arbeitsweg

- Rolle, Ziel und gewünschtes Arbeitsprodukt klären: Wer handelt, welche Entscheidung steht an, welche Frist läuft und welcher Output wird gebraucht?
- Fristen und Eilrisiken zuerst markieren: nur die Fristen des konkreten Rechtsgebiets und der Akte verwenden; Widerspruch, Klage, Einspruch, Rechtsmittel, Verjährung, Verwirkung, Rüge-, Anzeige-, Anmelde- und Ausschlussfristen strikt trennen und nie aus einem anderen Fachgebiet übernehmen.
- Tragende Normen verifizieren: DSGVO Art. 5, 6, 7, 9, 12-22, 25, 28, 30, 32, 33-34, 35, 51-58, 77-83, BDSG §§ 22-25, 26, 30; StPO §§ 53, 97, 102, 110, 136, 137, 152, 153a, BGB §§ 280, 626, BRAO § 43a, GwG, AntiDopG, HinSchG; StPO; HinSchG — Fundstellen über gesetze-im-internet.de, dejure.org, openJur, BVerfG-/BGH-/EuGH-Datenbank live prüfen; keine Modellwissen-Zitate.
- Zuständige Stelle bestimmen und Adressaten richtig wählen: Mandant, Gegner, zuständige Behörde oder Gericht, Sachverständige, ggf. EU-/internationale Stelle (siehe Skill-Detail).
- Dokumente und Beweismittel sammeln und auf Lücken prüfen: Verwaltungsakte, Vertragsurkunden, Schriftsätze, Bescheide, Protokolle, Sachverständigengutachten und externe Beweismittel des Fachgebiets — fehlende Belege durch Akteneinsicht oder Rückfrage beim Mandanten beschaffen, Live-Check für tagesaktuelle Normänderungen und Verwaltungspraxis.

## Rechtlicher Rahmen

Forensic Imaging ist die Erstellung einer bit-genauen Kopie eines digitalen Datenträgers, um Beweise integer zu sichern. Es unterliegt keiner spezifischen deutschen Gesetzesnorm, muss aber DSGVO-konform sein (§ 26 BDSG, Art. 5 Abs. 1 lit. c DSGVO – Datenminimierung) und den technischen Standard ISO/IEC 27037 (Guidelines for identification, collection, acquisition and preservation of digital evidence) einhalten. Bei fehlerhafter Durchführung drohen Beweisverwertungsverbote, und die Integrität des gesamten Ermittlungsergebnisses kann in Frage gestellt werden.

## Ziel dieses Skills

Dieser Skill stellt sicher, dass forensische Sicherungsmaßnahmen technisch korrekt, rechtlich zulässig und beweissicher durchgeführt werden.

## Arbeitsprogramm

### 1. Vorbereitung und Rechtsgrundlage
- DSGVO-Rechtsgrundlage für die Verarbeitung der gesicherten Daten (§ 26 BDSG bei Beschäftigtendaten; Art. 6 Abs. 1 lit. f DSGVO).
- Verhältnismäßigkeit: Ist ein vollständiges Disk-Image erforderlich, oder reicht Selective Collection?
- Betriebsratszustimmung (§ 87 Abs. 1 Nr. 6 BetrVG) bei systematischer Überwachung prüfen.
- Auftragserteilung an externen IT-Forensiker: NDA und Auftragsverarbeitungsvertrag (Art. 28 DSGVO) abschließen.

### 2. Forensic-Imaging-Standard
- **Write-Blocker**: Hardware-Write-Blocker verwenden, um keine Spuren auf dem Original zu hinterlassen.
- **Hash-Werte**: SHA-256-Hash von Originalmedium und Image berechnen; Übereinstimmung dokumentiert Integrität.
- **Image-Format**: EnCase (E01), FTK-Image, DD-Format – dokumentieren, welches Format und welche Software verwendet wurde.
- **Dokumentation**: Gerätebeschreibung (Seriennummer, Hersteller, Modell), Zeitstempel, Name des Forensikers, Zeuge.
- ISO/IEC 27037: Identifikation → Sicherung → Dokumentation → Übergabe.

### 3. Chain of Custody
- Jeder Zugriff auf das Originalmedium und das Image wird protokolliert (wer, wann, warum).
- Physische Sicherung: Image auf verschlüsseltem Datenträger in versiegeltem Behälter.
- Keine Auswertung des Originals – nur des Images.
- Für gerichtliche Verwertung: Chain-of-Custody-Protokoll als Anlage zum Ermittlungsbericht.

### 4. Scope: Vollbild vs. gezielte Sicherung
- Vollständiges Disk-Image: höchste Beweissicherung, aber datenschutzrechtlich eingriffsintensiver.
- Selective Collection (z. B. nur bestimmte Ordner, Dateitypen, Zeiträume): datenschutzfreundlicher, aber Beweislücken möglich.
- Keyword-Suche auf Image: erstes Selektionsmittel; Liste der Keywords dokumentieren und begründen.
- Responsive vs. non-responsive Dokumente trennen (für US-Discovery relevant).

### 5. Besondere Datenträger
- **Mobile Devices**: Chip-off, JTAG oder forensische Software (Cellebrite, Oxygen Forensics) – Passwortschutz und Verschlüsselung beachten (vgl. inv-018-mobile-devices).
- **Cloud-Dienste**: Exportfunktionen nutzen (Google Workspace, M365 eDiscovery); Drittstaatentransfer prüfen.
- **Encrypted Devices**: BitLocker/FileVault – Schlüssel bei IT sichern oder Entschlüsselungshilfe vom Gerätehersteller anfordern.
- **Collaboration Tools**: Teams-Compliance-Center, Slack eDiscovery API.

### 6. DSGVO-Anforderungen bei der Auswertung
- Keine Auswertung privater Kommunikation, wenn private Nutzung erlaubt oder unklar ist.
- Filter für private E-Mails/Dokumente vor Übergabe an Rechtsanwalt einsetzen.
- Drittbetroffene (Kunden, Geschäftspartner): personenbezogene Daten minimieren.
- Löschkonzept: wann werden forensische Images vernichtet?

### 7. Dokumentation für den Bericht
- Forensik-Summary: welche Systeme, welche Zeiträume, welche Keywords, Treffer-Übersicht.
- Nicht verwertbare Dateien dokumentieren (defekte Sektoren, verschlüsselte Bereiche).
- Expert Witness Report für US-Discovery oder Strafverfahren.

## Normenregister

| Norm | Inhalt | Quelle |
|---|---|---|
| § 26 BDSG | Beschäftigtendatenschutz | [gesetze-im-internet.de](https://www.gesetze-im-internet.de/bdsg_2018/__26.html) |
| Art. 5 DSGVO | Datenminimierung | [eur-lex.europa.eu](https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX%3A32016R0679) |
| Art. 28 DSGVO | Auftragsverarbeitung | [eur-lex.europa.eu](https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX%3A32016R0679) |
| § 87 BetrVG | Mitbestimmung Überwachung | [gesetze-im-internet.de](https://www.gesetze-im-internet.de/betrvg/__87.html) |

## Ausgabeformate

- **Forensik-Auftragsvorlage** (Scope, Standards, NDA, Art. 28 DSGVO)
- **Chain-of-Custody-Protokoll**
- **Forensik-Summary-Vorlage**
- **DSGVO-Konformitätsprüfung** für Forensic Imaging
- **Expert Witness Report** (Vorlage für US-Discovery)

Rechtsprechungszitate nur mit Gericht, Datum, Aktenzeichen und frei prüfbarer Quelle.

<!-- BEGIN ausformulierungspflicht (autogen) -->
> **Ausformulierungspflicht.** Das Endprodukt wird in **vollständigen, ausformulierten Sätzen** geliefert — keine Stichwortskelette, keine leeren Klauselrümpfe, keine reinen Aufzählungen. Klauseln stehen als ausformulierte Rechtsfolgen-Sätze; Platzhalter wie `[Name der Mandantin]` werden klar markiert, der umgebende Text bleibt vollständig. Diese Regel folgt der zentralen Vorgabe in der `CLAUDE.md` des Repos und gilt ausnahmslos.
<!-- END ausformulierungspflicht (autogen) -->

