Bundesamt für Sicherheit in der Informationstechnik

M 2.498 Behandlung von Warn- und Fehlermeldungen

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator

Für die Behandlung von Warn- und Fehlermeldungen müssen strukturierte und nachvollziehbare Prozesse eingeführt und die umgesetzten Maßnahmen dokumentiert werden.

In diesen Prozessen sollte beschrieben sein, wer für die Bearbeitung der Meldung zuständig ist (Rollen oder Personen) und auf welche Weise die Information über die Meldung übermittelt wird (z. B. E-Mail, SMS, Generierung eines Trouble-Tickets).

Verfügt die Institution bereits über ein Alarmierungskonzept, so sind die Warn- und Fehlermeldungen des Netzmanagements hierin einzubetten.

Im Folgenden sind mögliche Ereignisse, Ursachen und Reaktionen für Warn- und Fehlermeldungen aufgeführt.

Warnmeldungen

Eine Warnmeldung kann durch unterschiedliche Ereignisse ausgelöst werden, beispielsweise:

  • Die im Netzkonzept definierten und im Netzmanagementsystem hinterlegten Schwellwerte werden über- oder unterschritten.
  • Angebotene Dienste werden nicht mit der erforderlichen Güte bereitgestellt.
  • Es kommt zu Anomalien im Netzverkehr, die vom Netzmanagementsystem erkannt werden.

Als mögliche Ursachen können infrage kommen:

  • Neu eingeführte Geschäftsprozesse benötigen eine unerwartet hohe Bandbreite.
  • Im Internet gibt es ein interessantes Angebot, das von vielen Mitarbeitern genutzt wird, zum Beispiel der Live-Stream eines Spiels einer Fußball-WM.
  • Ein Computer im internen Netz ist mit Malware infiziert, die versucht, über nicht erlaubte Ports zu kommunizieren.
  • Die Institution wird von außen angegriffen.
  • Peer-to-Peer (P2P) Dienste werden in unerlaubter Weise genutzt und führen zu einer Überlastung der Internetverbindung.
  • Es wurde ein Versuch unternommen, ungenehmigt ein IT -System mit dem internen Netz zu verbinden.
  • Nicht erlaubte Protokolle werden genutzt ( z. B. Remote-Desktop-Verbindung zu einem Computer außerhalb des internen Netzes).
  • Jemand probiert verschiedene Passwörter aus, um sich unbefugt bei einer aktiven Netzkomponente anzumelden.
    Je nach Ursache der Warnmeldung müssen die Verantwortlichen entsprechende Maßnahmen einleiten:
  • Erfolgt die Warnmeldung, weil ein Schwellwert über- oder unterschritten wurde, beispielsweise wegen eines intensiv genutzten Internetangebots, können entweder technische und/oder organisatorische Maßnahmen zur Abhilfe ergriffen werden. Ist abzusehen, dass sich der Vorfall in dieser Form nicht wiederholen wird, muss nicht reagiert werden.
  • Bei Verdacht auf eine Vireninfektion sollte eine Überprüfung auf Schadsoftware gestartet werden.
  • Wenn anzunehmen ist, dass das Problem wieder auftreten wird, ist zu klären, ob eine geänderte Konfiguration aktiver Netzkomponenten Abhilfe schafft, beispielsweise indem Dienste aktiviert oder deaktiviert werden. Sollte es sich um ein bereits bekanntes Problem handeln, können vom Hersteller zur Verfügung gestellte Updates oder Patches eingespielt werden (siehe B 1.14 Patch- und Änderungsmanagement ).
  • Werden Schwellwerte dauerhaft verletzt, muss überlegt werden, ob der Beeinträchtigung von Diensten im Netz durch zusätzliche oder leistungsfähigere Hardware entgegengewirkt werden kann. Eine solche Maßnahme könnte die Migration in bestimmten Netzabschnitten von Fast-Ethernet auf eine Anbindung mit höheren Übertragungsraten sein. Sind die Maßnahmen abgeschlossen, muss der Netzplan auf den neuesten Stand gebracht werden.
  • Lässt sich die Warnung nicht durch einzelne Maßnahmen abstellen, muss unter Umständen auch über eine Änderung der Topologie nachgedacht und ein Netzdesignprozess (siehe B 4.1 Lokale Netze ) angestoßen werden. So könnten Dienste beispielsweise redundant ausgelegt werden oder es kann eine erweiterte Netztopologie notwendig sein.

Fehlermeldungen:

Fehlermeldungen weisen immer auf den Ausfall einer aktiven Netzkomponente oder eines Dienstes hin, der durch das Netzmanagement überwacht wird. Generell kann ein Ausfall mit oder ohne Fremdeinwirkung verursacht worden sein.

  • Ausfall von IT-Systemen, die Dienste im Netz anbieten ( z. B. E-Mail-Server).
  • Ausfall von aktiven Netzkomponenten (z. B. ein Port am Switch ist defekt).
  • Ausfall von passiven Netzkomponenten (z. B. Kabel wurde versehentlich bei Umbauarbeiten beschädigt).

Die Ursachen für den Fehler können vielfältig sein, darunter sind:

  • Umweltfaktoren wie Hitze und Wasser lösen einen Hardwaredefekt aus oder es liegt ein Fehler in der technischen Infrastruktur vor, zum Beispiel ein Stromausfall.
  • Eine Softwareschwachstelle führt zum Absturz eines IT-Systems oder einer aktiven Netzkomponente.
  • Ein IT-System wurde erfolgreich von innen oder von außen angegriffen und fällt aus.
  • Bei einem Test von Sicherheitsvorrichtungen wurden produktive Systeme gestört. Beispielsweise startet die Notstromversorgung bei einem Test nicht.

Die Ursachenforschung ist sehr wichtig. Es muss das Ziel sein, solche Fehler in Zukunft zu verhindern oder zumindest möglichst schnell zu beheben, wenn sie trotzdem wieder auftreten. Wenn mehrere ungünstige Umstände zusammenspielen, ist es schwer, die Ursachen und deren Zusammenwirken zu entdecken. Zum Abstellen des Fehlers können beispielsweise folgende Maßnahmen erfolgreich sein:

  • Eine defekte Hardwarekomponente wird ausgetauscht oder eine abgestürzte Software wird neu installiert.
  • Unter Umständen kann auch die Reparatur einer defekten Hardwarekomponente möglich und wünschenswert sein.
  • Steht für ein ausgefallenes IT-System ein Standby-System zur Verfügung (Cold- oder Hot-Standby), so wird dieses anstelle des defekten IT-Systems verwendet.

Es muss das primäre Ziel sein, auftretende Fehler zu beheben. Trotzdem ist es auch wichtig zu lernen, wie solche Fehler künftig vermieden werden können. Die Analyse des Fehlers und die eingeleiteten Maßnahmen sollten dokumentiert werden.

Prüffragen:

  • Wurden für die Behandlung von Warn- und Fehlermeldungen nachvollziehbare Prozesse eingeführt und die umgesetzten Maßnahmen dokumentiert?

  • Wurden die Warn- und Fehlermeldungen des Netzmanagements in ein bereits vorhandenes Alarmierungskonzept integriert?

Stand: 13. EL Stand 2013

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK