ISO/IEC 27037:2012 “Leitlinien für die Identifizierung, Sammlung, Erfassung und Archivierung elektronischer Beweise”
17. November 2012 09:14 Uhr | PC_admin | Permalink
Am 15.Oktober 2012 hat die International Organization for Standardization (ISO) einen neuen Standard veröffentlicht: ISO / IEC 27037:2012 «Information technology — Security techniques — Guidelines for identification, collection, acquisition and preservation of digital evidence» (Richtlinien für die Identifizierung, Sammlung, Erfassung und Archivierung digitaler Beweismittel).
Die Norm ist Teil der Reihe von Standards für Information Security Management Systeme ISO 27000 und ergänzt die grundlegenden Normen der ISO 27001 und ISO 27002, insbesondere die Anforderungen an Maßnahmen und Kontrollen und die Verwaltung der Sammlung von elektronischen Beweismitteln. Darüber hinaus kann die ISO / IEC 27037:2012 auch außerhalb des Kontextes von Information Security Management Systemen angewendet werden. Beispielsweise bei der Sammlung von nicht-elektronischen Beweismitteln zusammen mit den Standards der ISO / IEC 17020:2012 «Konformitätsbewertung – Anforderungen für den Betrieb verschiedener Typen von Stellen, die Inspektionen durchführen» (GOST ISO / IEC 17020-2010 "Allgemeine Kriterien für den Betrieb verschiedener Typen von Regulierungsstellen") und ISO / IEC 17025:2005 «Allgemeine Anforderungen an die Kompetenz von Prüf-und Kalibrierlaboratorien» (EN ISO / IEC 17025-2009 Allgemeine Anforderungen an die Kompetenz von Prüf-und Kalibrier- Laboratories).
Die Einleitung des Standards informiert darüber, dass die internationale Norm Richtlinien für bestimmte Arten von Arbeiten mit elektronischen Beweise, wie die Identifizierung, Sammlung, Erfassung und Erhaltung der potentiellen digitale Beweise, die Beweiskraft haben können, enthält.
Diese Schritte seien notwendig für die Untersuchung der Prozessentwicklung, dabei gehe es um die Integrität der elektronischen Beweissicherung. Die Norm biete eine anerkannte Methodik für die Verwendung elektronischer Beweismittel, vorausgesetzt sie werde für die vorgesehenen Zwecken eingesetzt. Der Standard soll zudem als Orientierungshilfe für die Verantwortlichen, die für die Identifizierung, Sammlung, Erfassung und Erhaltung der potentiellen elektronische Beweismittel verantwortlich sind sowie für typische Situationen, die bei der Verarbeitung von elektronischem Beweismaterial entstehen, dienen. Verantwortliche in diesem Sinne können Experten bei der Beweisaufnahme am Tatort (Digital Evidence First Responder, DEFR), Spezialisten für die Arbeit mit elektronischen Beweismitteln (Digital Evidence Specialist, DES), Spezialisten für die Reaktion auf Vorfälle (incident commanders) und Laborleiter der Computer-Forensik sein.
Der Standard erleichtert das Management elektronischer Beweismaterialien und verantwortlicher Personen unter Anwendung der akzeptierten internationalen Praktiken, um eine systematische und objektive Art und Weise der Untersuchungen mit elektronischen Geräten und elektronischem Beweismaterial sowie die Wahrung ihrer Integrität und Authentizität zu gewährleisten.
Weiterhin hilft der Standard Organisationen bei der Erfüllung ihrer Disziplinarverfahren und erleichtert den Austausch potentieller elektronischer Beweismittel zwischen den verschiedenen Ländern. Die Norm enthält ebenfalls Informationen für Entscheidungsträger, die die Zuverlässigkeit der vorliegenden elektronischen Beweise bestimmen müssen. Sie ist nützlich für Organisationen, die potenzielle elektronische Beweise schützen, analysieren und über sie berichten. Der Standard ist desweiteren wichtig für die politischen Entscheidungsträger, die Verfahren im Zusammenhang mit elektronischem Beweismaterial entwickeln und evaluieren, oft als Teil eines größeren Kreises von Beweisen. Inhalt sind ebenfalls potentielle elektronische Beweismittel, die von den elektronischen Medien jeglicher Art gesammelt werden können.
Der Standard umfasst auch Daten. die bereits in einem elektronischen digitalen Format voeliegen. Nicht umfasst wird die Umwandlung von analogen Daten in digitale Formate. Laut ISO / IEC 27037:2012 muss aufgrund der Fragilität der potenziellen elektronischen Beweise, eine geeignete Methode, die die Integrität und Beweiskraft aufrecht erhalten kann, eingehalten werden. Dabei wird nicht die Benutzung eines bestimmten Tools oder einer bestimmten Technik vorgeschrieben. Wichtig für die Glaubwürdigkeit der Untersuchung ist vielmehr die während der Untersuchung verwendete Methodik und die Teilnahme von professionell geschulten Personen, damit die normierten und festgelegten Aufgaben methodengerecht durchgeführt werden. Dabei gilt diese Norm nicht als Methodik für die Durchführung des Disziplinarverfahrens und anderer relevanter Tätigkeiten im Zusammenhang mit der Verwendung von elektronischem Beweismaterial.
Die Anwendung dieser Norm muss den nationalen Gesetzen und Vorschriften entsprechen. Der Standard ersetzt in keinem Fall spezifische rechtliche Vorschriften der Gerichtsbarkeit. Er kann jedoch als praktischer Leitfaden für DEFR und DES-Spezialisten bei Untersuchungen von potenziellen elektronischen Beweismitteln dienen. Der Standard befasst sich weiterhin nicht mit der Analyse von elektronischem Beweismaterial und dient ebensowenig als Ersatz für die spezifisch von den Justizbehörden verhängten Anforderungen an die Zulässigkeit von Beweismitteln, Beurteilung der Beweiskraft, Relevanz sowie andere Einschränkungen bei der Nutzung der potentiellen elektronischen Beweismittel vor Gericht. Der Standard kann vielmehr dazu beitragen, den Austausch von potenziellen elektronischen Beweismitteln zwischen den verschiedenen Rechtsordnungen zu erleichtern. Um die Integrität der elektronischen Beweissicherung zu sichern, müssen die Verantwortlichen sich dieser internationalen Norm anpassen. D.h. die in der Norm beschriebenen Verfahren in Übereinstimmung mit den jeweiligen spezifischen rechtlichen Vorschriften, die für elektronische Beweise gelten, anpassen.
ISO/IEC 27037:2012 provides guidelines for specific activities in the handling of digital evidence, which are identification, collection, acquisition and preservation of potential digital evidence that can be of evidential value.
It provides guidance to individuals with respect to common situations encountered throughout the digital evidence handling process and assists organizations in their disciplinary procedures and in facilitating the exchange of potential digital evidence between jurisdictions.
ISO/IEC 27037:2012 gives guidance for the following devices and circumstances:
- Digital storage media used in standard computers like hard drives, floppy disks, optical and magneto optical disks, data devices with similar functions,
- Mobile phones, Personal Digital Assistants (PDAs), Personal Electronic Devices (PEDs), memory cards,
- Mobile navigation systems,
- Digital still and video cameras (including CCTV),
- Standard computer with network connections,
- Networks based on TCP/IP and other digital protocols, and
- Devices with similar functions as above.
The above list of devices is an indicative list and not exhaustive.