Bundesamt für Sicherheit in der Informationstechnik

M 6.58 Etablierung einer Vorgehensweise zur Behandlung von Sicherheitsvorfällen

Verantwortlich für Initiierung: Behörden-/Unternehmensleitung

Verantwortlich für Umsetzung: IT-Sicherheitsbeauftragter

Mit der zunehmenden Einbindung der Informationstechnik in alle Abläufe einer Behörde oder eines Unternehmens nimmt auch die Abhängigkeit von deren korrekten Funktionieren immer weiter zu. Eine wichtige Aufgabe des Sicherheitsmanagements ist daher die Vorbereitung auf den angemessenen Umgang mit Sicherheitsvorfällen aller Art. Sicherheitsvorfälle können durch eine Vielzahl von Ereignissen ausgelöst werden und z. B. zum Verlust der Verfügbarkeit, Integrität und/oder Vertraulichkeit von Daten, einzelnen IT-Systemen oder des gesamten Netzes führen.

Sicherheitsvorfälle, die im Rahmen des Sicherheitsmanagements einer besonderen Behandlung bedürfen, sind solche, die das Potential für große Schäden besitzen. Sicherheitsprobleme, die nur lokal begrenzte und geringfügige Schäden verursachen oder verursachen können, sollten auch in der lokalen Verantwortlichkeit gelöst werden, um das Sicherheitsmanagement nicht zu überlasten.

Die Behandlung von Sicherheitsvorfällen verfolgt als Teil des Informationssicherheitsmanagements dabei folgende Ziele:

  • Reaktionsfähigkeit, damit Sicherheitsvorfälle und Sicherheitsprobleme rechtzeitig bemerkt und an eine zuständige Stelle gemeldet werden,
  • Entscheidungsfähigkeit, ob es sich um ein lokales Sicherheitsproblem oder um einen Sicherheitsvorfall handelt,
  • Handlungsfähigkeit, damit bei einem Sicherheitsvorfall die notwendigen Maßnahmen kurzfristig ergriffen und umgesetzt werden,
  • Schadensminimierung, in dem weitere potentiell betroffene Bereiche rechtzeitig benachrichtigt werden und
  • Effektivität, in dem die Fähigkeit zur Behandlung von Sicherheitsvorfällen geübt und überwacht wird.

Um diese Ziele erreichen zu können, ist eine geeignete Vorgehensweise zur Behandlung von Sicherheitsvorfällen zu etablieren, also sinnvolle und erprobte Prozesse zum Umgang mit Sicherheitsvorfällen aufzubauen. Abläufe und Regeln für die verschiedenen Arten von Sicherheitsvorfällen sollten klar definiert sein. Zwingende Voraussetzung dafür ist, dass die Behörden- oder Unternehmensleitung beteiligt wird und letztlich die Verfahren zur Behandlung von Sicherheitsvorfällen in Kraft setzt, um die notwendige Sensibilisierung für Informationssicherheit, die Vergabe von Entscheidungskompetenzen und die Unterstützung der Sicherheitsziele zu gewährleisten.

Als Teil des Sicherheitsmanagements sollte die Behandlung von Sicherheitsvorfällen in der Sicherheitsleitlinie bzw. im Sicherheitskonzept der Behörde bzw. des Unternehmens geregelt werden.

Hier ist festzulegen, dass Sicherheitsvorfälle und Sicherheitsprobleme von den Benutzern und Betroffenen dem zuständigen Sicherheitsverantwortlichen gemeldet werden. Darüber hinaus sind die Entscheidungsfindungswege zu beschreiben und die Notwendigkeit für Sicherheitsmaßnahmen zu motivieren.

Die Behandlung von Sicherheitsvorfällen muss außerdem mit dem Notfallmanagement abgestimmt werden, da hier viele ähnliche Vorgehensweisen zum Umgang mit sicherheitsrelevanten Vorfällen vorhanden sind, die gut zusammenarbeiten sollten. Falls es in der Institution eine spezielle Rolle für Störungs- und Fehlerbehebung gibt, ist auch diese mit einzubeziehen.

Neben einer Vorgehensweise sind auch geeignete Organisationsstrukturen zur Behandlung von Sicherheitsvorfällen festzulegen. Hierfür ist zu regeln, wer welche Verantwortung beim Auftreten von Sicherheitsvorfällen hat. Verantwortung tragen dabei unter anderem folgende Gruppen für die exemplarisch beschriebenen Aufgaben:

  • Benutzer: Melden von Sicherheitsproblemen und -vorfällen
  • Administratoren: Entgegennahme von Meldungen und erste Entscheidungsvorbereitung zwischen Sicherheitsproblem und -vorfall sowie Einleitung der Eskalation
  • Verantwortliche für Anwendungen: Beteiligung als Träger des Schutzbedarfs der betroffenen Geschäftsprozesse und Anwendungen bei Entscheidungsfindung und Maßnahmenauswahl
  • IT-Sicherheitsbeauftragter bzw. Sicherheitsmanagement: Entgegennahme von Meldungen und Entscheidungsfindung zwischen Sicherheitsproblem und -vorfall, Einschaltung des Eskalationswegs und Einleitung notwendiger Maßnahmen
  • Sicherheitsvorfall-Team: ein aus betroffenen Administratoren, IT-Anwendern, IT-Sicherheitsbeauftragten, Öffentlichkeitsarbeit und gegebenenfalls Leitungsebene zusammengesetztes Team zur Abwicklung eines Sicherheitsvorfalls
  • Notfallbeauftragter bzw. Notfallmanagement: Entgegennahme von Meldungen und Entscheidungsfindung zwischen Sicherheitsvorfallbehandlung und Eskalation zum Notfallmanagement
  • Öffentlichkeitsarbeit bzw. Pressestelle: bei Bedarf Vorbereitung der Informationspolitik bezüglich des Sicherheitsvorfalls
  • Revision: Überprüfung des Managementsystems und Nachbereitung eines Sicherheitsvorfalls
  • Behörden-/Unternehmensleitung: Abschließende Entscheidungsfindung

Die Verantwortlichkeiten sind zu regeln und in Kraft zu setzen. Näheres ist in Maßnahme M 6.59 Festlegung von Verantwortlichkeiten bei Sicherheitsvorfällen .

Je kritischer ein Sicherheitsvorfall ist, desto mehr Kompetenzen werden bei der Behandlung des Sicherheitsvorfalls in der Regel benötigt. Dies kann so weit führen, dass die Behörden- bzw. Unternehmensleitung informiert und eingeschaltet werden muss, um notwendige Maßnahmen wie Verbot der Informationsweitergabe, Einschaltung der Polizei, kostenträchtige Ersatzmaßnahmen etc. einleiten zu können. Ein Sicherheitsvorfall kann aber auch die Eskalation an das Notfallmanagement zur Folge haben. Dazu bedarf es jedoch einer im Vorfeld erarbeiteten Strategie, wer in welchen Fällen hinzuzuziehen ist (siehe M 6.61 Eskalationsstrategie für Sicherheitsvorfälle ).

Um die Effektivität eines Managementsystems zur Behandlung von Sicherheitsvorfällen messen zu können und um die notwendige Praxis dieser Managementaufgaben zu fördern, sind Übungen bzw. Planspiele durchzuführen. Da dies einen erheblichen Personaleinsatz benötigt und sich auch auf den normalen Geschäftsablauf störend auswirken kann, sollten Übungen auf die wichtigsten Bereiche beschränkt werden. Weitere Anregungen finden sich in Maßnahme M 6.68 Effizienzprüfung des Managementsystems zur Behandlung von Sicherheitsvorfällen .

Die einzelnen Prozesse, Vorgaben und Abläufe sollten sinnvollerweise in einem Dokument zur Vorgehensweise bei der Behandlung von Sicherheitsvorfällen beschrieben werden. Dieses Dokument ist in regelmäßigen Abständen zu aktualisieren und in geeigneter Weise den Betroffenen bekannt zu geben.

Prüffragen:

  • Gibt es klar definierte Abläufe und Regeln für die verschiedenen Arten von Sicherheitsvorfällen?

  • Ist die Vorgehensweise zur Behandlung von Sicherheitsvorfällen dokumentiert?

Stand: 13. EL Stand 2013