Aufbewahrung von Nachweisen und Unterlagen

1) Ziel und Ergebnisse

• Rechtlich relevante Unveränderlichkeit von Artefakten (immutable evidence).
• Traceability: Wer, wann, warum erstellt/geändert/gelesen.
• Bereit für ein Audit „per Button“ (replizierbares „Audit Pack“).
• Einhaltung der Privatsphäre und Retention (TTL, Legal Hold, Löschung/Anonymisierung).
• Einheitliche Rechte- und Haftungskontur (RACI) und Qualitätsmetriken.

2) Taxonomie der Artefakte (was wir als Beweis betrachten)

Technisch: Zugriffs- und Admin-Aktivitätsprotokolle, Scannerpins (SAST/DAST/SCA), Secret-Scan-Berichte, SOAR-Protokolle, IaC/Cloud-Drift, Konfigurations-Backups, KMS/HSM-Tracks.
Operativ: ITSM-Tickets/Incidents/Changes, Post-Mortem-Protokolle, DR/BCP-Test-Acts, Zugriffsrevisionsberichte (Re-Cert).
Legal und regulatorisch: Policies/Standards/SOPs mit Versionsprotokoll, DPA/SLA/Addendum, Benachrichtigungen an Regulierungsbehörden, Beantwortung von Anfragen, SARA/Remediationen.
Datenschutz und Daten: Verarbeitungsregister, DSAR-Fälle, Lösch-/Anonymisierungsbestätigungen, Retentionsdiagramme, Legal Hold-Zeitschriften.
Anbieter/Dritte: Due Diligence-Ergebnisse, Zertifikate (SOC/ISO/PCI), Pentest-Berichte, SLA-Konformität.
Finanzielle Kontrolle: AML/STR-Berichte, Grenzen und Ausnahmen, SoD-Bestätigungen.

3) Prinzipien (Design Tenets)

Immutability by default: WORM/Object Lock, Verbot des Überschreibens im Aufbewahrungszeitraum.
Integrität & Authentizität: Hash-Ketten, Merkelwurzeln, digitale Signatur und Zeitstempel.
Minimal & Purpose-bound: nur die gewünschten Daten, Pseudonymisierung/Maskierung.
Fallbasierter Zugriff: Zugriff nach Fall und Rolle, mit einem End-to-End-Lese-/Exportprotokoll.
Policy-as-Code: Retention/Legal Hold/Artefakt-Klassen - im Regel-Repository.
Auditability: reproduzierbare Berichte und ein „Audit Pack“ mit Hash-Quittungen.

4) Rollen und RACI

(R — Responsible; A — Accountable; C — Consulted; I — Informed)

5) Speicherarchitektur (Referenz)

1. Empfangsbereich (ingest): zuverlässiger Bus, mTLS, Retrays, Deduplizierung, Metadaten-Normalisierung (JSON).
2. Hot Storage: Schnelle Suche/Berichte (30-90 Tage).
3. Cold Storage: Objekt/Archiv (1-7 Jahre), Economy Class.
4. WORM/Object Lock-Loop: Unveränderliches Beweisarchiv mit Richtlinien pro Baket/Objekt.
5. Integrität: Hash-Batchi, Merkelbäume, periodisches Ankern; Prüfprotokoll.
6. Verzeichnis/MDM der Artefakte: Register der Typen, Schemata, Besitzer, TTL, Schlüsselsuchfelder.
7. Zugang: RBAC/ABAC + fallbasierter Zugang; Export mit Hash-Quittung; Zwei-Punkt-Steuerung für empfindliche Sets.
8. Replikation und DR: Geo-Distribution, RTO/RPO-Ziele, regelmäßige Wiederherstellungsprüfungen.

6) Richtlinien-als-Code (YAML-Beispiel)

yaml id: EVD-RET-001 title: "Retention and Legal Hold (evidence)"
classes:
- name: "security_logs"
hot_days: 30 cold_days: 365 worm_years: 3
- name: "contracts_dpa"
hot_days: 0 cold_days: 2555  # ~7 лет worm_years: 7 legal_hold:
enabled: true override_ttl: true privacy:
mask_fields: ["email","phone","ip","account_id"]
export_policy: "case_based"
verification:
integrity_check: "daily"
anchor_cadence: "hourly"

7) Lagerkette (Chain of Custody)

Identifikation: Eindeutige Objekt-ID, Quelle, Schemaversion.
Fixierung: Hash- SHA-256/512, Paketsignatur, Zeitstempel.
Transport: Manifest Log (wer/wann heruntergeladen/verifiziert).
Zugang: Aufzeichnung aller Lesungen/Exporte; Link zum Fall/Ticket.
Berichterstattung: Hash-Belege, Verifikationsprotokolle, Ergebnisse von Sweeps.

8) Retention, Legal Hold und Löschung

Aufbewahrungspläne nach Artefaktklassen und Jurisdiktionen.
Legal Hold bei Vorfällen/Anfragen der Regulierungsbehörde - „Einfrieren“ von Löschungen.
Entfernung nach TTL - erst nach automatischer Überprüfung auf fehlende aktive Hold.
Löschbericht - Objektliste + aggregierte Hash-Zusammenfassung.
Das Offboarding des Anbieters ist eine Spiegelretention, eine Bestätigung der Zerstörung.

9) Privatsphäre und Minimierung

Scope-Minimum: Speichern Sie den Kontext, nicht „volle payload“.
Pseudonymisierung/Maskierung empfindlicher Felder; getrennte Schlüssel der Re-Identifikation.
Zugriff „per Case“: für DSAR/Incident - temporäre Rechte mit Log.
Grenzübergreifend: ausdrückliche Kennzeichnung des Lagerungs-/Verarbeitungslandes; Kontrolle der Kopien.

10) „Audit Pack“ (Struktur)

1. Beschreibung der Organisation und RACI.
2. Richtlinien/Standards/SOP (aktuelle Versionen + Änderung).
3. System- und Kontrollkarte + Zuordnung zu Normen/Zertifizierungen.
4. KPI/KRI-Metriken und Periodenberichte.
5. Artefakte nach Stichprobe: Protokolle, Configs, Scans, DR/BCP, Zugriffsrevisionen.
6. Vendor-Dossier: DPA/SLA, Zertifikate, Pentest-Berichte.
7. SARA/remediations: status, Nachweis der Schließung.
8. Hash-Quittung des Pakets und Protokoll des Zugriffs darauf.

11) Metriken und SLOs

Integrity Pass: 100% erfolgreiche Hashchecks.
Anchor Freshness p95: ≤ 2 Stunden zwischen Ankern und Verifizierung.
Coverage: ≥ 98% der kritischen Systeme im evidence-Katalog.
Access Review SLA: 100% der monatlichen Re-Zertifizierungen der Archivrechte.
Legal Hold Lag: ≤ 15 Minuten von der Veranstaltung bis zur Installation von Hold.
Export SLA („Audit Pack“): ≤ 8 Stunden für die Ausstellung eines vollständigen Satzes.
PII Leak Rate: 0 kritische Leaks in Archiven.

12) Dashboards (Mindestsatz)

Integrität & WORM: Ankerstatus, Objektsperre, Verifikationsfehler.
Coverage & Catalog: Abdeckung von Artefaktklassen, „Löchern“, verwaisten Objekten.
Access & Exports: Wer hat was gelesen/hochgeladen, Anomalien, SoD-Konflikte.
Retention & Hold: TTL-Timer, aktive Legal Hold, Zeitplan für Löschungen.
Vendor Mirror: Der Zustand der Spiegelretenz bei Auftragnehmern.
Audit Readiness: Bereitschaft „per Button“ und Zeit bis SLA.

13) SOP (Standardverfahren)

SOP-1: Hochladen von Beweisen

1. Quellenregistrierung → 2) Normalisierung/Schema → 3) Hash und Signatur →

2. Eintrag in die WORM-Zone → 5) Verifizierung und Verankerung → 6) Aktualisierung des Katalogs.

SOP-2: Vorbereitung „audit pack“

Öffnen Sie den Fall → sammeln Sie eine Liste von Artefakten aus der Stichprobe → bilden Sie ein Paket → generieren Sie eine Hash-Quittung → eine rechtliche Überprüfung → geben Sie sie über den offiziellen Kanal aus → schreiben Sie den Zugriff und eine Kopie in WORM.

SOP-3: Legal Hold

Initiieren Sie Hold → binden Sie Klassen/Fälle an → stoppen Sie Löschaufträge → benachrichtigen Sie die Eigentümer → protokollieren Sie alle Vorgänge → entfernen Sie Hold gemäß der Entscheidung von Legal.

SOP-4: Entfernung durch TTL

Überprüfen Sie die aktiven Hold-Dateien → entfernen Sie sie atomar → veröffentlichen Sie einen Bericht mit einer Hash-Zusammenfassung → aktualisieren Sie das Verzeichnis.

SOP-5: Offboarding Anbieter

Anforderung eines gespiegelten Speicherberichts → Export/Übertragung → Bestätigung der Zerstörung beim Anbieter → Überprüfung und Archivierung von Referenzen.

14) Artefakt-Metadaten (Minimum)

UID, Klasse, Schemaversion, Quelle, Besitzer/Kontakte.
Datum/Uhrzeit der Erstellung und des Downloads, Gerichtsstand/Region der Speicherung.
Hash/Signatur/Merkelliste und Prüfhistorie.
TTL und Legal Hold Status.
Links zu verknüpften Tickets/Fällen/Richtlinien.
Geschichte der Zugriffe/Exporte.

15) Integritätsprüfung (Algorithmus)

Tägliche Kampfproben → Neuberechnung von Hashes → Abgleich mit der Merkelwurzel → Bericht über Inkonsistenzen → automatische Eskalation und „Freeze“ strittiger Segmente vor der Untersuchung.

16) Qualität und Prüfung

Schema compliance ≥ 99. 5% (Abweichungen → Blockierung des Empfangs).
Disaster Restore Drills sind vierteljährliche Archivwiederherstellungstests.
Reperformability - Reperformanceskripte für Auditoren (Reproduzierbarkeit von Berichten).
Versionierte Playbooks - Versionierung von SOPs und „Audit Pack“ Vorlagen.

17) Antipatterns

Das Fehlen von WORM/immutability → die Kontroverse der Beweise.
Rohtext ohne Schemata → schwache Suche/Gültigkeit.
Kein Katalog und Besitzer → „niemand“ Verantwortung.
Archiv als „Lagerraum“: keine Metriken/Dashboards, keine DR-Tests.
Ewige Ausnahmen (waivers) ohne Ablaufdatum.
Export ohne Hash-Quittung und Zugriffsprotokoll.
Mischen von PI-Prod-Daten in Artefakten ohne Minimierung.

18) Reifegradmodell (M0-M4)

M0 Manuell: verstreute Ordner, keine TTL/Speicherkette.
M1 Katalog: einheitliches Register der Artefakte, grundlegende Retention.
M2 Verwaltet: WORM/Object Lock, IAM-Integration, Legal Hold, Dashboards.
M3 Assured: Hash-Ketten, Ankern, fallbasierter Zugriff, „Audit Pack“ per Button.
M4 Continuous Assurance: automatische Integritätsprüfungen, prädiktive Risiken, gespiegelte Retention bei Anbietern, komplette DR-Übungen.

19) Verwandte Artikel wiki

Protokollierung und Protokollierung

Audit Trail: Aktivitäten verfolgen

Legal Hold und Dateneinfrieren

Zeitpläne für die Speicherung und Löschung von Daten

Kontinuierliche Compliance-Überwachung (CCM)

KPIs und Compliance-Kennzahlen

Due Diligence und Outsourcing-Risiken

Änderungsmanagement in der Compliance-Richtlinie

Kommunikation mit Aufsichtsbehörden und Wirtschaftsprüfern

Summe

Die sichere Aufbewahrung von Beweismitteln ist nicht nur ein „Archiv“, sondern ein überschaubares und nachweisbar unveränderbares System: WORM- und Hash-Ketten, strenge Retentions- und Legal Hold-Richtlinien, Zugriff „per Case“, Kataloge und Metriken, reproduzierbare „Audit Pack“ und regelmäßige Integritätsprüfungen. In einem solchen System sind Audits vorhersehbar, Untersuchungen schnell und Risiken unter Kontrolle.