Zentrale Erkenntnis: Flüchtige Nachrichten bergen Compliance- und Rechtsrisiken, da sie geschäftliche Kommunikation automatisch löschen und die digitale Forensik erschweren. Automatisierte Archivierungslösungen helfen Unternehmen, flüchtige Nachrichten proaktiv zu erfassen und zu bewahren – für forensische Bereitschaft und belastbare Nachweise. Handeln Sie schnell: Aktualisieren Sie Richtlinien, schulen Sie Mitarbeitende und nutzen Sie zugelassene Plattformen für eine sichere Datenspeicherung.

Flüchtige Nachrichten verändern die Regeln der digitalen Kommunikation und stellen digitale Forensik-Experten vor neue Hürden. Textnachrichten sind heute so konzipiert, dass sie nach einer bestimmten Zeit oder nach dem Lesen verschwinden. Die Bewältigung dieser Herausforderungen erfordert einen strategischen, mehrschichtigen Ansatz, der Datenschutz, Compliance und forensische Bereitschaft in Einklang bringt.

Warum flüchtige Nachrichten in der digitalen Forensik wichtig sind

Im September 2022 verhängte die SEC gegen 16 große Wall-Street-Unternehmen Geldstrafen in Höhe von über 1,1 Milliarden US-Dollar, weil sie elektronische Kommunikation nicht ordnungsgemäß aufbewahrt hatten, darunter Nachrichten, die über Apps für flüchtige Kommunikation und persönliche Geräte gesendet wurden. Dieser Fall dient als Warnung und verdeutlicht die sich wandelnden Compliance-Standards.

Rechtsexperten raten Unternehmen inzwischen, alle geschäftsbezogenen Kommunikationskanäle proaktiv zu verwalten und zu archivieren, auch solche über verschlüsselte oder automatisch löschende Apps, um kostspielige Untersuchungen, Bußgelder und nachträgliche Maßnahmen zu vermeiden.

Compliance-Risiken und Herausforderungen bei der rechtlichen Aufbewahrung flüchtiger Nachrichten

Apps für flüchtige Nachrichten ermöglichen es Nutzern, thread-spezifische automatische Löschrichtlinien festzulegen, die Nachrichten automatisch löschen und rechtliche Aufbewahrungsanordnungen wirkungslos machen. In einigen Fällen kann die Nachrichtenaufbewahrung von jeder Partei im Thread so eingestellt werden, dass die Nachricht bereits nach einer Sekunde gelöscht wird. Relevante geschäftliche Kommunikation kann dadurch entfernt werden, bevor eine Sicherung möglich ist. Dies lässt nur wenige oder gar keine Optionen für die digitale Forensik zur Sammlung oder Wiederherstellung.

Mobile Forensik: Herausforderungen bei der Datenerhebung

WhatsApp, Signal und Telegram gehören zu den gängigen Plattformen für flüchtige Nachrichten, die in digitalen Forensik-Untersuchungen auftreten. Jede Plattform bringt eigene Herausforderungen mit sich, weist aber auch einige Gemeinsamkeiten auf.

• Die Funktion für flüchtige Nachrichten in WhatsApp ist standardmäßig deaktiviert. Sobald ein Nutzer sie aktiviert, können die Aufbewahrungseinstellungen beliebig begrenzt werden. 
• Telegram speichert Nachrichten in der Cloud, was mobile Forensik-Sammlungen weniger effektiv macht. Obwohl Telegram einige Daten auf einem mobilen Gerät zwischenspeichern kann, handelt es sich in der Regel um ein unvollständiges Bild des gesamten Datensatzes. Die Sammlung erfolgt normalerweise über die Telegram-Cloud-Schnittstelle, was jedoch voraussetzt, dass die Nachrichten noch existieren und nicht bereits gelöscht wurden. 
• Signal ist auf Datenschutz ausgelegt und gilt als eine der schwierigsten Apps für die forensische Erfassung und Sicherung. Es verschlüsselt Daten im Ruhezustand und speichert sie weder in Standard-Backups des Geräts noch auf einem Remote-Cloud-Server. Außerdem synchronisiert Signal keine Daten zwischen mobilen Geräten, sondern erfordert separate Konten für jedes Gerät. Für eine vollständige Dateisystem-Sammlung sind Entschlüsselungsdaten für das jeweilige Gerät erforderlich. Einige Geräte und Betriebssystemversionen werden jedoch von fortschrittlichen Forensik-Tools nicht unterstützt.

Einige kommerzielle Archivierungslösungen bieten Versionen an, die flüchtige Nachrichten automatisch erfassen und für Compliance und eDiscovery sichern. Durch die Integration dieser Technologie behalten Unternehmen belastbare Nachweise, die später über eine forensische Sammlung abgerufen und überprüft werden können. Solche Lösungen erfordern klare Richtlinien, die Mitarbeitende verpflichten, ausschließlich die genehmigte, archivierungsfähige Version der App für geschäftliche Zwecke zu verwenden.

Diese Richtlinien sollten auch untersagen, dass Mitarbeitende persönliche oder nicht genehmigte Kommunikationsmethoden für geschäftliche Zwecke nutzen. Ebenso sollten Kunden darüber informiert werden, wie Unternehmen mit ihnen kommunizieren und wie sie unautorisierte oder potenziell betrügerische Kommunikation vermeiden können.

Bewahrung statt Wiederherstellung in der digitalen Forensik

Sobald Daten in einer App für flüchtige Nachrichten gelöscht werden, ist eine Wiederherstellung oft unmöglich. Wenn keine unternehmensweite kommerzielle Archivierungslösung vorhanden ist, muss der Fokus daher auf eine schnelle Sicherung gelegt werden. Dies erfordert forensische Tools und Techniken, die eine belastbare Datenerfassung unterstützen. Digitale Forensik-Experten müssen wichtige Fragen zum Gerät des Datenverantwortlichen stellen, darunter Marke, Modell, Betriebssystem und benötigte Datentypen, um den besten Ansatz zu empfehlen. Diese fehlende Möglichkeit zur Wiederherstellung, die eigentlich der Sicherheit dienen soll, stellt potenzielle Hürden für die Beweissicherung sowohl für Datenverantwortliche als auch für Prozessparteien dar.

Legal Hold und Beweissicherung im Zeitalter flüchtiger Nachrichten

Flüchtige Nachrichten stehen im grundlegenden Widerspruch zum Konzept des Legal Hold. Die Einstellung für verschwindende Nachrichten in WhatsApp, Telegram und Signal kann von jedem Nutzer im Thread gesteuert werden. In den meisten Fällen bedeutet das, dass jeder Teilnehmer die Einstellung für verschwindende Nachrichten jederzeit ändern kann. Einige Gruppen-Threads mit mehreren Teilnehmern erlauben Administratoren, verschwindende Nachrichten zu regulieren. Bei Direktnachrichten ist dies jedoch nicht möglich. Selbst wenn ein Datenverantwortlicher einem Legal Hold unterliegt, können andere Teilnehmer in Threads mit flüchtigen Nachrichten absichtlich oder unbeabsichtigt dazu führen, dass der Datenverantwortliche gegen den Legal Hold verstößt, indem Nachrichten gelöscht werden, die aufbewahrt werden müssen.

Verschwindende Nachrichten untergraben die Fähigkeit, geschäftliche Kommunikation für Rechtsstreitigkeiten oder regulatorische Zwecke zu bewahren, sofern nicht im Vorfeld geeignete Richtlinien und Archivierungslösungen vorhanden sind. In seltenen Fällen kann die Datenaufnahme vor der Löschung mit validierten forensischen Methoden erfolgen, sodass die Informationen mit einer ordnungsgemäßen Beweiskette vor Gericht vorgelegt werden können.

Trends und Best Practices für mobile Kommunikation

Da immer mehr Anwendungen Funktionen für verschwindende Nachrichten einführen, überprüfen Unternehmen ihre Kommunikations- und Mobilgeräterichtlinien, um die Risiken flüchtiger Nachrichten zu adressieren.

Eine aufkommende Best Practice ist die Pflege einer klar definierten Liste offizieller Kommunikationsplattformen. Dazu gehören E-Mail, Microsoft Teams, Slack, ICE Chat oder archivierte Versionen von WhatsApp. Einige Branchen verabschieden sich von SMS oder mobilen Messaging-Apps mit Einstellungen für flüchtige Nachrichten als offiziellen Kommunikationskanal.

Beginnt ein geschäftliches Gespräch auf einer nicht genehmigten Plattform, werden Mitarbeitende geschult, die Unterhaltung auf einen zugelassenen Kanal zu verlagern. Beispiel: Wenn ein Kollege ein Gespräch über ein Geschäft auf iMessage startet, sollte die Antwort darin bestehen, die Diskussion auf E-Mail oder Teams zu verschieben, um eine ordnungsgemäße Dokumentation und Compliance sicherzustellen.

Abschließende Empfehlungen

Handeln Sie schnell, um Daten aus flüchtigen Nachrichten proaktiv zu sichern, wenn sie für Untersuchungen oder Rechtsstreitigkeiten erforderlich sind. Überprüfen und aktualisieren Sie Kommunikationsrichtlinien, um genehmigte Apps für geschäftliche Kommunikation klar aufzulisten, insbesondere wenn Mitarbeitende laut Richtlinie ihre eigenen Geräte nutzen dürfen.

Flüchtige Nachrichten werden bleiben. Unternehmen sind jedoch einen Schritt voraus, wenn sie Richtlinien aktualisieren, Mitarbeitende schulen und die richtigen forensischen Tools einsetzen.

Erfahren Sie mehr darüber, wie Sie kritische Kommunikation bewahren und belastbare Untersuchungen unterstützen – mit den Forensik- und Datenerfassungsservices von Epiq.
 

Andrew Crouse, Direktor Forensik, eDiscovery-Lösungen, Epiq
In seiner Rolle als Director Digital Forensics bei Epiq leitet Andrew Crouse digitale forensische Untersuchungen, Beratungsprojekte, Servicebereitstellung und Anforderungen an die Forensikpraxis. Crouse führt ein Team aus Beratern, Analysten und Laborfachkräften für die US-Operationen von Epiq.