Bundesamt für Sicherheit in der Informationstechnik

M 6.61 Eskalationsstrategie für Sicherheitsvorfälle

Verantwortlich für Initiierung: Behörden-/Unternehmensleitung, IT-Sicherheitsbeauftragter

Verantwortlich für Umsetzung: IT-Sicherheitsbeauftragter, Leiter IT

Nachdem die Verantwortlichkeiten für Sicherheitsvorfälle geregelt (siehe M 6.59 Festlegung von Verantwortlichkeiten bei Sicherheitsvorfällen ) und die Verhaltensregeln und Meldewege allen Betroffenen bekanntgegeben worden sind (siehe M 6.60 Festlegung von Meldewegen für Sicherheitsvorfälle ), ist als Nächstes zu regeln, wie mit eingegangenen Meldungen weiter verfahren wird. Dafür ist eine Eskalationsstrategie zu formulieren. Die Eskalationsstrategie sollte zwischen den Verantwortlichen für Störungs- und Fehlerbehebung (Incident Management) und dem Informationssicherheitsmanagement abgestimmt werden. Dies ist nötig, um eventuell bereits vorhandene Methoden und Verfahren effektiv und effizient mitnutzen zu können (siehe M 6.124 Festlegung der Schnittstellen der Sicherheitsvorfallbehandlung zur Störungs- und Fehlerbehebung ).

Derjenige, der eine Meldung über einen Sicherheitsvorfall erhalten hat, muss diesen zunächst untersuchen und bewerten (siehe auch M 6.63 Untersuchung und Bewertung eines Sicherheitsvorfalls ). Falls es sich tatsächlich um einen Sicherheitsvorfall handelt, müssen weitere Maßnahmen ergriffen werden. Dabei stellen sich folgende Fragen:

  • Wer ist im Fall einer Eskalation, also der Ausweitung der Aktionskette, zu unterrichten?
  • In welchen Fällen ist eine sofortige Eskalation vorzunehmen?
  • Unter welchen Umständen ist ansonsten eine Eskalation durchzuführen?
  • Wann wird diese Eskalation vorgenommen (sofort, am nächsten Tag, am nächsten Werktag)?
  • Über welche Medien wird die Meldung weitergegeben?

Die Antworten zu diesen Fragen sind in einer Eskalationsstrategie festzuhalten und bekannt zu geben.

Damit die Sicherheitsstörungen ohne Zeitverlust nach der Erkennung und Registrierung von den Verantwortlichen bearbeitet werden können, sind im Vorfeld Eskalationsstrategien, -ansprechpartner und -wege zu definieren. Hierbei ist eine Synchronisierung mit den Eskalationsverfahren der Verantwortlichen für Störungs- und Fehlerbehebung (Incident Management), sowie dem Notfallmanagement zu empfehlen (siehe auch M 6.124 Festlegung der Schnittstellen der Sicherheitsvorfallbehandlung zur Störungs- und Fehlerbehebung ).

Es kann zwischen zwei grundsätzlichen Eskalationstypen unterschieden werden, der fachlichen und der hierarchischen Eskalation.

Die fachliche Eskalation bei der Störungs- und Fehlerbehebung (Incident Management) wird eingeleitet, wenn für die Erstlösung im First Level Support keine zutreffende Lösung, z. B. in Form einer Checkliste (Matching Szenario), vorliegt oder das Matching Szenario im Eskalationsweg beispielsweise die Einbeziehung weiterer notwendiger Kompetenzträger vorsieht. Das Sicherheitsmanagement sollte regelmäßig nach den gleichen Bedingungen einbezogen werden. Hierbei sollte insbesondere bei vermuteten Sicherheitsvorfällen, für die im First Level Support kein Matching Szenario vorliegt, sofort in Richtung Sicherheitsmanagement eskaliert werden. Dem First Level Support sollte daher die aktuelle Eskalationsstrategie vorliegen.

Die hierarchische Eskalation sollte eingeleitet werden, wenn

  • neben den oben genannten Voraussetzungen absehbar ist, dass vereinbarte Wiederherstellungszeiten nicht eingehalten werden können oder aber
  • im Verlauf der Bearbeitung Entscheidungen getroffen werden müssen, die nicht in der Kompetenz der Bearbeiter liegen, z. B. weil
    • sicherheitskritische Geschäftsprozesse betroffen sind,
    • existenzbedrohende Schäden vermutet werden,
    • kriminelle Handlungen vermutet werden,
    • folgenreiche Flächenstörungen oder Notfälle abzusehen sind, etc.

Es ist erforderlich, dass für die Planung der Eskalationsstrategie ebenfalls die erwarteten Reaktionen und Aktivitäten der Eskalationsinstanz klar definiert werden und die Eskalation nicht nur einen informativen Charakter erhält. Alle durchgeführten Eskalationen sind nachvollziehbar zu dokumentieren.

Die Eskalationsstrategie kann in drei Schritten erstellt werden:

Schritt 1: Festlegung der Eskalationswege

Wer für die Behandlung von Sicherheitsvorfällen verantwortlich ist, wurde in Maßnahme M 6.59 Festlegung von Verantwortlichkeiten bei Sicherheitsvorfällen festgelegt. In der Festlegung des Eskalationsweges ist zu definieren, wer an wen eine Meldung weitergibt. Dies lässt sich in einfacher Weise durch einen gerichteten Graphen veranschaulichen. Dabei sollten sowohl die regulären Eskalationswege als auch der Vertretungsfall berücksichtigt werden.

Beispiel:

Schritt 2: Entscheidungshilfe für Eskalation

In diesem Schritt ist zunächst festzulegen, in welchen Fällen eine sofortige Eskalation ohne weitere Untersuchungen und Bewertungen durchgeführt werden sollte. Ein Beispiel für eine tabellarische Aufstellung ist:

Ereignis sofortige Unterrichtung von
Infektion mit einem Computer-Virus IT-Sicherheitsbeauftragter, Administrator
Brand Pförtner, Brandschutzbeauftragter, Feuerwehr
Vorsätzliche Handlungen und vermutete kriminelle Handlungen IT-Sicherheitsbeauftragter
Verdacht auf Werksspionage IT-Sicherheitsbeauftragter, Vorstand
Notwendigkeit, Polizei und Strafverfolgungsbehörden einzuschalten Vorstand
Existenzbedrohende Schäden Vorstand, Notfallbeauftragter und Leiter des Krisenstab

Tabelle: Wann muss wer informiert werden

Anschließend ist für die restlichen Fälle vorzugeben, wann eine Eskalation stattzufinden hat. Gründe dafür können sein:

  • Die zu erwartende Schadenshöhe übertrifft den Verantwortungsbereich der Stelle, die die Meldung entgegengenommen hat.
  • Die Kosten und Ressourcen für die Schadensregulierung übertreffen deren Kompetenzbereich.
  • Die Komplexität des Sicherheitsvorfalls übersteigt deren Kompetenz- bzw. Zuständigkeitsbereich.

Schritt 3: Art und Weise der Eskalation

Hierbei ist festzulegen, auf welche Weise die jeweils nächste Stelle in der Eskalationskette unterrichtet werden soll. Möglichkeiten dazu sind:

  • persönliche Vorsprache
  • schriftlicher Bericht
  • E-Mail
  • Trouble Ticket System
  • Telefon, Handy
  • Bote mit verschlossenem Umschlag

Werden für die Eskalation Werkzeuge wie z. B. Ticket-Systeme verwendet, müssen diese darauf geprüft werden, dass sie auch während eines Sicherheitsvorfalls oder Notfalls zur Verfügung stehen und damit auch vertrauliche Informationen verarbeitet werden können.

Ebenso ist festzulegen, wann diese Meldung weitergegeben wird. Beispiele sind:

  • bei Ereignissen, die Sofortmaßnahmen erfordern, z. B. einer telefonischen Bombendrohung: unverzüglich.
  • bei Ereignissen, die eine zügige Bearbeitung erfordern, z. B. Anzeichen auf eine Infektion mit einem Computer-Virus im LAN: sofort innerhalb einer Stunde.
  • bei Ereignissen, die zwar beherrscht werden, aber einer Unterrichtung der nächsten Eskalationsstufe erfordern, z. B. Angriffe mit Schadsoftware, die aber bekannt sind und erfolgreich am Sicherheitsgateway blockiert werden: am nächsten Werktag.

Bei der Festlegung der Kriterien für die Weitergabe der Meldungen können unter anderem die Definitionen der fachlichen und hierarchischen Eskalation (siehe oben) einen Beitrag liefern.

Diese Eskalationsstrategie sollten alle möglichen Empfänger von Meldungen über Sicherheitsvorfälle erhalten, um zügige Reaktionen zu ermöglichen. Die Eskalationsstrategie und die Meldewege müssen in Übungen erprobt werden. Dadurch bekommen die Beteiligten auch die notwendige Routine, die hilft, den Stress in Krisensituationen zu verringern. Da sich Meldewege und Einschätzungen von Ereignissen immer wieder ändern können, muss die Eskalationsstrategie regelmäßig überprüft und aktualisiert werden, mindestens einmal jährlich.

Zur Eindämmung eines Sicherheitsvorfalls ist im Allgemeinen kurzfristiges Handeln erforderlich. Eventuell müssen Mitarbeiter aus anderen Projekten abgerufen oder auch außerhalb der Arbeitszeit herangezogen werden. Daher muss auch geregelt sein, wie mit der anfallenden Mehrarbeit umzugehen und wie eine Rufbereitschaft geregelt ist (siehe auch M 6.59 Festlegung von Verantwortlichkeiten bei Sicherheitsvorfällen ).

Prüffragen:

  • Ist eine aktuelle Eskalationsstrategie vorhanden?

  • Wird die Eskalationsstrategie regelmäßig überprüft und gegebenenfalls aktualisiert?

  • Wurden die Eskalationswege in Übungen erprobt?

  • Enthält die Eskalationsstrategie eindeutige Handlungsanweisungen, wer, auf welchem Wege bei welcher Art von erkennbaren oder vermuteten Sicherheitsstörungen in welchem Zeitraum zu involvieren ist?

  • Ist auch geregelt, zu welchen Maßnahmen diese Eskalation führt und welche Aktivitäten ausgelöst werden sollen?

  • Werden die Checklisten (Matching Szenarios) des Incident Management regelmäßig um sicherheitsrelevante Themen ergänzt bzw. aktualisiert?

  • Sind die für die Eskalationsverfahren verwendeten Werkzeuge auch für vertrauliche Informationen geeignet?

  • Stehen die für die Eskalation verwendeten Werkzeuge auch während eines Sicherheitsvorfalls beziehungsweise -notfalls zur Verfügung?

Stand: 13. EL Stand 2013

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK