Bundesamt für Sicherheit in der Informationstechnik

M 6.64 Behebung von Sicherheitsvorfällen

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator, IT-Sicherheitsbeauftragter, Leiter IT

Im Rahmen des Incident Managements wird bei der Störungsbehebung kontrolliert, ob eine ähnliche Störung bereits aufgetreten und dafür eine geeignete Lösung vorhanden ist, beispielsweise indem die Fehlerursache behoben wird oder nur dessen Symptome beseitigt oder diese umgangen werden, also ein Workaround gefunden wird.

Da dieser Prozessschritt iterativen Charakter hat und die Störung unterschiedlichen Support-Ebenen entsprechend ihrem fachlichen Wissen zur Analyse und Diagnose zugewiesen werden kann, müssen die Rollen und Verantwortlichkeiten sowie der Informationsfluss bereits im Vorfeld mit dem Sicherheitsmanagement etabliert worden sein.

Es erfolgt also ein Review des Incidents gegen:

  • Erfasste Probleme
  • Bekannte Fehler (Known Errors)
  • Geplante bzw. durchgeführte Änderungen in IT-Komponenten

Wird ein Workaround gefunden, so müssen umgehend die erforderlichen Umsetzungsmaßnahmen eingeleitet werden. Die Bereitstellung eines Workarounds hat zum Ziel, die Benutzer in die Lage zu versetzen, den gestörten Service mindestens in eingeschränkter Form wieder zu nutzen (Wiederanlauf in den eingeschränkten Betrieb). Zusätzlich wird dadurch die Wirkung der Störung auf die Geschäftsprozesse minimiert und mehr Zeit zur Bereitstellung einer endgültigen Lösung gewonnen.

Sobald die Ursache eines Sicherheitsvorfalls identifiziert worden ist, sollten die erforderlichen Maßnahmen zu dessen Behebung ausgewählt und umgesetzt werden. Dazu muss zunächst das Problem eingegrenzt und beseitigt werden und anschließend der "normale" Zustand wiederhergestellt werden (siehe M 6.133 Wiederherstellung der Betriebsumgebung nach Sicherheitsvorfällen ).

Bereitstellung des notwendigen Expertenwissens

Die unabdingbare Voraussetzung für die Untersuchung und Beseitigung einer Sicherheitslücke ist das entsprechende Fachwissen. Daher muss das Personal entsprechend geschult sein oder es müssen Experten zu Rate gezogen werden. Dafür sollte eine Liste mit den Kontaktadressen von einschlägigen internen und externen Experten aus den verschiedenen Themenbereichen vorbereitet sein, damit diese schnell zu Rate gezogen werden können.

Zu den externen Experten gehören unter anderem

Für die Kommunikation mit externen Experten muss vorab ein sicheres Verfahren definiert und eingerichtet werden.

Reaktion auf vorsätzliche Handlungen

Bei Sicherheitsvorfällen, die durch einen Angreifer ausgelöst wurden, muss eine Entscheidung darüber getroffen werden, ob der entdeckte Angriff beobachtet oder möglichst schnell Gegenmaßnahmen durchgeführt werden sollen. Natürlich kann versucht werden, den Angreifer "auf frischer Tat" zu ertappen, aber dies birgt auch das Risiko, dass der Angreifer in der Zwischenzeit Daten zerstört, manipuliert oder ausliest.

Leider stellt sich bei der Untersuchung von Sicherheitsproblemen häufig heraus, dass diese von eigenen Mitarbeitern verursacht worden sind. Dies kann durch Versehen, fehlerhafte Arbeitsabläufe oder technische Probleme passieren, aber auch durch Nichtbeachtung von Sicherheitsmaßnahmen oder vorsätzliche Handlungen.

Es muss bei allen intern verursachten Sicherheitsproblemen der Auslöser untersucht werden. In vielen Fällen wird sich zeigen, dass die Probleme aus fehlerhaften oder missverständlichen Regelungen resultieren. Dann müssen die Regelungen entsprechend geändert oder um weitere, z. B. technische Maßnahmen, ergänzt werden.

Sind Sicherheitsprobleme vorsätzlich oder aus Nachlässigkeit verursacht worden, sollten angemessene angemessene Konsequenzen erfolgen.

Prüffragen:

  • Existiert eine aktuelle Liste von internen und externen Sicherheitsexperten, die für Fragen aus verschiedenen Themenbereichen hinzugezogen werden können?

  • Sind sichere Kommunikationsverfahren mit externen Stellen eingerichtet worden?

  • Wird bei allen intern verursachten Sicherheitsproblemen der Auslöser untersucht?

Stand: 13. EL Stand 2013