Bundesamt für Sicherheit in der Informationstechnik

M 6.60 Festlegung von Meldewegen für Sicherheitsvorfälle

Verantwortlich für Initiierung: Behörden-/Unternehmensleitung, IT-Sicherheitsbeauftragter

Verantwortlich für Umsetzung: IT-Sicherheitsbeauftragter

Neben der Festlegung der Rollen, Verantwortlichkeiten und Verhaltensregeln bei Sicherheitsvorfällen sind auch entsprechende Meldewege zu definieren. Hier bietet sich folgendes Muster an:

  • Bei Gefährdungen höherer Gewalt wie Feuer, Wasser, Stromausfall, Einbruch und Diebstahl sind die örtlich verfügbaren Einsatzkräfte sowie die technische Einsatzleitung zu unterrichten (Feuerwehr, Haustechnik, Pforte, Wachdienst, ...).
  • Bei hardware-technischen Problemen oder bei Unregelmäßigkeiten bei Betrieb der IT-Systeme ist der zuständige Administrator bzw. der Benutzer-Support zu benachrichtigen.
  • Bei großflächigen Ausfällen oder sonstigen im Notfallhandbuch aufgeführten Szenarien ist der Notfallbeauftragte und Leiter des Krisenstabs zu informieren.
  • Bei vermuteten vorsätzlichen Handlungen und bei ansonsten nicht zuzuordnenden Ereignissen (z. B. Datenmanipulationen, unerlaubter Ausübung von Rechten, Spionage- und Sabotageverdacht) ist der IT-Sicherheitsbeauftragte bzw. das Sicherheitsmanagement zu benachrichtigen.
  • Existiert eine zentrale Anlaufstelle für die Meldung von Störungen oder Sicherheitsvorfällen (siehe M 6.125 Einrichtung einer zentralen Kontaktstelle für die Meldung von Sicherheitsvorfällen ) sollte diese Stelle in den Meldeweg aufgenommen werden, damit dort der Sicherheitsvorfall dokumentiert werden kann und bei Bedarf weitere Meldungen korreliert werden können.

Wichtig ist hier insbesondere, dass allen Mitarbeitern die Ansprechpartner und die Meldewege für alle Arten von Sicherheitsvorfällen bekannt sind. Hierzu könnte z. B. im internen Telefonverzeichnis oder im Intranet eine Liste mit Namen, Telefonnummern und E-Mailadressen der jeweiligen Ansprechpartner enthalten sein. Es darf jedoch weder schwierig noch zeitaufwendig sein, Verdachtsfälle weiterzumelden. Dafür müssen schnelle und sichere Kommunikationsverbindungen bereitstehen. Die Authentizität des Kommunikationspartners und die Vertraulichkeit der über den Verdachtsfall gemeldeten Informationen sind sicherzustellen.

Es sollten alle Mitarbeiter darüber informiert sein, dass Auskünfte über einen Sicherheitsvorfall gegenüber Dritten nur über das Sicherheitsmanagement erfolgen dürfen (siehe auch M 6.65 Benachrichtigung betroffener Stellen bei Sicherheitsvorfällen ).

Im Vorfeld sollten mit den Mitarbeitern der Presse- und Öffentlichkeitsarbeit Sprachregelungen vereinbart werden, die sicher stellen, dass keine Informationen unbefugt und keine falschen Informationen an die Öffentlichkeit gehen (siehe auch M 6.59 Festlegung von Verantwortlichkeiten bei Sicherheitsvorfällen ).

Durch Übungen sollte sporadisch überprüft werden, ob die Verhaltensregeln für Sicherheitsvorfälle angemessen und durchführbar sind und ob sie allen Mitarbeitern bekannt sind (siehe auch M 6.68 Effizienzprüfung des Managementsystems zur Behandlung von Sicherheitsvorfällen ).

Besonders bei Sicherheitsvorfällen zeigt es sich immer wieder, wie wichtig ein gutes Betriebsklima und eine gesunde Kommunikationskultur sind, damit Sicherheitsvorfälle auch umgehend weitergemeldet und offen angegangen werden (siehe auch M 3.8 Vermeidung von Störungen des Betriebsklimas

Prüffragen:

  • Sind effiziente Meldewege für Sicherheitsvorfälle aufgebaut worden?

  • Sind die Ansprechpartner und die Meldewege für alle Arten von Sicherheitsvorfällen allen Mitarbeitern bekannt?

  • Liegen alle Kontaktinformationen für die Meldewege in praktikabler Form vor?

  • Werden die Informationen über die Meldewege regelmäßig aktualisiert? Sind die vorliegenden Informationen aktuell?

Stand: 13. EL Stand 2013

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK