Bundesamt für Sicherheit in der Informationstechnik

B 1.8 Behandlung von Sicherheitsvorfällen

Logo Behandlung von Sicherheitsvorfällen

Beschreibung

Um die Informationssicherheit im laufenden Betrieb aufrecht zu erhalten, ist es notwendig, die Behandlung von Sicherheitsvorfällen (Security Incident Handling oder auch Security Incident Response) im Vorfeld zu konzipieren und einzuüben. Als Sicherheitsvorfall wird dabei ein unerwünschtes Ereignis bezeichnet, das Auswirkungen auf die Informationssicherheit hat und in der Folge große Schäden nach sich ziehen kann. Typische Folgen von Sicherheitsvorfällen können die Ausspähung, Manipulation oder Zerstörung von Daten sein. Um Schäden zu vermeiden bzw. zu begrenzen, müssen Sicherheitsvorfälle schnell und effizient bearbeitet werden. Wenn hierbei auf ein vorgegebenes und erprobtes Verfahren aufgesetzt werden kann, können Reaktionszeiten minimiert werden.

Der Fokus dieses Bausteins liegt auf der Behandlung von Sicherheitsvorfällen aus Sicht der Informationstechnik. Trotz dieser klaren Trennung von anderen Sicherheitsvorfällen gibt es bei der Behandlung von Sicherheitsvorfällen auch Schnittstellen zu Vorfällen in anderen Bereichen zu beachten.

Ein besonderer Bereich der Behandlung von Sicherheitsvorfällen ist dabei das Notfallmanagement (siehe Baustein B 1.3 Notfallmanagement ). Im Rahmen des Notfallmanagements werden unter anderem konkret für geschäftsrelevante Prozesse, Bereiche und IT-Systeme der Ausfall kritischer Komponenten vorab analysiert, risikominimierende Maßnahmen geplant und eine Vorgehensweise zur Aufrechterhaltung oder Wiederherstellung der Verfügbarkeit festgelegt.

Typische Sicherheitsvorfälle sind beispielsweise

  • Fehlkonfigurationen, die zur Offenlegung vertraulicher Daten, zu Verlust der Integrität schutzbedürftiger Daten oder zu Datenverlusten führen,
  • Auftreten von Sicherheitslücken in Hard- oder Softwarekomponenten durch inhärente Fehler,
  • Auftreten von Schadsoftware oder
  • kriminelle Handlungen (etwa Hacking von Internet-Servern, Einbruch in IT-Systeme, Diebstahl von Daten, Sabotage oder Erpressung mit IT-Bezug).

Solche Sicherheitsvorfälle können zum Beispiel ausgelöst werden durch

  • das Fehlverhalten von Benutzern, Administratoren oder externen Dienstleistern, das zu sicherheitskritischen Änderungen von Systemparametern führt und gegen interne Richtlinien oder Anweisungen verstößt,
  • Verletzung von Zugriffsrechten,
  • durchgeführte Änderungen an Software, Hardware oder Infrastruktur oder
  • unzureichende Absicherung schutzbedürftiger Räume und Gebäude.

Alle Arten von Sicherheitsvorfällen müssen angemessen behandelt werden. Dies gilt sowohl für solche Sicherheitsvorfälle, gegen die die Institution sich konkret rüsten kann, wie z. B. Computer-Viren, als auch solche, die die Institution unerwartet treffen, wie beispielsweise ein Wasserrohrbruch.

In diesem Baustein wird ein systematischer Weg aufgezeigt, wie ein Konzept zur Behandlung von Sicherheitsvorfällen erstellt und dessen Umsetzung und Einbettung innerhalb eines Unternehmens bzw. einer Behörde sichergestellt werden kann. Der Aufwand zur Erstellung und Umsetzung eines solchen Konzepts ist nicht gering.

Gefährdungslage

Sicherheitsvorfälle können durch eine Vielzahl von Gefährdungen ausgelöst werden. Eine große Sammlung von Gefährdungen, die kleinere oder größere Sicherheitsvorfälle verursachen können, findet sich in den Gefährdungskatalogen. In diesem Baustein werden daher stellvertretend für alle Gefährdungen, die sich im Umfeld von Sicherheitsvorfällen ereignen können, folgende Gefährdungen betrachtet:

Organisatorische Mängel

G 2.62 Ungeeigneter Umgang mit Sicherheitsvorfällen
G 2.141 Nicht erkannte Sicherheitsvorfälle
G 2.142 Zerstörung von Beweisspuren bei der Behandlung von Sicherheitsvorfällen

Maßnahmenempfehlungen

Um den betrachteten Informationsverbund abzusichern, müssen zusätzlich zu diesem Baustein noch weitere Bausteine umgesetzt werden, gemäß den Ergebnissen der Modellierung nach IT-Grundschutz.

Um ein effektives System zur Behandlung von Sicherheitsvorfällen einzurichten, sind eine Reihe von Schritten zu durchlaufen und Maßnahmen umzusetzen.

Planung und Konzeption

Zunächst muss eine Vorgehensweise sowie Organisationsstrukturen zur Behandlung von Sicherheitsvorfällen aufgebaut werden (siehe M 6.58 Etablierung einer Vorgehensweise zur Behandlung von Sicherheitsvorfällen ). Es ist zu regeln, wer welche Verantwortung beim Auftreten von Sicherheitsvorfällen hat (siehe M 6.59 Festlegung von Verantwortlichkeiten bei Sicherheitsvorfällen ).

Neben der Festlegung der Rollen, Verantwortlichkeiten und Verhaltensregeln müssen für die effektive Behandlung von Sicherheitsvorfällen die Betroffenen richtig mit deren Auswirkungen umgehen und Vorfälle unverzüglich melden (siehe M 6.60 Festlegung von Meldewegen für Sicherheitsvorfälle ).

Es ist eine Eskalationsstrategie zu erarbeiten, wer in welchen Fällen hinzuzuziehen ist (siehe M 6.61 Eskalationsstrategie für Sicherheitsvorfälle ). Außerdem muss festgelegt werden, in welcher Reihenfolge die aus einem Sicherheitsvorfall resultierenden Schäden bearbeitet werden sollen (siehe M 6.62 Festlegung von Prioritäten für die Behandlung von Sicherheitsvorfällen ).

Umsetzung

Neben der Prävention kommt auch der Detektion von Sicherheitsvorfällen sowie der Beweissicherung große Bedeutung zu (siehe M 6.67 Einsatz von Detektionsmaßnahmen für Sicherheitsvorfälle und M 6.127 Etablierung von Beweissicherungsmaßnahmen bei Sicherheitsvorfällen ).

Zur kompetenten Behandlung von Sicherheitsvorfällen sollte frühzeitig ein Team mit erfahrenen und vertrauenswürdigen Spezialisten zusammengestellt werden (siehe M 6.123 Einrichtung eines Expertenteams für die Behandlung von Sicherheitsvorfällen ).

Betrieb

Sicherheitsvorfälle müssen zunächst als solche erkannt und erfasst werden (siehe M 6.130 Erkennen und Erfassen von Sicherheitsvorfällen ), dann müssen sie analysiert und eine angemessene Lösung vorgeschlagen werden (siehe M 6.131 Qualifizieren und Bewerten von Sicherheitsvorfällen und M M 6.64 Behebung von Sicherheitsvorfällen ). Die Maßnahmen zu Behebung von Sicherheitsvorfällen müssen geeignet überwacht und gesteuert werden (siehe M 6.133 Wiederherstellung der Betriebsumgebung nach Sicherheitsvorfällen und M 6.66 Nachbereitung von Sicherheitsvorfällen ).

Nachfolgend wird das Maßnahmenbündel für den Bereich "Behandlung von Sicherheitsvorfällen" vorgestellt.

Planung und Konzeption

M 6.58 (A) Etablierung einer Vorgehensweise zur Behandlung von Sicherheitsvorfällen
M 6.59 (A) Festlegung von Verantwortlichkeiten bei Sicherheitsvorfällen
M 6.60 (A) Festlegung von Meldewegen für Sicherheitsvorfälle
M 6.61 (C) Eskalationsstrategie für Sicherheitsvorfälle
M 6.62 (Z) Festlegung von Prioritäten für die Behandlung von Sicherheitsvorfällen
M 6.121 (A) Erstellung einer Richtlinie zur Behandlung von Sicherheitsvorfällen
M 6.122 (C) Definition eines Sicherheitsvorfalls

Umsetzung

M 6.67 (Z) Einsatz von Detektionsmaßnahmen für Sicherheitsvorfälle
M 6.123 (Z) Einrichtung eines Expertenteams für die Behandlung von Sicherheitsvorfällen
M 6.124 (C) Festlegung der Schnittstellen der Sicherheitsvorfallbehandlung zur Störungs- und Fehlerbehebung
M 6.125 (A) Einrichtung einer zentralen Kontaktstelle für die Meldung von Sicherheitsvorfällen
M 6.126 (Z) Einführung in die Computer-Forensik
M 6.127 (Z) Etablierung von Beweissicherungsmaßnahmen bei Sicherheitsvorfällen
M 6.128 (Z) Schulung an Beweismittelsicherungswerkzeugen
M 6.129 (C) Schulung der Mitarbeiter des Service Desk zur Behandlung von Sicherheitsvorfällen

Betrieb

M 6.64 (A) Behebung von Sicherheitsvorfällen
M 6.65 (A) Benachrichtigung betroffener Stellen bei Sicherheitsvorfällen
M 6.66 (B) Nachbereitung von Sicherheitsvorfällen
M 6.68 (C) Effizienzprüfung des Managementsystems zur Behandlung von Sicherheitsvorfällen
M 6.130 (A) Erkennen und Erfassen von Sicherheitsvorfällen
M 6.131 (A) Qualifizieren und Bewerten von Sicherheitsvorfällen
M 6.132 (A) Eindämmen der Auswirkung von Sicherheitsvorfällen
M 6.133 (A) Wiederherstellung der Betriebsumgebung nach Sicherheitsvorfällen
M 6.134 (B) Dokumentation von Sicherheitsvorfällen

Stand: 11. EL Stand 2009

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK