Bundesamt für Sicherheit in der Informationstechnik

M 6.54 Verhaltensregeln nach Verlust der Netzintegrität

Verantwortlich für Initiierung: Informationssicherheitsmanagement, Leiter IT

Verantwortlich für Umsetzung: Administrator, Benutzer

Falls sich das Netz in nicht vorgesehener Weise verhält (z. B. Server sind nicht verfügbar, Zugriff auf Netzressourcen ist nicht möglich, Netzperformance bricht dauerhaft ein), kann ein Verlust der Netzintegrität vorliegen. Dieser kann durch missbräuchliche Nutzung des Netzes verursacht worden sein, z. B. durch Veränderungen der Konfigurationen der aktiven Netzkomponenten oder deren Beschädigung.

Dann sollten die Benutzer folgende Punkte beachten:

  • Sicherung der Arbeitsergebnisse und ggf. Beendigung aktiver Programme.
  • Der Administrator muss über eine geeignete Eskalationsstufe (z. B. User Help Desk) von den Benutzern benachrichtigt werden. Dabei ist sicherzustellen, dass der Administrator durch den Benachrichtigungsprozess in seiner Arbeit nicht wesentlich behindert wird.

Der Netzadministrator sollte folgende Schritte durchführen:

  • Eingrenzen des fehlerhaften Verhaltens auf ein Netzsegment bzw. eine Netzkomponente,
  • Überprüfen der Konfigurationen der dort vorhandenen aktiven Netzkomponenten (darunter fällt auch die Kontrolle der Passwörter),
  • Sichern aller Dateien, die Aufschluss über die Art und Ursache des aufgetretenen Problems geben könnten (z. B. ob tatsächlich ein Angriff erfolgt ist und auf welche Weise der Angreifer eindringen konnte), d. h. insbesondere Sichern aller relevanten Protokolldateien,
  • ggf. Wiedereinspielen der Original-Konfigurationsdaten (siehe M 6.52 Regelmäßige Sicherung der Konfigurationsdaten aktiver Netzkomponenten ),
  • ggf. Überprüfung der eingesetzten Hardware (Verkabelung, Steckverbindungen, aktive Netzkomponenten usw.) auf Defekte und
  • Benachrichtigung der Benutzer mit der Bitte, ihre Arbeitsbereiche auf Unregelmäßigkeiten zu prüfen.

Wenn Anzeichen auf einen vorsätzlichen Angriff gegen das Netz vorliegen, ist für die Schadensminimierung und weitere Schadensabwehr sofortiges Handeln notwendig. Hierzu ist ein Alarmplan erforderlich, in dem die einzuleitenden Schritte aufgeführt werden und festgelegt wird, welche Personen über den Vorfall zu unterrichten sind (siehe auch M 6.60 Festlegung von Meldewegen für Sicherheitsvorfälle ). Der Alarmplan enthält ggf. auch Informationen darüber, ob und wie der Datenschutzbeauftragte und die Rechtsabteilung zu beteiligen sind.

Prüffragen:

  • Ist die Benachrichtung von bestimmten Instanzen ( z. B. Administrator, Sicherheitsbeauftragter) gemäß eines festgelegten Eskalationsprozesses/Alarmplans bei Verlust der Netzintegrität sichergestellt?

  • Ist das Vorgehen zur Feststellung der Ursachen sowie zur Schadensminimierung und weiteren Schadensabwehr bei Verlust der Netzintegrität festgelegt?

Stand: 13. EL Stand 2013