Legal Hold bei Cybervorfällen für GDPR, NIS2 und DORA
Um 4:17 Uhr erhielt Maria, CISO eines Fintech-SaaS-Anbieters, den Anruf, auf den jede Sicherheitsverantwortliche vorbereitet ist und den sie dennoch niemals erhalten möchte. Kritische Produktivserver reagierten nicht mehr. Dateien waren verschlüsselt. Auf dem Bildschirm eines Junior-Administrators war eine Lösegeldforderung geöffnet.
Um 4:28 Uhr wollte das Incident-Response-Team die betroffenen Systeme isolieren und saubere Infrastruktur neu bereitstellen. Um 4:41 Uhr fragte das Engineering-Team, ob es Zugangsdaten rotieren, temporäre Dateien bereinigen und Container neu aufbauen dürfe. Um 5:03 Uhr warnte der Datenschutzbeauftragte, dass die kompromittierte Umgebung Kundenkennungen und Transaktionsmetadaten enthielt. Um 5:16 Uhr schaltete sich die Rechtsabteilung mit einer Anweisung in die Krisenkonferenz ein: „Vernichten Sie keine potenziellen Beweismittel. Wir benötigen möglicherweise einen Legal Hold.“ Um 5:30 Uhr fragte der COO, ob DORA-Berichtspflichten ausgelöst wurden. Um 6:00 Uhr erinnerte sich Maria an die NIS2-Fristen: Eine Frühwarnung kann innerhalb von 24 Stunden, eine umfassendere Meldung innerhalb von 72 Stunden und ein Abschlussbericht innerhalb eines Monats fällig sein.
Dann kam die Frage, die darüber entscheidet, ob ein Cybervorfall belastbar aufgearbeitet wird oder im Chaos endet:
„Haben wir die Logs noch?“
Das ist das Governance-Problem nach einem Vorfall, das viele Reaktionspläne unterschätzen. Erkennen, eindämmen und wiederherstellen reicht nicht. Organisationen müssen 2026 außerdem nachweisen, was geschehen ist, relevante Beweismittel sichern, eine Verfälschung forensischer Artefakte vermeiden, GDPR-Datenminimierung einhalten, NIS2-Aufsicht unterstützen und DORA-IKT-Risikoaufzeichnungen führen, die Audits, Gerichtsverfahren und regulatorischen Prüfungen standhalten.
Legal Hold bei Cybervorfällen und Beweismittelaufbewahrung liegen an der Schnittstelle von Security Operations, Datenschutz, Recht, Compliance, Cloud Engineering, Lieferantenmanagement und Audit. Wird der Prozess während eines Sicherheitsvorfalls improvisiert, kann die Organisation genau die Beweismittel verlieren, die für Ursachenanalyse, Meldungen an Aufsichtsbehörden, Versicherungsansprüche, Rechtsverteidigung, arbeitsrechtliche Maßnahmen und Kundenvertrauen erforderlich sind. Wird er überzogen, kann die Organisation übermäßig viele personenbezogene Daten aufbewahren und ein zweites Compliance-Problem schaffen.
Der Ansatz von Clarysec besteht darin, Legal Hold als kontrollierten ISMS-Prozess auszugestalten, nicht als Panikreaktion. Das Modell verbindet ISO/IEC 27001:2022-Governance, ISO/IEC 27002:2022-Maßnahmen für Beweismittel und Protokollierung, GDPR-Rechenschaftspflicht, NIS2-Vorfallmeldung und DORA-IKT-Risikonachweise zu einem einheitlichen Betriebsmodell. Dieses Modell legt fest, was zu sichern ist, wer die Sicherung autorisieren darf, wie lange Beweismittel unter Hold stehen, wer darauf zugreifen darf und wann die Löschung wieder aufgenommen werden kann.
Die ersten 24 Stunden entscheiden, ob die Beweismittel erhalten bleiben
In vielen realen Vorfällen werden Beweismittel nicht von Angreifern vernichtet. Sie werden durch den normalen Betrieb vernichtet.
Eine Cloud-Log-Aufbewahrungsfrist läuft ab. Ein Container wird erneut bereitgestellt. Ein Endpunkt wird neu aufgesetzt, bevor der Arbeitsspeicher erfasst wurde. Ein SaaS-Administrator exportiert für die Untersuchung eine CSV-Datei und bearbeitet anschließend die Datei. Ein gutmeinender Engineer löscht Schadskripte, bevor eine forensische Kopie erstellt wurde. Ein Aufbewahrungsjob im Data Warehouse entfernt die Datensätze, die erforderlich sind, um die betroffenen Kunden zu bestimmen.
Die Organisation kann sich betrieblich dennoch erholen, verliert aber den Nachweis. Diese Unterscheidung ist entscheidend.
Nach GDPR muss ein Verantwortlicher die Einhaltung der Datenschutzgrundsätze nachweisen können, einschließlich Integrität und Vertraulichkeit, Zweckbindung, Datenminimierung und Speicherbegrenzung. Wenn eine Verletzung des Schutzes personenbezogener Daten voraussichtlich zu einem Risiko für Personen führt, kann Article 33 eine Meldung an die Aufsichtsbehörde ohne unangemessene Verzögerung und, soweit möglich, innerhalb von 72 Stunden nach Bekanntwerden verlangen. Wenn die Verletzung voraussichtlich zu einem hohen Risiko für Personen führt, kann Article 34 die Benachrichtigung der betroffenen Personen verlangen.
Nach NIS2 müssen wesentliche und wichtige Einrichtungen erhebliche Vorfälle über gestufte Meldungen und Aufsicht steuern. Nach DORA müssen Finanzunternehmen IKT-bezogene Vorfälle aufzeichnen, schwerwiegende Vorfälle klassifizieren, melden, Ursachenanalysen durchführen und Beweismittel über IKT-Assets, Geschäftsfunktionen und Abhängigkeiten von Drittdienstleistern hinweg sichern.
ISO/IEC 27001:2022 liefert hierfür die Managementsystemstruktur. Klausel 4.2 verlangt, dass eine Organisation die Erfordernisse und Erwartungen interessierter Parteien bestimmt, einschließlich rechtlicher, regulatorischer und vertraglicher Anforderungen mit Bezug zur Informationssicherheit. Klausel 4.3 verlangt, dass der ISMS-Geltungsbereich Schnittstellen und Abhängigkeiten berücksichtigt; dies ist kritisch, wenn Beweismittel bei einem Cloud-Anbieter, Managed-Security-Anbieter, einer Zahlungsplattform oder einem ausgelagerten Helpdesk liegen. Klausel 6.1 verknüpft diese Verpflichtungen mit Informationssicherheitsrisiken und deren Behandlung. Klausel 7.5 verlangt gelenkte dokumentierte Information. Klausel 8 verlangt operative Planung und Steuerung.
Clarysecs Zenith Blueprint: 30-Schritte-Roadmap für Auditoren erläutert, warum dies vor dem Vorfall und nicht währenddessen konzipiert werden muss. In der Phase „Kontrollen im Betrieb“, Schritt 23, heißt es in der Anleitung zu ISO/IEC 27002:2022 Maßnahme 5.28:
„Wenn ein Informationssicherheitsvorfall eintritt, ist eines der kritischsten, aber häufig übersehenen Elemente der Reaktion der Nachweis. Nicht Logs, nicht Screenshots, nicht lose Erzählungen, sondern ordnungsgemäß gesicherte, die Beweismittelkette wahrende und manipulationserkennbar geschützte Beweismittel.“
Derselbe Schritt 23 ergänzt, dass „das, was Sie beweisen können, genauso wichtig ist wie das, was tatsächlich passiert ist.“ Dieser Satz markiert den Unterschied zwischen Incident Response und belastbarer Incident Response. Eine Aufsichtsbehörde, ein Kundenauditor, ein Gericht, ein Versicherer oder eine Aufsichtsinstanz akzeptiert keine mündliche Rekonstruktion, wenn die Organisation keine gesicherten Logs, verlässlichen Zeitstempel, gelenkten Aufzeichnungen und eine dokumentierte Beweismittelkette vorlegen kann.
Legal Hold bedeutet nicht „alles für immer aufbewahren“
Ein Legal Hold bei Cybervorfällen ist die formelle Aussetzung der regulären Löschung oder Vernichtung für definierte Aufzeichnungen, Logs, Backups, Images, Kommunikation und andere Beweismittel, die für Untersuchung, Gerichtsverfahren, regulatorische Anfrage, Audit oder vertragliche Streitigkeit relevant sein können.
Der häufigste Fehler besteht darin, Legal Hold als pauschale Anweisung zu behandeln: „Nichts löschen.“ Das schafft Datenschutz-, Kosten- und Betriebsrisiken. GDPR gilt auch während eines Cybervorfalls. Personenbezogene Daten müssen weiterhin rechtmäßig, fair und transparent, für festgelegte Zwecke, auf das Erforderliche beschränkt und nur so lange wie nötig verarbeitet werden. Article 5(2) ergänzt die Rechenschaftspflicht; die Organisation muss diese Entscheidungen nachweisen können.
Hier wird die Clarysec-Richtlinienbibliothek praktisch. Die KMU-Richtlinie zur Datenaufbewahrung und sicheren Entsorgung stellt fest:
„Legal Hold und Löschsperre setzen die Standardanforderungen zur Aufbewahrung außer Kraft und verhindern die Löschung von Daten.“
Für größere Organisationen besagt die Enterprise-Richtlinie zur Datenaufbewahrung und Entsorgung, Klausel 6.4.1:
„Wenn ein Legal Hold und eine Löschsperre angeordnet werden (z. B. wegen anhängiger Gerichtsverfahren, Untersuchung oder Audit), müssen Daten, die ansonsten der Vernichtung unterliegen, über ihre normale Aufbewahrungsfrist hinaus gesichert werden.“
Dieselbe Enterprise-Richtlinie verlangt, dass der Hold:
„von der Rechtsabteilung und dem Datenschutzbeauftragten dokumentiert und genehmigt wird“
Dieses Genehmigungsmodell ist keine Bürokratie. Es ist der Ausgleichsmechanismus zwischen Beweissicherung und datenschutzrechtlicher Zurückhaltung. Die Rechtsabteilung bestätigt die Grundlage aus Gerichtsverfahren, Untersuchung oder regulatorischen Anforderungen. Der Datenschutzbeauftragte bestätigt, dass Umfang, Zweck, Kategorien personenbezogener Daten, Zugriffskontrollen und Verlängerung der Aufbewahrung verhältnismäßig bleiben.
Für KMU ohne vollständige Rechtsabteilung oder Datenschutzbeauftragten-Funktion kann dieselbe Entscheidungslogik durch vCISO, Datenschutzverantwortlichen, Geschäftsführung und externe Rechtsberatung wahrgenommen werden, solange die Autorisierung dokumentiert, zeitlich begrenzt und überprüft wird.
Die Compliance-Spannung, die jeder CISO auflösen muss
Nach einem schwerwiegenden Vorfall verlangen unterschiedliche Interessenträger unterschiedliche Beweismittel. Recht verlangt Sicherung. Datenschutz verlangt Minimierung. Aufsichtsbehörden verlangen Fakten. Der Betrieb verlangt Wiederherstellung. Kunden verlangen Zusicherung. Auditoren verlangen objektive Nachweise.
| Regulierung oder Bedarf | Zentrale Anforderung an Beweismittel | Auswirkung auf die Aufbewahrung |
|---|---|---|
| NIS2 | Auswirkungen, Schweregrad und vermutete Ursache für gestufte Vorfallmeldungen nachweisen | Warnmeldungen, Indicators of Compromise, Daten zu Serviceauswirkungen, Aufzeichnungen zu Betriebsstörungen und Entscheidungsprotokolle sichern |
| DORA | Vorfallklassifizierung, Meldung, Analyse von Kundenauswirkungen und Ursachenanalyse unterstützen | Technische Artefakte, IKT-Asset-Nachweise, Management-Briefings, Lieferantenkommunikation und Abhilfemaßnahmen aufbewahren |
| GDPR | Zweckbindung, Datenminimierung, Speicherbegrenzung und Sicherheit der Verarbeitung nachweisen | Aufbewahrung personenbezogener Daten begründen, Zugriff beschränken und Beweismittel nach Aufhebung des Holds löschen oder anonymisieren |
| Gerichtsverfahren | Belastbare, unveränderte Beweismittel mit klarer Beweismittelkette vorlegen | Relevante Daten unter einem formellen Hold einfrieren und Erfassungs-, Zugriffs- und Übergabeaufzeichnungen führen |
| Kundenverträge | Benachrichtigung, Serviceauswirkungen, Abhilfe und Mitwirkungspflichten nachweisen | Kundenkommunikation, SLA-Analyse, Vorfallsberichte und vertragliche Reaktionsaufzeichnungen sichern |
Der Versuch, diese Anforderungen über getrennte Workflows für Datenschutz, Recht, SOC und Audit zu steuern, führt zwangsläufig zu Widersprüchen. Ein einheitliches ISO/IEC 27001:2022-ISMS macht sie zu einem gemeinsamen Risiko-, Kontroll- und Nachweisprozess.
Der Kontrollverbund für belastbare Beweismittelaufbewahrung
Legal Hold bei Cybervorfällen ist keine einzelne ISO/IEC 27002:2022-Maßnahme. Es ist eine Kontrollbeziehung.
Clarysecs Zenith Controls: Leitfaden zur übergreifenden Compliance ordnet ISO/IEC 27002:2022 Maßnahme 5.28, Sammlung von Beweismitteln, als korrektive Kontrolle ein, die Vertraulichkeit, Integrität und Verfügbarkeit unterstützt. Sie liegt innerhalb der Cybersicherheitskonzepte Detect und Respond sowie der operativen Fähigkeit zum Management von Informationssicherheitsereignissen.
Derselbe Zenith Controls-Leitfaden verbindet 5.28 mit der Reaktion auf Informationssicherheitsvorfälle, Protokollierung und Überwachung, Schutz von Aufzeichnungen und Ereignismeldung. Die Logik ist praktisch: Incident Handler benötigen Logs und Artefakte, bevor Abhilfemaßnahmen den Zustand verändern; regulatorische Berichtsersteller benötigen verlässliche Fakten; und Untersuchende benötigen Beweismittel, die nicht verändert wurden.
ISO/IEC 27002:2022 Maßnahme 5.33, Schutz von Aufzeichnungen, ist ebenso wichtig. Sie unterstützt rechtliche und Compliance-Anforderungen, Asset-Management und Informationsschutz. Sie verknüpft den Schutz von Aufzeichnungen mit Klassifizierung, Backups, sicherer Entsorgung, rechtlichen und vertraglichen Anforderungen, Zugriffskontrolle und Incident Response. In der Praxis muss ein Legal Hold nicht nur Beweismittel erfassen. Er muss auch die Integrität, Vertraulichkeit und Verfügbarkeit der Beweismittelaufzeichnung selbst schützen.
Für die Protokollierung bildet ISO/IEC 27002:2022 Maßnahme 8.15, Protokollierung, die Grundlage. Sie ist mit 8.16, Überwachungstätigkeiten, und 8.17, Uhrensynchronisation, verbunden. Wenn Logs unvollständig, durch Administratoren editierbar, nicht zeitsynchronisiert oder zu kurz aufbewahrt sind, kann der Beweismittelprozess scheitern, bevor die Untersuchung beginnt.
| Beweismittelbedarf | Kontrollbeziehung nach ISO/IEC 27002:2022 | Warum dies nach einem Sicherheitsvorfall wichtig ist |
|---|---|---|
| Artefakte vor Abhilfemaßnahmen sichern | 5.28 Sammlung von Beweismitteln verknüpft mit 5.26 Reaktion auf Informationssicherheitsvorfälle | Verhindert, dass Reaktionsteams beim Eindämmen des Vorfalls Nachweise vernichten |
| Untersuchungsaufzeichnungen schützen | 5.33 Schutz von Aufzeichnungen verknüpft mit 5.31 Rechtliche, gesetzliche, regulatorische und vertragliche Anforderungen sowie 5.15 Zugriffskontrolle | Stellt sicher, dass Beweismitteldateien, Berichte und Genehmigungen intakt und beschränkt bleiben |
| Verlässliche Logs erhalten | 8.15 Protokollierung verknüpft mit 8.16 Überwachungstätigkeiten und 8.17 Uhrensynchronisation | Unterstützt Ereigniszeitachsen, Zuordnung, Auswirkungsanalyse und regulatorische Berichterstattung |
| Datenschutz ausbalancieren | 5.34 Datenschutz und Schutz personenbezogener Daten verknüpft mit Protokollierung und Schutz von Aufzeichnungen | Verhindert übermäßige Aufbewahrung oder unkontrollierte Offenlegung personenbezogener Daten |
| Verfügbarkeit von Beweismitteln wiederherstellen | 8.13 Sicherung von Informationen verknüpft mit Schutz von Aufzeichnungen | Hilft bei der Wiederherstellung von Aufzeichnungen und Logs, wenn Systeme beschädigt, verschlüsselt oder gelöscht wurden |
| Nach dem Vorfall verbessern | 5.27 Lernen aus Informationssicherheitsvorfällen verknüpft mit Korrekturmaßnahmen | Überführt Lessons Learned in Risikobehandlung, Kontrollverbesserung und Auditnachweise |
Der Zenith Blueprint, Phase „Kontrollen im Betrieb“, Schritt 19, bekräftigt dies mit praxisnaher Sprache zur Protokollierung:
„Logs, die Aktivitäten, Ausnahmen, Fehler und andere relevante Ereignisse aufzeichnen, müssen erzeugt, gespeichert, geschützt und analysiert werden.“
Er warnt außerdem, dass der Schutz von Logs die Beschränkung des Zugriffs und Mechanismen wie Hashing oder Write-once-Speicher umfasst, um Manipulationen zu verhindern. Schritt 19 verbindet Uhrensynchronisation mit forensischer Kohärenz und erläutert, dass synchronisierte Uhren die Korrelation von Logs aus verschiedenen Systemen für Untersuchungen ermöglichen.
GDPR-Rechenschaftspflicht: sichern, was erforderlich ist, und begründen, was aufbewahrt wird
GDPR schafft die sichtbarste Spannung bei der Aufbewahrung von Vorfallsbeweismitteln. Sicherheitsteams wollen häufig mehr Daten. Datenschutzteams wollen weniger. Ein belastbarer Legal Hold bringt beides in Einklang.
Logs und Artefakte können IP-Adressen, Benutzerkennungen, E-Mail-Adressen, Gerätekennungen, Authentifizierungsaufzeichnungen, Support-Ticket-Texte, Screenshots, Kundenexporte oder besondere Kategorien personenbezogener Daten enthalten. Beweismittelsicherung ist daher Verarbeitung. Die Legal-Hold-Mitteilung muss Rechtsgrundlage, Zweck, Umfang, Zugriffsbeschränkungen, Überprüfungstermin für die Aufbewahrung und Auslöser für die Entsorgung dokumentieren.
Clarysecs KMU-Richtlinie zu Datenschutz und Privatsphäre stellt fest:
„Es dürfen nur die mindestens erforderlichen personenbezogenen Daten erhoben und aufbewahrt werden.“
Die Enterprise-Richtlinie zur Beweissicherung und Forensik verankert den Umgang mit forensischen Beweismitteln ausdrücklich in:
„GDPR Article 5, einschließlich Zweckbindung und Datenminimierung“
Das ist das operative Prinzip. Sichern Sie keine vollständige Produktionsdatenbank, wenn die relevanten Beweismittel aus einem engen Prüfpfad, Zugriffsprotokoll, Abfragedatensatz und einer Liste betroffener Benutzer bestehen. Gewähren Sie nicht jedem Incident Handler Zugriff auf Rohbeweismittel, wenn pseudonymisierte Auszüge oder rollenbasierter Zugriff ausreichen. Bewahren Sie Vorfallsartefakte nicht unbegrenzt auf, nachdem der rechtliche, regulatorische und auditbezogene Bedarf entfallen ist.
Ein guter GDPR-bewusster Legal-Hold-Datensatz beantwortet sieben Fragen:
- Welcher Vorfall oder welche Untersuchung hat den Hold ausgelöst?
- Welche Kategorien personenbezogener Daten können enthalten sein?
- Warum ist jede Beweismittelkategorie erforderlich?
- Wer hat den Hold wann genehmigt?
- Wer darf auf die Beweismittel zugreifen?
- Wann wird der Hold überprüft?
- Welcher Lösch- oder sichere Entsorgungsprozess wird nach Aufhebung des Holds wieder aufgenommen?
So verhindert Beweismittelaufbewahrung eine datenschutzwidrige Überaufbewahrung.
NIS2: Legal Hold für gestufte Vorfallmeldungen
Für Organisationen im Geltungsbereich verändert NIS2 die Erwartung an Beweismittel von „intern nützlich“ zu „für die Aufsicht erforderlich“.
NIS2 gilt für viele wesentliche und wichtige Einrichtungen in der EU, darunter Anbieter digitaler Infrastrukturen, Cloud-Computing-Dienste, Rechenzentrumsdienste, Content Delivery Networks, Vertrauensdienste, Anbieter elektronischer Kommunikationsdienste, Managed Service Provider, Managed Security Service Provider sowie bestimmte digitale Anbieter wie Online-Marktplätze, Online-Suchmaschinen und Plattformen sozialer Netzwerke.
Article 21 verlangt geeignete und verhältnismäßige technische, operative und organisatorische Maßnahmen, einschließlich Risikoanalyse, Verfahren zum Umgang mit Informationssicherheitsvorfällen, Aufrechterhaltung des Geschäftsbetriebs, Sicherheit der Lieferkette, sichere Entwicklung, Wirksamkeitsbewertung, Schulung, Kryptografie, Sicherheit im Personalwesen, Zugriffskontrolle, Asset-Management und Authentifizierung. Article 20 macht Leitungsorgane für die Genehmigung und Überwachung dieser Maßnahmen verantwortlich.
Für Legal Hold ist Article 23 der zentrale NIS2-Punkt. Erhebliche Vorfälle erfordern gestufte Meldungen: Frühwarnung innerhalb von 24 Stunden nach Kenntniserlangung, Vorfallmeldung innerhalb von 72 Stunden, Zwischenberichte auf Anfrage und einen Abschlussbericht spätestens einen Monat nach der 72-Stunden-Meldung. Der Abschlussbericht benötigt Beschreibung, Schweregrad, Auswirkungen, wahrscheinliche Bedrohungsart oder Ursache, Risikominderungsmaßnahmen und gegebenenfalls grenzüberschreitende Auswirkungen.
| NIS2-Meldestufe | Erforderliche Beweismittel | Legal-Hold-Maßnahme |
|---|---|---|
| 24-Stunden-Frühwarnung | Erster Erkennungszeitpunkt, vermutete böswillige Aktivität, betroffener Dienst und mögliche grenzüberschreitende Auswirkung | SOC-Warnmeldungen, Vorfallticket, Identitätslogs und Cloud-Prüfpfade einfrieren |
| 72-Stunden-Meldung | Schweregrad, Auswirkung, Indicators of Compromise, Betriebsstörung und Indikatoren für finanzielle Verluste | Forensische Exporte, betroffenes Asset-Inventar, IOCs, Notizen zu Geschäftsauswirkungen und Kommunikationsaufzeichnungen sichern |
| Zwischenberichte | Aktueller Status, Fortschritt der Eindämmung und Fragen der Behörde | Versionierte Untersuchungsaufzeichnung und Entscheidungsprotokoll zur Reaktion führen |
| Abschlussbericht | Ursache, Vorfallsbeschreibung, Schweregrad, Auswirkung, Risikominderung und grenzüberschreitender Effekt | Ursachennachweise, Abhilfenachweise, Lessons Learned und Genehmigungspfad sichern |
Wenn der Vorfall personenbezogene Daten betrifft, können die nach NIS2 zuständigen Behörden mit GDPR-Aufsichtsbehörden zusammenarbeiten. Dadurch steigt der Bedarf an einer einheitlichen Beweismitteldarstellung, die sowohl Cybersicherheitsaufsicht als auch Datenschutzrechenschaft unterstützt.
DORA: IKT-Risikonachweise gehen über Sicherheitslogs hinaus
Für Finanzunternehmen ist DORA das sektorspezifische Regelwerk zur digitalen operativen Resilienz. Es gilt ab dem 17. Januar 2025 und umfasst IKT-Risikomanagement, Meldung schwerwiegender IKT-bezogener Vorfälle, Resilienztests, Informationsaustausch und IKT-Drittparteienrisikomanagement. Für Finanzunternehmen, die zugleich wesentliche oder wichtige Einrichtungen nach NIS2 sind, fungiert DORA in der Regel als sektorspezifischer Rechtsakt der Union für IKT-Risiken und Vorfallmeldungen.
DORA ist bewusst nachweisintensiv ausgestaltet. Article 17 verlangt einen Prozess für das Management IKT-bezogener Vorfälle. Article 18 behandelt die Klassifizierung IKT-bezogener Vorfälle und Cyberbedrohungen. Article 19 regelt die Meldung schwerwiegender IKT-bezogener Vorfälle. Finanzunternehmen müssen außerdem Governance- und Kontrollregelungen aufrechterhalten, kritische oder wichtige Funktionen identifizieren, IKT-Assets und Abhängigkeiten dokumentieren und Ursachenanalysen durchführen.
Das bedeutet: Ein DORA-Legal-Hold muss Nachweise zur operativen Resilienz abdecken, nicht nur Sicherheitsartefakte. Nach einer Kompromittierung einer Cloud-Identität mit Auswirkungen auf Zahlungsprozesse kann der Hold Identitätsanbieter-Logs, Historie privilegierter Zugriffe, Cloud-Audit-Logs, SIEM-Warnmeldungen, Endpoint-Images, Analysen zu Auswirkungen auf Kundentransaktionen, Aufzeichnungen zur Aktivierung der Aufrechterhaltung des Geschäftsbetriebs, Backup- und Wiederherstellungsnachweise, Lieferantenkommunikation, Briefings des Leitungsorgans, Ursachenanalyse und Validierung der Abhilfemaßnahmen umfassen.
DORA macht IKT-Nachweise von Drittdienstleistern ebenfalls unvermeidbar. Article 28 bis 30 verlangen IKT-Drittparteienrisikomanagement, Register vertraglicher Vereinbarungen, gebotene Sorgfalt, Bewertung von Konzentrationsrisiken und schriftliche Verträge mit Rechten und Pflichten. Bei kritischen oder wichtigen Funktionen müssen Verträge Anbieterbenachrichtigungen und Berichtspflichten, Vorfallsunterstützung, Zusammenarbeit mit Behörden, Zugangs-, Inspektions- und Auditrechte sowie Exit-Strategien unterstützen.
Wenn Ihr Cloud-Anbieter, MSP, MSSP, Zahlungsdienstleister oder Ihre SaaS-Abhängigkeit die relevanten Logs hält, muss Ihr Legal-Hold-Prozess bereits in Lieferantenverträgen verankert sein. Andernfalls stellen Sie während eines schwerwiegenden Vorfalls möglicherweise fest, dass das Standard-Aufbewahrungsfenster Ihres Anbieters kürzer ist als Ihr regulatorischer Berichtslebenszyklus.
Wie Clarysec Legal Hold während eines SaaS-Sicherheitsvorfalls operationalisiert
Betrachten wir Marias Fintech-SaaS-Umgebung. Der Vorfall kann unbefugten Zugriff auf Kundenkennungen, Transaktionsmetadaten, Administratorsysteme und Aufzeichnungen eines ausgelagerten SOC umfassen. Das Unternehmen bedient EU-Finanzinstitute, nutzt Cloud-Infrastruktur und kann GDPR, vertraglichen DORA-Verpflichtungen und NIS2-Pflichten unterliegen.
Die erste Maßnahme besteht nicht darin, alles zu sichern. Die erste Maßnahme besteht darin, eine kontrollierte Entscheidung auszulösen.
Der Incident Commander sendet einen Legal-Hold-Antrag an Rechtsabteilung, Datenschutzbeauftragten oder Datenschutzverantwortlichen, CISO und Geschäftsverantwortlichen. Der Antrag enthält Vorfallkennung, Datum und Uhrzeit, betroffene Systeme, vermutete Datenkategorien, erste regulatorische Pfade, vorgeschlagene Beweismittelkategorien und unmittelbare Löschrisiken.
Unter Nutzung der Enterprise-Richtlinie zur Datenaufbewahrung und Entsorgung wird der Hold dokumentiert und von Rechtsabteilung und Datenschutzbeauftragtem genehmigt. Für KMU stellt die Richtlinie zur Datenaufbewahrung und sicheren Entsorgung die Löschsperrenregel bereit. Die Autorisierung enthält einen Überprüfungstermin, der an Untersuchungsmeilensteine, regulatorische Meldefristen und erwartete Risiken aus Gerichtsverfahren oder vertraglichen Streitigkeiten ausgerichtet ist. Sie sagt nicht „für immer“. Sie sagt: „bis zur Aufhebung durch autorisierte Entscheidung nach Überprüfung“.
Anschließend friert das Team relevante Logs und Artefakte ein. Die KMU-Richtlinie zur Protokollierung und Überwachung stellt fest:
„Logs müssen unter Legal Hold und Löschsperre gestellt und gegen Änderung oder Löschung geschützt werden.“
Das Team setzt die Löschung für SIEM-Fälle, Identitätslogs, Cloud-Audit-Logs, Anwendungslogs, Datenbankabfragelogs, WAF-Ereignisse und SOC-Warnmeldungsmetadaten aus. Exportierte Logs werden in einem beschränkten Beweismittelspeicher mit Hashing, Versionskontrolle und, soweit angemessen, Nur-Lese-Berechtigungen gespeichert.
Die Sammelregel ist einfach: Beweismittel sichern, ohne Originale zu bearbeiten. Die KMU-Richtlinie zur Beweissicherung und Forensik stellt fest:
„Es muss stets eine forensische Kopie oder ein Export erstellt werden; das ursprüngliche Beweismittel darf niemals direkt bearbeitet werden.“
Engineers können Abhilfemaßnahmen durchführen, jedoch erst, nachdem erforderliche Snapshots, Exporte oder forensische Kopien erstellt wurden, es sei denn, eine sofortige Eindämmung ist erforderlich, um fortdauernden Schaden zu verhindern. Wenn eine Notfallabhilfe zuerst erfolgt, wird der Grund dokumentiert.
Dieselbe KMU-Richtlinie sagt:
„Für jeden Vorfall muss ein einfaches Protokoll zur Beweismittelkette (z. B. Excel-Datei oder Vorlagendokument) geführt werden.“
Für Enterprise-Umgebungen verlangt die Richtlinie zur Beweissicherung und Forensik, Klausel 5.6:
„Ein Protokoll zur Beweismittelkette muss alle physischen oder digitalen Beweismittel vom Zeitpunkt der Erfassung bis zur Archivierung oder Übergabe begleiten und Folgendes dokumentieren:“
In der Praxis erfasst das Protokoll zur Beweismittelkette Beweismittelkennung, Beschreibung, Quellsystem, erfassende Person, Erfassungsmethode, gegebenenfalls Hashwert, Zeitquelle, Speicherort, Zugriffsereignisse, Übergaben, Analysekopien und endgültige Verfügung.
Schließlich muss auch die Untersuchungsaufzeichnung selbst geschützt werden. Die Enterprise-Richtlinie zur Audit- und Compliance-Überwachung stellt fest:
„Alle Audit-Logs, Feststellungen und Abhilfeberichte müssen aufbewahrt, verschlüsselt und gegen Manipulation geschützt werden.“
Diese Anforderung gilt für die Vorfallszeitachse, das Entscheidungsprotokoll, die Legal-Hold-Mitteilung, Kommunikation mit Aufsichtsbehörden, Kundenkommunikation, Ursachenanalyse und Abhilfenachweise.
Die dokumentierte Information, die Auditoren prüfen werden
ISO/IEC 27001:2022 Klausel 7.5 verlangt, dass die vom ISMS benötigte und von der Norm geforderte dokumentierte Information gelenkt wird. Der Zenith Blueprint, Phase „ISMS-Grundlagen und Führung“, Schritt 6, übersetzt dies in praktische Anforderungen: Dokumente müssen Identifikation, Format, Überprüfung, Genehmigung, Versionskontrolle, kontrollierten Zugriff, Integritätsschutz, Änderungskontrolle, Aufbewahrung und Verfügung aufweisen.
Schritt 6 weist außerdem darauf hin, dass Aufzeichnungen wie Überwachungslogs, Auditberichte und Vorfallsuntersuchungsdateien vertraulich sein können und nur nach dem Need-to-know-Prinzip bereitgestellt werden dürfen; Bearbeitungsrechte sind auf autorisierte Benutzer zu beschränken.
Ein belastbares Beweismittelpaket sollte Folgendes enthalten:
- Legal-Hold-Mitteilung und Genehmigung.
- Vorfallklassifizierung und Schweregradentscheidung.
- Beweismittelinventar.
- Protokoll zur Beweismittelkette.
- Bestätigung der Log-Sicherung.
- Forensische Image- oder Exportaufzeichnungen.
- Hashwerte oder Integritätsprüfungen, soweit anwendbar.
- Zugriffsliste für den Beweismittelspeicher.
- Nachweise zur regulatorischen Berichterstattung.
- Datenschutzbewertung und Auswirkungsanalyse zu personenbezogenen Daten.
- Lieferantenanfragen zu Beweismitteln und Antworten.
- Ursachenanalyse.
- Abhilfe- und Validierungsnachweise.
- Hold-Überprüfung und Freigabeentscheidung.
Je stärker die Lenkung dokumentierter Information ist, desto einfacher wird das Audit.
Lieferanten- und Cloud-Beweismittel: der Ausfallpunkt, den viele Teams übersehen
Die schwierigsten Beweismittel liegen häufig nicht innerhalb Ihrer Organisation. Sie befinden sich bei einem Cloud-Anbieter, einer SaaS-Plattform, einem MSSP, MSP, Zahlungsdienstleister, Identitätsanbieter oder einem ausgelagerten Entwicklungsteam.
NIS2 Article 21 umfasst Sicherheit der Lieferkette und Sicherheitsaspekte der Beziehungen zu direkten Lieferanten oder Dienstleistern. DORA geht für Finanzunternehmen weiter und verlangt IKT-Drittparteienregister, gebotene Sorgfalt, Konzentrationsrisikoanalyse und Verträge mit Vorfallsunterstützung, Anbieterberichten, Zusammenarbeit mit Behörden, Auditrechten und Exit-Bestimmungen für kritische oder wichtige Funktionen.
Das NIST Cybersecurity Framework 2.0 behandelt Lieferkettenrisiko ebenfalls als Lebenszyklusdisziplin. Seine Govern Function umfasst Ergebnisse des Lieferantenrisikomanagements zu Strategie, Rollen, Verträgen, gebotener Sorgfalt, Überwachung, Vorfallsbeteiligung und Exit-Bestimmungen. CSF-Profile können Zielanforderungen an Cybersicherheit gegenüber Lieferanten ausdrücken; das ist hilfreich, wenn Legal-Hold-Nachweisanforderungen in Vertragsbedingungen übersetzt werden.
Lieferantenverträge sollten Folgendes regeln:
- Arten von Sicherheitslogs, die dem Kunden zur Verfügung stehen.
- Standard-Aufbewahrungsfristen und Optionen für verlängerte Aufbewahrung.
- Prozess für Notfallanträge zur Sicherung.
- Zeit bis zur Sicherung von Beweismitteln nach Kundenanfrage.
- Forensische Exportformate.
- Unterstützung der Beweismittelkette.
- Zusammenarbeit mit Aufsichtsbehörden.
- Beweismittelpflichten von Unterauftragsverarbeitern oder Subunternehmern.
- Beschränkungen für Datenstandort und Übermittlung.
- Sichere Löschung nach Aufhebung des Holds.
Der Zenith Blueprint, Phase „Kontrollen im Betrieb“, Schritt 18, formuliert eine ähnliche Disziplin für die Übertragung physischer Medien und verlangt Verschlüsselung, manipulationserkennbare Verpackung, Nachverfolgung, Transportprotokolle, Medieninventar und Audit des Registers. Dieselbe Logik gilt für Cloud-Beweismittelübertragungen: Integrität sichern, Verwahrung nachverfolgen, Zugriff beschränken und Empfang bestätigen.
Wie Auditoren und Aufsichtsbehörden Ihren Legal-Hold-Prozess prüfen werden
Ein Legal-Hold-Prozess sieht je nach Mandat des Prüfers unterschiedlich aus. Clarysec nutzt Zenith Controls als Kompass für übergreifende Compliance, damit dasselbe Beweismittelpaket mehrere Blickwinkel bedienen kann, ohne Arbeit zu duplizieren.
| Prüferperspektive | Was der Prüfer fragen wird | Beweismittel, die Clarysec vorbereitet |
|---|---|---|
| ISO/IEC 27001:2022-Auditor | Ist Legal Hold Teil des ISMS, der Risikobehandlung, dokumentierten Information und des Incident-Response-Prozesses? | ISMS-Geltungsbereich, Anforderungen interessierter Parteien, Anwendbarkeitserklärung (SoA), Vorfallsverfahren, Beweismittelrichtlinie, Aufbewahrungsrichtlinie und gelenkte Aufzeichnungen |
| ISO/IEC 27002:2022-Kontrollprüfer | Sind 5.28 Beweismittelsammlung, 5.33 Schutz von Aufzeichnungen und 8.15 Protokollierung implementiert und miteinander verbunden? | Beweismittelinventar, Protokoll zur Beweismittelkette, Manipulationsschutz, Log-Aufbewahrungseinstellungen, Nachweis der Uhrensynchronisation und Zugriffskontrollen |
| GDPR-Auditor oder Datenschutzprüfer | Wurden personenbezogene Daten nur dort aufbewahrt, wo dies erforderlich war, und mit dokumentiertem Zweck sowie dokumentierter Rechtsgrundlage? | Datenschutzbewertung, Begründung der Datenminimierung, Zugriffsbeschränkungen, Überprüfung der Aufbewahrung und Nachweis der Löschung oder sicheren Entsorgung |
| NIS2-Aufsichtsprüfer | Kann die Einrichtung 24-Stunden-, 72-Stunden- und Abschlussmeldungen mit verlässlichen Fakten unterstützen? | Vorfallszeitachse, Schweregradbewertung, IOCs, Auswirkungsnachweise, grenzüberschreitende Analyse, Managementgenehmigungen und Kommunikation |
| DORA-IKT-Risikoprüfer | Werden Vorfälle aufgezeichnet, klassifiziert, eskaliert, gemeldet, mit Ursachenanalyse versehen und in das IKT-Risikomanagement zurückgeführt? | Vorfallsregister, Klassifizierungskriterien, Berichterstattung an das Leitungsorgan, Ursachenanalyse, Validierung der Abhilfemaßnahmen und Lieferantennachweise |
| NIST CSF 2.0-Assessor | Sind Governance-, Risiko-, Lieferanten-, Erkennungs-, Reaktions- und Wiederherstellungsergebnisse in einem Profil integriert? | Aktuelle und Zielprofile, Lückenplan, Lieferantenanforderungen, Überwachungsnachweise und Lessons Learned aus Vorfällen |
| COBIT 2019- oder ISACA-Auditor | Sind Governance-Ziele, Rechenschaftspflicht, Informationsqualität, Kontrollüberwachung und Nachweise zur Kontrollsicherung verlässlich? | RACI, Kontrollverantwortung, Managementbewertung, Prüfpfad, Vorgangsverfolgung, Abschluss von Abhilfemaßnahmen und Leistungskennzahlen |
Der ISO-Auditor wird auf Konformität und objektive Nachweise achten. Der GDPR-Prüfer wird auf Erforderlichkeit, Zweckbindung und nachweisbare Rechenschaftspflicht achten. Der NIS2-Prüfer wird Fakten zu erheblichen Vorfallmeldungen und Managementverantwortung erwarten. Der DORA-Prüfer wird IKT-Risiko-Governance, Umgang mit schwerwiegenden Vorfällen, Abhängigkeiten von Drittdienstleistern und Lessons Learned betrachten. Der COBIT 2019- oder ISACA-orientierte Auditor wird Governance, Kontrolldesign, Kontrollbetrieb und Kontrollsicherung über Informationsqualität prüfen.
Ein Beweismittelpaket kann alle bedienen, wenn es entsprechend konzipiert ist.
Praktische Checkliste für Legal Hold bei Cybervorfällen 2026
Nutzen Sie diese Checkliste vor dem nächsten schwerwiegenden Vorfall, nicht währenddessen.
| Kontrollfrage | Erwartete Antwort |
|---|---|
| Wer darf einen Legal Hold bei Cybervorfällen anordnen? | Rechtsabteilung und Datenschutzbeauftragter oder Datenschutzverantwortlicher genehmigen; CISO und Incident Commander initiieren |
| Was löst einen Hold aus? | Vermuteter schwerwiegender Sicherheitsvorfall, Verletzung des Schutzes personenbezogener Daten, mögliche regulatorische Meldepflicht, Prozessrisiko, Ersuchen von Strafverfolgungsbehörden, Kundenaudit oder vertragliche Streitigkeit |
| Welche Beweismittel sind im Geltungsbereich? | Logs, Warnmeldungen, forensische Images, Snapshots, Tickets, Kommunikation, Auswirkungsanalyse, Lieferantenaufzeichnungen, Managemententscheidungen und Abhilfenachweise |
| Wie werden Beweismittel geschützt? | Beschränkter Zugriff, Verschlüsselung, Manipulationsschutz, Hashing soweit angemessen, unveränderbarer oder Nur-Lese-Speicher und überwachter Zugriff |
| Wie wird die Beweismittelkette aufrechterhalten? | Das Beweismittelregister erfasst Erfassung, erfassende Person, Zeit, Methode, Speicherung, Übergabe, Zugriff und Verfügung |
| Wie wird GDPR-Minimierung umgesetzt? | Der Umfang wird auf erforderliche Beweismittel beschränkt, Zugriff auf personenbezogene Daten wird eingeschränkt, Überprüfungstermine werden festgelegt und die Löschung wird nach Freigabe wieder aufgenommen |
| Wie werden Lieferanten einbezogen? | Verträge verlangen Beweismittelsicherung, Vorfallsunterstützung, Zusammenarbeit bei Audits und Verlängerung der Aufbewahrung auf Anfrage |
| Wie erfolgt die Freigabe? | Eine autorisierte Überprüfung entscheidet, ob der Hold fortgesetzt, eingegrenzt oder aufgehoben und die sichere Entsorgung wieder aufgenommen wird |
Diese Checkliste wird wirksamer, wenn sie in den ISMS-Risikobehandlungsplan, Anforderungen an die Lieferantensicherheit, Incident-Response-Runbooks, Protokollierungsarchitektur und Datenschutz-Governance eingebettet wird.
Von der Panik nach dem Sicherheitsvorfall zu auditbereiter Resilienz
Der Anruf um 4 Uhr morgens wird immer belastend sein. Er muss nicht im Chaos enden.
Ein ausgereifter Legal-Hold-Prozess für Cybervorfälle gibt jedem Interessenträger einen kontrollierten Pfad. Recht erhält belastbare Sicherung. Datenschutz erhält Minimierung und Überprüfung. Der CISO erhält Beweismittelintegrität. Der Datenschutzbeauftragte erhält Rechenschaftsfähigkeit. Das Leitungsorgan erhält verlässliche Fakten. NIS2-, DORA- und GDPR-Prüfer erhalten objektive Nachweise statt improvisierter Erklärungen.
Clarysecs 30-Schritte-Methodik behandelt Legal Hold nicht als isoliertes Rechtsmemorandum. Sie behandelt ihn als ISMS-Betriebsfähigkeit.
In Zenith Blueprint baut Schritt 6 die Bibliothek dokumentierter Information auf, einschließlich Aufbewahrungs- und Verfügungsregeln. Schritt 19 stärkt Protokollierung und Uhrensynchronisation, damit Untersuchungen Zeitachsen rekonstruieren können. Schritt 23 operationalisiert Beweismittelsammlung und Beweismittelkette. Schritt 18 ergänzt Disziplin bei der Medienhandhabung, wenn Beweismittel physisch oder zwischen Parteien bewegt werden.
In Zenith Controls verbindet Clarysec die zugrunde liegenden ISO/IEC 27002:2022-Maßnahmen, damit Kunden erkennen können, wie Beweismittelsammlung von Protokollierung, Überwachung, Incident Response, Schutz von Aufzeichnungen, Zugriffskontrolle, Backups, Datenschutz und rechtlichen Anforderungen abhängt.
In der Clarysec-Richtlinienbibliothek sind die praktischen Workflow-Anker bereits definiert: Richtlinie zur Datenaufbewahrung und Entsorgung, Richtlinie zur Datenaufbewahrung und sicheren Entsorgung, Richtlinie zur Beweissicherung und Forensik, Richtlinie zur Beweissicherung und Forensik, Richtlinie zur Protokollierung und Überwachung, Richtlinie zu Datenschutz und Privatsphäre und Richtlinie zur Audit- und Compliance-Überwachung.
Wenn Ihr Incident-Response-Plan „Beweismittel sichern“ sagt, aber Legal-Hold-Befugnis, Beweismittelumfang, Aussetzung der Aufbewahrungsfristen, Beweismittelkette, Lieferantensicherung, GDPR-Minimierung und Freigabekriterien nicht definiert, ist er noch nicht auditbereit.
Bauen Sie den Prozess vor dem Sicherheitsvorfall auf. Clarysec kann Ihnen helfen, eine belastbare Fähigkeit für Legal Hold bei Cybervorfällen und Beweismittelaufbewahrung zu schaffen, mit Zenith Blueprint: 30-Schritte-Roadmap für Auditoren, Zenith Controls: Leitfaden zur übergreifenden Compliance und Clarysec-Richtlinienvorlagen, darunter die Richtlinie zur Datenaufbewahrung und Entsorgung, Richtlinie zur Beweissicherung und Forensik, Richtlinie zur Audit- und Compliance-Überwachung, Richtlinie zur Protokollierung und Überwachung - SME, Richtlinie zu Datenschutz und Privatsphäre - SME und Richtlinie zur Beweissicherung und Forensik - SME.
Laden Sie die Toolkits herunter, fordern Sie eine Clarysec-Richtlinienprüfung an oder buchen Sie eine Bewertung Ihrer Fähigkeit zur Beweismittelaufbewahrung, bevor Ihr nächstes Audit, eine Anfrage der Aufsichtsbehörde oder eine umfassende Sicherheitsprüfung durch einen Großkunden ansteht.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
