Typisches Szenario aus der Schadenpraxis: Eine Steuerkanzlei mit sieben Mitarbeitern, Mandantendaten in einer Cloud-Anwendung, Buchhaltung lokal auf einem NAS. Freitagabend startet ein Backup nicht durch. Samstagvormittag stellt der Inhaber fest, dass Dateien nicht mehr lesbar sind und auf jedem Bildschirm eine Lösegeldforderung erscheint. Erste Reaktion: Server neu starten, Backup zurückspielen, montags weiterarbeiten.
Genau diese erste Reaktion ist ein Problem. Mit dem Neustart wurden flüchtige Daten im Arbeitsspeicher gelöscht, mit dem Restore wichtige Manipulationsspuren überschrieben. Die spätere Frage der Datenschutzbehörde, welche Mandantendaten konkret abgeflossen sind, lässt sich jetzt schwer beantworten. Die Cyberversicherung verlangt einen forensischen Bericht für die Schadenregulierung. Das Landeskriminalamt will Beweise sehen. Sie sind nicht mehr da.
IT-Forensik ist die methodische Sicherung und Auswertung digitaler Spuren nach einem Sicherheitsvorfall. Sie klärt drei Fragen: Wie ist der Angreifer ins System gekommen, welche Daten waren betroffen und welche Beweise lassen sich verwertbar dokumentieren. Ohne sie läuft die Cyberversicherung halb ins Leere, die DSGVO-Meldung wird ungenau und die Strafverfolgung steht ohne Spuren da.
Die meisten kleinen und mittelständischen Unternehmen reagieren auf einen Cyberangriff mit Bereinigung statt Beweissicherung. Server werden neu aufgesetzt, Backups eingespielt, das System läuft wieder. In den ersten 24 Stunden zerstört das einen Großteil der digitalen Spuren. Wer den Vorgang umkehrt und zuerst forensisch sichert, dann wiederherstellt, verliert wenige Stunden Verfügbarkeit, gewinnt aber den Versicherungsfall, die Strafverfolgung und die DSGVO-konforme Meldung.
Was IT-Forensik nach einem Cyberangriff leistet
Das Bundesamt für Sicherheit in der Informationstechnik definiert IT-Forensik in seinem Leitfaden IT-Forensik als methodisch vorgenommene Datenanalyse auf Datenträgern und in Computernetzen zur Aufklärung von Sicherheitsvorfällen. Sie ist Beweisarbeit, nicht Wiederherstellung. Die Forensik fragt nach dem Was, Wie und Wer, nicht nach dem Wie kommen wir wieder online.
In der Praxis hat eine forensische Untersuchung drei Adressaten und entsprechend drei Ergebnisse. Für die Geschäftsführung beantwortet sie, wie groß der tatsächliche Schaden ist und welche Kunden, Mitarbeiter oder Geschäftspartner informiert werden müssen. Für die Aufsichtsbehörde liefert sie die Faktengrundlage der DSGVO-Meldung nach Art. 33 und belegt die ergriffenen Schutzmaßnahmen. Für die Cyberversicherung ist der forensische Bericht meist Voraussetzung der Schadenregulierung.
Wichtig ist die Abgrenzung zur Incident Response. Incident Response ist die operative Abwehr und Wiederherstellung, also Angreifer aussperren, Systeme isolieren, Backups einspielen, Geschäftsbetrieb sichern. Forensik ist die parallel laufende oder nachgelagerte Beweisaufnahme. In gut organisierten Vorfällen arbeiten beide Teams zusammen, in schlecht organisierten zerstört das Incident-Response-Team die Beweise, die das Forensik-Team später bräuchte.
Das BSI-Vorgehensmodell: 7 Phasen der Forensik
Das BSI beschreibt im Leitfaden IT-Forensik ein siebenstufiges Vorgehensmodell. Es ist in Deutschland faktischer Standard und unterscheidet sich vom amerikanischen NIST-Modell vor allem dadurch, dass es zwei Vorbereitungsphasen ausdrücklich vor den eigentlichen Vorfall legt. Wer die strategische Vorbereitung verschläft, verliert in der akuten Lage Zeit und Beweise.
| Phase | Was passiert | Wann |
|---|---|---|
| 1. Strategische Vorbereitung | Logging-Strategie, Backup-Konzept, Forensik-Werkzeuge bereitstellen, Verträge mit Dienstleistern | Vor dem Vorfall |
| 2. Operative Vorbereitung | Konkretes Werkzeugkit für den Einzelfall, Asservaten-Logbuch, Personal-Briefing | Bei Vorfallsverdacht |
| 3. Datensammlung | Forensische Duplikate (Bit-für-Bit-Image), Arbeitsspeicher-Dump, Netzwerk-Mitschnitte, Log-Sicherung | Akut, oft Stunden |
| 4. Datenextraktion | Aus den Datenkopien relevante Inhalte herausziehen: Dateisysteme, Browser-Spuren, gelöschte Daten, Registry | Im Labor, Tage |
| 5. Datenanalyse | Korrelation der Spuren: Wer war wann wo, mit welchem Werkzeug, mit welchem Ziel | Tage bis Wochen |
| 6. Datenbewertung | Bewertung der Beweiskraft, Plausibilitätsprüfung, Zuordnung zu Tatbeständen | Wochen |
| 7. Dokumentation | Begleitend in jeder Phase, mündet im gerichtsfesten Abschlussbericht | Durchgehend |
Die Phasen 3 bis 6 sind die eigentliche forensische Arbeit, Phase 7 läuft durchgehend mit. Für den Geschäftsbetrieb bedeutet das: in den ersten Stunden nach Entdeckung des Angriffs entscheidet sich, ob Phase 3 überhaupt noch erfolgreich sein kann. Reboots, Restores und schreibende Bereinigungen ohne vorheriges forensisches Image können Daten zerstören, die in den Phasen 4 bis 6 noch gebraucht werden.
Wer macht IT-Forensik?
In Deutschland kommen drei Gruppen für eine forensische Untersuchung infrage. Sie unterscheiden sich in Geschwindigkeit, Kosten, Spezialisierung und Verfügbarkeit für Privatkunden.
Spezialisierte private Dienstleister
Die in der Schadenpraxis dominierende Variante. Spezialisierte Forensik-Dienstleister wie KPMG, PwC, Deloitte oder mittelständische Anbieter rücken mit eigenen Tools an, oft binnen weniger Stunden. Sie arbeiten mit zertifizierten Werkzeugen wie EnCase, FTK oder X-Ways, dokumentieren gerichtsfest und liefern einen verwertbaren Bericht. Stundensätze beginnen laut öffentlich dokumentierten Preislisten kleiner Anbieter bei 100 Euro netto und reichen bei den Big-Four-Beratungen bis weit über 250 Euro pro Stunde.
Polizei und Landeskriminalamt
Die Zentralen Ansprechstellen Cybercrime (ZAC) der Landeskriminalämter sind in jedem Bundesland eingerichtet und speziell auf Wirtschaftsfälle ausgelegt. Sie nehmen die Anzeige auf, sichern Beweise und ermitteln gegen die Täter. Vorteil: keine Kosten für das Unternehmen, polizeiliche Zwangsmaßnahmen möglich, BKA-Vernetzung. Nachteil: Behörden arbeiten nach Strafverfolgungspriorität, nicht nach den Wiederherstellungs-Interessen des Unternehmens. Geräte werden gegebenenfalls eingezogen, die Bearbeitungsdauer ist deutlich länger als bei privaten Dienstleistern.
Versicherer-eigene Forensik-Teams
Die meisten Cyberversicherer betreiben Partnernetzwerke aus Forensik-Dienstleistern, IT-Notfallhelfern und spezialisierten Anwälten. Im Schadenfall wird über die 24/7-Notfall-Hotline ein Team aktiviert, das oft noch am gleichen Tag vor Ort oder remote arbeiten kann. Diese Variante hat zwei Vorteile: Erstens ist die Reaktionszeit kurz. Zweitens trägt der Versicherer die Kosten direkt, ohne dass der Kunde zwischenfinanzieren muss.
Was IT-Forensik kostet
Eine pauschale Antwort gibt es nicht. Die Kosten hängen von Art des Vorfalls, Anzahl betroffener Systeme, Größe der Datenbasis und Tiefe der gewünschten Analyse ab. Der Branchenverband Bitkom beziffert in seinem Leitfaden Cybersicherheit die Kosten externer IT-Forensiker bei einem typischen Schadensfall mit rund 150.000 Euro. Diese Zahl ist ein Mittelwert über sehr unterschiedliche Vorfallsgrößen.
| Vorfallstyp | Untersuchungsumfang | Typischer Kostenrahmen |
|---|---|---|
| Phishing in einer Arztpraxis, klar lokalisiert | Eine kompromittierte Workstation, ein Mailkonto, kein Datenabfluss bestätigt | 5.000 bis 15.000 € |
| Ransomware in einer Steuerkanzlei mit NAS | Server, NAS, mehrere Workstations, Backup-Analyse, DSGVO-relevant | 20.000 bis 60.000 € |
| Ransomware im Mittelstand, mehrere Standorte | 10 bis 50 Server, AD-Kompromittierung, Datenabfluss-Prüfung, Wochen Analyse | 100.000 bis 400.000 € |
| Komplexer APT-Vorfall mit Lieferketten-Bezug | Wochen bis Monate Untersuchung, internationale Koordination, Threat Intelligence | ab 500.000 € |
Beispielrechnungen aus typischen Fallszenarien. Die konkreten Kosten variieren je nach Anbieter, Region und Verhandlungsspielraum.
Die Kosten setzen sich aus drei Blöcken zusammen. Der erste sind die forensischen Aufnahmen vor Ort: Datenträger spiegeln, Speicher dumpen, Netzwerk mitschneiden. Das ist Stundenarbeit, oft im Tagessatz. Der zweite Block ist die Laboranalyse: Auswertung der Images, Korrelation der Spuren, Reverse Engineering der Schadsoftware. Hier liegt typischerweise der größte Anteil der Gesamtkosten. Der dritte Block ist der Abschlussbericht und die Begleitung von Behörden- und Gerichtsverfahren.
Chain of Custody: Warum lückenlose Dokumentation entscheidend ist
Die Beweismittelkette, im Fachjargon Chain of Custody, ist die lückenlose Dokumentation jedes Kontakts mit einem digitalen Beweismittel vom Moment der Sicherung bis zur Vorlage vor Gericht. Wer hat das Image erstellt, wann, mit welchem Werkzeug, welche Prüfsumme hat das Original, wer hatte Zugriff auf die Kopie, wo lag sie, wer hat sie analysiert.
Das ist keine Bürokratie, sondern juristisch zwingend. Wenn die Kette bricht, also nicht lückenlos belegt werden kann, dass die digitalen Beweise zwischen Sicherung und Gericht weder absichtlich noch unabsichtlich verändert wurden, kann das Gericht den Beweisen die Beweiskraft absprechen. Bereits kleine Lücken in der Dokumentation können dazu führen, dass die forensische Arbeit für die Strafverfolgung wertlos wird.
Was eine saubere Chain of Custody dokumentiert: Datum und Uhrzeit jeder Beweismittel-Übergabe, Name und Funktion der beteiligten Personen, eingesetzte Werkzeuge mit Versionsnummer, kryptografische Prüfsummen (SHA-256) der Originaldatenträger und jeder Kopie, Aufbewahrungsort der versiegelten Originale, jede Öffnung des Asservats. Der private Forensik-Dienstleister bringt diese Dokumentation üblicherweise als eigenes Standard-Verfahren mit. Eigenständig im Unternehmen erstellte Sicherungen ohne diese Dokumentation sind vor Gericht oft wertlos.
Wann müssen Sie die Polizei einschalten?
Eine generelle Anzeigepflicht für Cyberangriffe gibt es in Deutschland nicht. Geschädigte Unternehmen entscheiden grundsätzlich selbst, ob sie Strafanzeige erstatten. Die Polizei und das Bundeskriminalamt empfehlen sie aber ausdrücklich, weil ohne Anzeige keine Strafverfolgung läuft und das nationale Lagebild Cybercrime unvollständig bleibt.
Unabhängig davon bestehen Meldepflichten in bestimmten Konstellationen:
- DSGVO Art. 33: Bei jedem Cyberangriff mit möglichem Bezug zu personenbezogenen Daten muss innerhalb von 72 Stunden an die zuständige Datenschutzbehörde gemeldet werden. Details dazu im Artikel DSGVO-Meldepflicht nach Cyberangriff.
- NIS2 (BSIG § 32): Betroffene wesentliche und wichtige Einrichtungen müssen erhebliche Sicherheitsvorfälle binnen 24 Stunden frühwarnen, binnen 72 Stunden ausführlich melden und nach einem Monat einen Abschlussbericht abgeben. Details im Artikel NIS2-Richtlinie für KMU.
- BaFin nach DORA: Finanzdienstleister haben eigenständige Meldewege an die Aufsicht.
Die Zentrale Ansprechstelle Cybercrime (ZAC)
Wer Anzeige erstatten will, geht nicht zur normalen Polizeidienststelle, sondern zur ZAC seines Bundeslandes. Die Zentralen Ansprechstellen Cybercrime sind speziell auf Unternehmen, Behörden und Vereine als Geschädigte ausgerichtet. Sie verstehen die spezifischen Anforderungen an Vertraulichkeit, sind im Bundesnetzwerk und bei Europol verbunden und können Sofortmaßnahmen einleiten. Die Erreichbarkeit ist je Bundesland telefonisch oder per Mail rund um die Uhr oder zu festgelegten Zeiten geregelt.
Wichtig: Eine Anzeige bei der ZAC ist mit einer parallelen Beauftragung eines privaten Forensikers gut vereinbar. Die ZAC stimmt sich in der Regel mit dem Forensik-Dienstleister ab, oft werden Daten geteilt. Eine eigene private Sicherung verhindert nicht die polizeilichen Ermittlungen.
Was die Cyberversicherung übernimmt
IT-Forensik ist in jeder marktüblichen Cyberversicherung Bestandteil des Leistungskatalogs. Die Verträge unterscheiden sich aber in drei wichtigen Punkten, die im Schadenfall den Unterschied zwischen voll gedeckt und teuer aus eigener Tasche ausmachen.
Sublimit prüfen
Viele Verträge enthalten ein Sublimit speziell für Forensikkosten, das niedriger ist als die Hauptversicherungssumme. Beispiel: Police mit 1 Million Euro Versicherungssumme, aber Forensik-Sublimit von 100.000 Euro. Bei einem mittelgroßen Ransomware-Vorfall ist dieses Sublimit schnell ausgeschöpft. Was darüber liegt, zahlt das Unternehmen selbst, auch wenn die Hauptversicherungssumme noch nicht angetastet ist. Vor Vertragsabschluss sollten Sie prüfen, ob die Forensik mit der vollen Versicherungssumme oder mit einem Teilbetrag versichert ist.
Versicherer-Netzwerk vs. eigenständige Beauftragung
Manche Verträge erstatten Forensikkosten nur, wenn der Forensiker aus dem Partnernetzwerk des Versicherers stammt. Das hat Vor- und Nachteile. Pro: schnelle Aktivierung, abgestimmte Prozesse, keine Vorfinanzierung. Contra: weniger Auswahl, eventuell Überlastung bei einer Welle gleichzeitiger Angriffe. Wenn Sie auf einen bestimmten Forensiker setzen wollen, mit dem Sie Vertrauen aufgebaut haben, müssen Sie die Klausel im Vertrag prüfen.
Krisenkommunikation und Rechtsberatung mitversichert
Eine moderne Cyberversicherung deckt mehr als die reine Forensik. Zum Krisenpaket gehören Rechtsberatung für die DSGVO-Meldung, Krisenkommunikation an Kunden und Mitarbeiter, Reputationsmanagement und psychologische Notfallbetreuung in besonders belastenden Fällen. Diese Bausteine sind in der Praxis oft wertvoller als ein höheres Sublimit, weil sie die typischerweise teuren Folgen eines Vorfalls abfedern. Den vollständigen Überblick über typische Leistungsbausteine liefert der Artikel Cyberversicherung: Kosten und Leistungen.
IT-Forensik ist nach einem Cyberangriff kein optionaler Luxus, sondern die Basis für DSGVO-Meldung, Versicherungsfall, Strafverfolgung und interne Aufklärung. Wer in den ersten Stunden Beweise zerstört, verzichtet auf alle vier. Die zwei wichtigsten Vorbereitungsschritte kosten kein Geld: Erstens ein Notfallplan, der vor dem Vorfall festlegt, wer wann welchen Forensiker anruft. Zweitens eine Cyberversicherung mit gedeckter Forensik ohne enges Sublimit. Wer beides hat, kauft sich im Ernstfall die Stunden, die zwischen verwertbaren und vernichteten Beweisen entscheiden.
Häufige Fragen zur IT-Forensik
Was macht ein IT-Forensiker nach einem Cyberangriff?
Ein IT-Forensiker sichert digitale Spuren des Angriffs, rekonstruiert den Tathergang und identifiziert betroffene Daten. Konkrete Aufgaben sind das forensische Duplizieren betroffener Datenträger, die Analyse von Log-Dateien, Arbeitsspeicher-Inhalten und Netzwerkverbindungen, die Identifikation der eingesetzten Schadsoftware und die Rekonstruktion des Angriffsverlaufs vom Eintrittspunkt bis zur letzten kompromittierten Komponente. Das Ergebnis ist ein gerichtsfester Bericht, der für Behörden, Gerichte und die Cyberversicherung verwertbar ist.
Was kostet IT-Forensik in Deutschland?
Die Stundensätze deutscher IT-Forensik-Dienstleister liegen typischerweise bei 100 bis 250 Euro netto. Der Bitkom beziffert die durchschnittlichen Forensik-Kosten eines Cyber-Schadensfalls auf rund 150.000 Euro. Die Spannbreite ist groß: Eine kompakte Untersuchung in einer Arztpraxis nach einem klar lokalisierten Phishing-Vorfall kann mit 5.000 bis 15.000 Euro enden, während die Aufklärung eines Ransomware-Angriffs in einem mittelständischen Produktionsbetrieb mit komplexer Infrastruktur sechsstellige Beträge erreicht.
Übernimmt die Cyberversicherung die Forensikkosten?
Ja, IT-Forensik gehört in marktüblichen Cyberversicherungen zum Standardleistungskatalog. Der Versicherer beauftragt in der Regel direkt einen Forensiker aus seinem Partnernetzwerk und übernimmt die Kosten innerhalb der vereinbarten Versicherungssumme. Achten Sie im Vertrag auf zwei Punkte: Erstens ein eventuelles Sublimit speziell für Forensikkosten, das oft niedriger als die Hauptversicherungssumme ist. Zweitens die Klausel, ob auch von Ihnen eigenständig beauftragte Forensiker erstattet werden oder nur das Versicherer-Netzwerk.
Muss ich nach einem Cyberangriff Strafanzeige erstatten?
Eine generelle Anzeigepflicht für Cyberangriffe besteht in Deutschland nicht. Die Polizei und das BKA empfehlen eine Anzeige aber ausdrücklich, weil nur damit die Strafverfolgung anlaufen und das nationale Lagebild der Cyberkriminalität präzise werden kann. Die zuständige Anlaufstelle ist die Zentrale Ansprechstelle Cybercrime (ZAC) des Landeskriminalamts, die in jedem Bundesland eingerichtet ist und auf Wirtschaftsfälle spezialisiert ist. Unabhängig davon bestehen Meldepflichten nach DSGVO Art. 33 und nach NIS2 für betroffene Einrichtungen.