Bundesamt für Sicherheit in der Informationstechnik

M 6.62 Festlegung von Prioritäten für die Behandlung von Sicherheitsvorfällen

Verantwortlich für Initiierung: Behörden-/Unternehmensleitung, IT-Sicherheitsbeauftragter

Verantwortlich für Umsetzung: IT-Sicherheitsbeauftragter

Ein Sicherheitsvorfall entsteht erfahrungsgemäß durch eine Verkettung verschiedener Ursachen. Dabei sind typischerweise unterschiedliche Geschäftsprozesse, Anwendungen und IT-Systeme betroffen, wobei die resultierenden Schäden auch sehr verschiedenartig sein können. Daher ist es wichtig, die Prioritäten für die Problembeseitigung möglichst vorab festzulegen. Von dieser Prioritätensetzung hängt unter anderem ab, in welcher Reihenfolge die Probleme angegangen werden sollen.

Des Weiteren orientiert sich eine Prioritätensetzung stark an den Gegebenheiten der jeweiligen Institution. Für die Prioritätensetzung sind folgende Fragen zu bearbeiten:

  • Welche Schutzbedarfskategorien und Schadensszenarien sind für die Institution relevant?
  • Wie ist der Schutzbedarf der Geschäftsprozesse und Anwendungen? Wie ist daraus abgeleitet der Schutzbedarf der einzelnen IT-Systeme, Räume und Kommunikationsverbindungen?
  • In welcher Reihenfolge sollten Schäden der einzelnen Schutzbedarfskategorien und Schadensszenarien behoben werden?
  • Welche interne oder externe Rahmenbedingungen sind bei der Prioritätensetzung zu beachten?

Hilfestellung für die Bearbeitung der Fragen bietet eine nach IT-Grundschutz durchgeführte Schutzbedarfsfeststellung. In dieser Schutzbedarfsfeststellung werden die potentiellen Schäden definierten Schadensszenarien zugeordnet und die für die Institution relevanten Informationen und Geschäftsprozesse bezüglich ihres Schutzbedarfs kategorisiert (siehe die entsprechenden Kapitel der IT-Grundschutz-Vorgehensweise im BSI -Standard 100-2).

Beispiel: Relevante Schadensszenarien sind:

  • Verstoß gegen Gesetze, Vorschriften oder Verträge,
  • Beeinträchtigung des informationellen Selbstbestimmungsrechts,
  • Beeinträchtigung der persönlichen Unversehrtheit,
  • Beeinträchtigung der Aufgabenerfüllung,
  • Negative Außenwirkung und
  • Finanzielle Auswirkungen.

Ebenso wird im Rahmen der Schutzbedarfsfeststellung eine Definition der Schutzbedarfskategorien anhand von Schadenshöhen erarbeitet.

Beispiel: Schadensszenario "Finanzielle Auswirkungen"

Schadensszenario "Finanzielle Auswirkungen"  
Schutzbedarf normal Der finanzielle Schaden bleibt für die Institution tolerabel.
Schutzbedarf hoch Der Schaden bewirkt beachtliche finanzielle Verluste, ist jedoch nicht existenzbedrohend.
Schutzbedarf sehr hoch Der finanzielle Schaden ist für die Institution existenzbedrohend.

Tabelle: Finanzielle Auswirkungen von Schäden

Diese Definitionen müssen an die individuellen Gegebenheiten der Institution angepasst und konkretisiert werden: Bedeutet in einem Großunternehmen ein Schaden in Höhe von 200.000,- Euro gemessen am Umsatz und am IT-Budget noch einen geringen Schaden, so kann für ein Kleinunternehmen schon ein Schaden in Höhe von 10.000,- Euro existentiell bedrohlich sein. Daher ist es häufig sinnvoll, eine prozentuale Größe als Grenzwert zu definieren, der sich am Gesamtumsatz, am Gesamtgewinn oder an einer ähnlichen Bezugsgröße orientiert.

In einem Beispielunternehmen kann folgende konkrete Festlegung getroffen worden sein:

Schadensszenario "Finanzielle Auswirkungen"  
Schutzbedarf normal Schaden kleiner 25.000,- EUR
Schutzbedarf hoch Schaden zwischen 25.000,- und 5.000.000,- EUR
Schutzbedarf sehr hoch Schaden höher als 5.000.000,- EUR

Tabelle: Konkretisierung der finanziellen Auswirkungen von Schäden

Anhand dieser Kategorien und Szenarien kann die Prioritätensetzung für die wesentlichen Geschäftsprozesse und IT-Systeme durchgeführt werden, wie im folgenden beschrieben. In einer Tabelle werden in der ersten Spalte die Schadensszenarien aufgeführt. Die drei anschließenden Spalten erhalten als Überschrift die Schutzbedarfskategorien "normal", "hoch" und "sehr hoch". Anschließend wird jeder Kombination von Schadensszenario und Schutzbedarfshöhe eine Priorität zugeordnet. Die Prioritätensetzung kann einerseits durch eine Prioritätenklassifizierung mit Einteilungen wie

1 = besonders wichtig,
2 = wichtig,
3 = nachrangig

oder durch die Festlegung einer Reihenfolge stattfinden.

Beispiel:

Betrachtet wird als Institution eine Stadtverwaltung, die dem Bürger ihre Dienstleistungen auch über das Internet anbietet. Dazu kann der Bürger Anträge per E-Mail an die Stadtverwaltung senden und über das Internet die Bearbeitungsfortschritte seines Antrags beobachten. Als Informationsdienst bietet diese Stadtverwaltung einen Internet-Server an.

Schadensszenarien Schutzbedarf
normal
Schutzbedarf
hoch
Schutzbedarf
sehr hoch
Verstoß gegen Gesetze, Vorschriften oder Verträge 2 2 2
Beeinträchtigung des informationellen Selbstbestimmungsrechts 2 2 1
Beeinträchtigung der persönlichen Unversehrtheit 2 1 1
Beeinträchtigung der Aufgabenerfüllung 3 3 2
Negative Außenwirkung 3 2 1
Finanzielle Auswirkungen 3 3 2

Tabelle: Beispielergebnis mit Prioritätenklassifizierung

In der ersten Tabelle erfolgte die Prioritätenklassifizierung über die Einteilungen von 1 (besonders wichtig) bis 3 (nachrangig). In der zweiten Tabelle wurden die Prioritäten anhand ihrer Reihenfolge festgelegt, von der höchsten Stufe 1 sukzessive absteigend bis zur hier niedrigsten Stufe 18.

Schadensszenarien Schutzbedarf normal Schutzbedarf hoch Schutzbedarf sehr hoch
Verstoß gegen Gesetze, Vorschriften oder Verträge 13 12 11
Beeinträchtigung des informationellen Selbstbestimmungsrechts 8 6 3
Beeinträchtigung der persönlichen Unversehrtheit 5 2 1
Beeinträchtigung der Aufgabenerfüllung 15 14 7
Negative Außenwirkung 17 9 4
Finanzielle Auswirkungen 18 16 10

Tabelle: Beispielergebnis mit Prioritätensetzung durch Reihenfolge

Diese Prioritätensetzung muss durch die Behörden- bzw. Unternehmensleitung gebilligt und in Kraft gesetzt werden. Die Prioritätensetzung ist allen Entscheidungsträgern bei der Behandlung von Sicherheitsvorfällen bekannt zu geben.

Tritt ein Sicherheitsvorfall ein, so kann die Prioritätensetzung wie folgt verwendet werden. Nach der Untersuchung und Bewertung des Sicherheitsvorfalls kann eingeschätzt werden, welche Schäden zu erwarten wären. Diese Schäden können den bekannten Schadensszenarien zugeordnet werden. Anschließend sind diese Schäden für die betroffenen Geschäftsprozesse in die Klassen "normal", "hoch" und "sehr hoch" einzuteilen. Aus der tabellarischen Übersicht der Prioritätensetzung kann dann abgelesen werden, in welcher Reihenfolge die einzelnen Schäden an den betroffenen Geschäftsprozessen behoben werden sollten. Hierbei sollte allerdings beachtet werden, dass die vorab vorgenommene Prioritätensetzung nur eine erste Orientierung bietet. Gegebenenfalls muss sie im individuellen Fall angepasst werden.

Beispiel:

Angenommen wird, dass es in der obigen Beispiel-Stadtverwaltung einem Hacker gelungen ist, die Informationen auf dem Internet-Informationsserver zu manipulieren, so dass die Stadtverwaltung verunglimpft wird. Dies wird frühzeitig bemerkt, das Sicherheitsmanagement eingeschaltet und die obige Schadenseinschätzung durchgeführt. Diese hätte zum Ergebnis, dass folgende Schäden zu erwarten sind:

Schadensszenarien Schutzbedarf normal Schutzbedarf hoch Schutzbedarf sehr hoch
Verstoß gegen Gesetze, Vorschriften oder Verträge S1    
Beeinträchtigung des informationellen Selbstbestimmungsrechts      
Beeinträchtigung der persönlichen Unversehrtheit      
Beeinträchtigung der Aufgabenerfüllung S2    
Negative Außenwirkung     S3
Finanzielle Auswirkungen S4    

Tabelle: Schadenskategorisierung

Den Schäden S1, ..., S4 werden anhand der Prioritätensetzung folgende Prioritäten zugeordnet:

Prioritätenklassifizierung: S1 = 2, S2 = 3, S3 = 1, S4 = 3

Prioritätenreihenfolge: S1 = 13, S2 = 15, S3 = 4, S4 = 18

In beiden Fällen würde deutlich, dass die Anstrengungen der Schadensbegrenzung sich zunächst auf den Schaden S3 (negative Außenwirkung) konzentrieren müssten, bevor die anderen Schäden angegangen werden. Im Beispiel würde man, um die negative Außenwirkung zu begrenzen, den manipulierten Internet-Server vom Netz nehmen, um anschließend weitere Maßnahmen zu ergreifen. Hätte man die Schäden der negativen Außenwirkung niedriger priorisiert und hingegen die Beeinträchtigung der Aufgabenerfüllung in den Vordergrund gestellt, würde man gegebenenfalls von der Abschaltung des Internet-Servers als Sofortmaßnahme absehen.

Die Festlegung von Prioritäten kann ähnlich wie in diesem Beispiel oder mit anderen Methoden erfolgen. Wichtig ist, sich vor dem Eintritt eines Sicherheitsvorfalls für alle wesentlichen Geschäftsprozesse und IT-Systeme Gedanken über deren Priorisierung zu machen, um im Schadensfall zügig und effektiv handeln zu können.

Prüffragen:

  • Liegt eine Prioritätensetzung für die Behandlung von Sicherheitsvorfällen vor? Ist sie aktuell?

  • Ist die getroffene Prioritätensetzung mit der Behörden- bzw. Unternehmensleitung abgestimmt?

  • Ist die Prioritätensetzung allen Entscheidungsträgern des Managementsystems zur Behandlung von Sicherheitsvorfällen bekannt?

  • Sind die Prioritätenklassen im Incident Management (Störungs- und Fehlerbehebung) hinterlegt?

Stand: 13. EL Stand 2013