Bundesamt für Sicherheit in der Informationstechnik

M 6.59 Festlegung von Verantwortlichkeiten bei Sicherheitsvorfällen

Verantwortlich für Initiierung: Behörden-/Unternehmensleitung, IT-Sicherheitsbeauftragter

Verantwortlich für Umsetzung: IT-Sicherheitsbeauftragter

Um Sicherheitsvorfälle angemessen behandeln zu können, müssen geeignete Organisationsstrukturen vorhanden sein. Je nach Art der Institution, aber auch des Sicherheitsvorfalls müssen unter Umständen andere Personengruppen aktiv werden. Um die richtigen Akteure zu identifizieren, empfiehlt es sich, den zeitlichen Ablauf eines imaginären Sicherheitsvorfalls durchzugehen und zu überlegen, wer in den verschiedenen Phasen eines Sicherheitsvorfalls benötigt wird. Für die handelnden Personengruppen ist festzulegen, welche Aufgaben und Kompetenzen diese haben und auf welche Art sie verpflichtet bzw. unterrichtet werden. Beispielhaft soll dies für einige der typischerweise betroffenen Gruppen beschrieben werden.

IT-Benutzer

Aufgabe:

Sobald IT-Benutzer eine sicherheitsrelevante Unregelmäßigkeit bemerken, müssen sie die entsprechenden Verhaltensregeln einhalten und den Sachverhalt melden.

Kompetenz:

IT-Benutzer müssen entscheiden, welcher Meldeweg in dem vorliegenden Fall einzuschlagen ist (siehe M 6.60 Festlegung von Meldewegen für Sicherheitsvorfälle ).

Verpflichtung / Unterrichtung:

In der Sicherheitsleitlinie des Hauses sollte geregelt sein, dass jeder IT-Benutzer verpflichtet ist, sicherheitsrelevante Unregelmäßigkeiten zu melden. Darüber hinaus sollten alle Benutzer klare und verständliche Handlungsanweisungen schriftlich ausgehändigt bekommen, wie sie sich zu verhalten haben und an wen welche Vorfälle zu melden sind. Diese Handlungsweisungen sollten in der Richtlinie zur Behandlung von Sicherheitsvorfällen definiert sein.

Administratoren

Aufgabe:

Die Administratoren erhalten in diesem Zusammenhang die Aufgabe, Meldungen über sicherheitsrelevante Unregelmäßigkeiten, die mit den von ihnen betreuten IT-Systemen verbunden sind, entgegenzunehmen. Anschließend haben sie sich zu entscheiden, ob sie diese Unregelmäßigkeit selbst beheben oder ob sie die nächst höhere Eskalationsebene zu unterrichten haben.

Kompetenz:

Administratoren müssen entscheiden können, ob es sich möglicherweise um ein Sicherheitsproblem handelt, dass sie eigenverantwortlich beheben können, ob sie sofort andere Personen hinzuziehen (entsprechend dem Eskalationsplan) und wen sie informieren.

Verpflichtung / Unterrichtung:

Dies sollte in der Stellenbeschreibung sowie der Richtlinie zur Behandlung von Sicherheitsvorfällen festgelegt werden.

Service Desk

Aufgabe:

Die zentrale Anlaufstelle des IT-Betriebs (Service Desk) nimmt Störungsmeldungen entgegen. Diese Meldungen werden im Rahmen der Störungsqualifizierung auf das Vorliegen eines Sicherheitsvorfalls geprüft. Abhängig davon werden dann die Mitglieder des Sicherheitsmanagements informiert. In den meisten Fällen, gerade bei größeren Institutionen, wenden sich die Benutzer direkt an den Service Desk und nicht direkt an Administratoren.

Kompetenz:

Der Service Desk muss entscheiden können, wann das Sicherheitsmanagement-Team zu kontaktieren und über den Verdacht eines Sicherheitsvorfalls zu informieren ist. Dazu sollte der Zugriff auf dokumentierte Auslöser und Anzeichen vergangener Sicherheitsvorfälle möglich sein.

Verpflichtung / Unterrichtung:

Die Mitarbeiter des Service Desk müssen auch hinsichtlich der Informationssicherheit und Anzeichen möglicher Sicherheitsvorfälle sensibilisiert sein.

Change Management Team

Aufgabe:

Das Change Management Team nimmt IT-Änderungsanträge (IT Change Requests) entgegen. Bei Sicherheitsvorfällen beinhalten diese die notwendigen Maßnahmen zur Schließung der Sicherheitslücken, die durch das Expertenteam für die Sicherheitsvorfallbehandlung umzusetzen sind.

Kompetenz:

Das Change Management Team stellt sicher, dass die notwendigen Maßnahmen schnell, effizient und ohne Auswirkungen auf die Qualität der IT-Services umgesetzt werden.

Verpflichtung / Unterrichtung:

In der Richtlinie zur Behandlung von Sicherheitsvorfällen sollte festgelegt werden, dass Änderungsanträge zur Behebung von Sicherheitsvorfällen als dringliche Änderungen (Emergency Changes) zu behandeln sind und dementsprechend priorisiert im Change Management Prozess behandelt werden müssen.

IT-Sicherheitsbeauftragter / Sicherheitsmanagement

Aufgabe:

Der IT-Sicherheitsbeauftragte nimmt Meldungen über Sicherheitsvorfälle entgegen. Er führt die Untersuchung und Bewertung des Vorfalls durch. Er wählt notwendige Maßnahmen aus und veranlasst deren Umsetzung über das Change Management Team, soweit dies seinen Kompetenzbereich nicht überschreitet. Bei Bedarf ruft er ein Sicherheitsvorfall-Team zusammen bzw. unterrichtet zur Eskalation die Leitungsebene.

Kompetenz:

Er ist befugt, ein aktuelles Ereignis zum Sicherheitsvorfall auszurufen, die Bewertung eines Sicherheitsvorfalls durchzuführen und einen Vorfall weiter zu eskalieren. Darüber hinaus sind ihm finanzielle und personelle Ressourcen bzw. Sonderbeschaffungsrechte zugebilligt, die er zur Behebung von Sicherheitsvorfällen selbständig einsetzen darf. Dies könnten z. B. abhängig von der Größe des Unternehmens oder der Behörde 100.000 Euro und 2 Personenmonate sein.

Verpflichtung / Unterrichtung:

Das Sicherheitsmanagement erarbeitet die Vorgehensweise und die Richtlinie zur Behandlung von Sicherheitsvorfällen. Daher sollten alle IT-Sicherheitsbeauftragten über ihre Aufgaben und Kompetenzen bei der Behandlung von Sicherheitsvorfällen informiert sein.

Revision

Aufgabe:

Der Revision kann die Aufgabe übertragen werden, in regelmäßigen Abständen die Wirksamkeit des Managementsystems für Sicherheitsvorfälle zu prüfen. Darüber hinaus kann sie beauftragt werden, bei der Nachbereitung von Sicherheitsvorfällen mitzuwirken.

Kompetenz:

In Absprache mit der Leitungsebene können Prüfungen initiiert und durchgeführt werden.

Verpflichtung / Unterrichtung:

Dies sollte in der Stellenbeschreibung und in der Richtlinie zur Behandlung von Sicherheitsvorfällen festgelegt werden.

Öffentlichkeitsarbeit / Pressestelle

Aufgabe:

Die Information der Öffentlichkeit sollte bei schwerwiegenden Sicherheitsvorfällen ausschließlich durch die Pressestelle erfolgen. Dabei sollte der Vorfall nicht beschönigt oder verharmlost, sondern sachlich dargestellt werden, um keinen Imageverlust bei gegenteiligen Informationen zu erleiden.

Kompetenz:

Die Pressestelle muss Informationen über den Sicherheitsvorfall zusammen mit den technischen Experten aufbereiten und mit der Leitungsebene vor der Weitergabe abstimmen.

Verpflichtung / Unterrichtung:

Dies sollte in der Stellenbeschreibung und in der Richtlinie zur Behandlung von Sicherheitsvorfällen festgelegt werden.

Behörden-/Unternehmensleitung

Aufgabe:

Sie wird bei schwerwiegenden Sicherheitsvorfällen unterrichtet und gegebenenfalls mit der Entscheidungsfindung konfrontiert.

Kompetenz:

Als die die Gesamtverantwortung tragende Stelle kann sie die Verantwortung an oben genannte Gruppen delegieren. Darüber hinaus kann sie Polizei und Strafverfolgungsbehörden einschalten, wenn der Verdacht auf kriminelle Handlungen besteht.

Verpflichtung / Unterrichtung:

Die Behörden- bzw. Unternehmensleitung muss der Konzeption zur Behandlung von Sicherheitsvorfällen und den darauf aufbauenden Eskalationsplänen zustimmen. Dabei wird die Leitungsebene auch über ihre Rolle bei der Behandlung von Sicherheitsvorfällen unterrichtet.

Expertenteam für Sicherheitsvorfallbehandlung

Aufgabe:

Neben diesen Gruppen kann es bei einem schwierigen oder bei schwerwiegenden Sicherheitsvorfällen nötig sein, dass ein Expertenteam zusammengerufen wird, um system- oder standortspezifische Erkennungs-, Sicherstellungs-, Analyse- und Reaktionshandlungen vorzunehmen (siehe auch M 6.123 Einrichtung eines Expertenteams für die Behandlung von Sicherheitsvorfällen ).

Kompetenz:

Die Mitglieder des Expertenteams haben Zugriff auf die verdächtigen Systeme und Zutritt zu den vom Sicherheitsvorfall betroffenen Standorten. Sie sollten befugt sein, die ihnen übertragenen Aufgaben eigenverantwortlich durchzuführen.

Verpflichtung / Unterrichtung:

Die Mitglieder des Expertenteams handeln strikt nach der Richtlinie für die Behandlung von Sicherheitsvorfällen und den Anweisungen des IT-Sicherheitsbeauftragten und des Sicherheitsvorfall-Teams. Sämtliche Kommunikation über den Sicherheitsvorfall zu externen und internen Stellen erfolgt über den IT-Sicherheitsbeauftragten oder eine von ihm definierte Person.

Sicherheitsvorfall-Team

In großen Institutionen kann es sinnvoll sein, dass neben dem IT-Sicherheitsbeauftragten ein Sicherheitsvorfall-Team benannt wird. Dieses Team hat (im Gegensatz zum Expertenteam für die technische Behandlung von Sicherheitsvorfällen) eine koordinierende Funktion und ermöglicht schnelle Entscheidungsfindungen. Auch dieses Team ist virtuell, muss aber zu schnellen strategischen Entscheidungen in der Lage sein. Daher sind die Mitglieder dieses Teams namentlich zu benennen und die Kontaktdaten müssen an geeigneten Stellen hinterlegt sein.

Auch wenn das Sicherheitsvorfall-Team nur für einen konkreten Sicherheitsvorfall zusammentritt, müssen bereits im Vorfeld dessen Mitglieder benannt und in ihre Aufgaben eingewiesen sein, damit die Reaktion auf den Sicherheitsvorfall schnellstmöglich erfolgen kann. Die Mitglieder des Sicherheitsvorfall-Teams sollten befugt sein, die ihnen übertragenen Aufgaben eigenverantwortlich durchzuführen. Die hierzu erforderlichen Regelungen sind schriftlich festzuhalten und von der Behörden- bzw. Unternehmensleitung zu autorisieren. Insbesondere ist festzulegen, wer die Leitung dieses Teams übernimmt.

Zu einem Sicherheitsvorfall-Team können (je nach Art des Sicherheitsvorfalls) beispielsweise gehören:

  • Behörden-/Unternehmensleitung,
  • Sicherheitsmanagement / IT-Sicherheitsbeauftragter,
  • Leiter IT,
  • Revision,
  • Pressestelle,
  • Datenschutzbeauftragter,
  • Justitiar und
  • Personalrat/Betriebsrat.

Falls es erforderlich ist, müssen weitere Bereiche hinzugezogen werden, wie z. B.

  • die betroffenen Fachabteilungen (Leiter, IT-Verfahrensverantwortlicher),
  • der jeweilige Kundenansprechpartner , wenn Dienstleistungen für interne oder externe Kunden erbracht werden,
  • Notfallbeauftragter, Notfallmanagement,
  • Administratoren,
  • die Bereiche Beschaffung, Haustechnik, Innerer Dienst, Organisation, Personal und
  • Brandschutzbeauftragter.

Für die verschiedenen Organisationsformen bei der Behandlung von Sicherheitsvorfällen muss geklärt sein, wer bei Vorfällen welche Maßnahmen koordiniert.

Es sollte im Vorfeld abgeklärt sein, wie mit der im Rahmen von Sicherheitsvorfällen anfallenden Mehrarbeit umzugehen ist, also ob die Arbeitszeitregelungen der Behörde bzw. des Unternehmens um Ausnahmeregelungen für Mehrarbeit, Wochenendarbeit, etc. bei Sicherheitsvorfällen erweitert werden muss. Darüber hinaus ist auch sicherzustellen, dass dieses Team bei Bedarf auch die Diensträume außerhalb der regulären Arbeitszeit nutzen kann.

Prüffragen:

  • Sind für alle Personengruppen ihre Aufgaben und Kompetenzen bei Sicherheitsvorfällen festgelegt worden? Sind sie über ihre Aufgaben und Kompetenzen unterrichtet worden?

  • Kennen die in die Behandlung von Sicherheitsvorfällen involvierten Mitarbeiter ihre jeweiligen Aufgaben?

  • Ist ein Sicherheitsvorfall-Team benannt worden?

  • Sind die betroffenen Mitglieder des Teams in ihre Aufgaben eingewiesen worden?

  • Wann wurde der Aufbau des Sicherheitsvorfall-Teams zuletzt aktualisiert?

Stand: 13. EL Stand 2013

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK