Bundesamt für Sicherheit in der Informationstechnik

M 6.65 Benachrichtigung betroffener Stellen bei Sicherheitsvorfällen

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter

Verantwortlich für Umsetzung: Administrator, IT-Sicherheitsbeauftragter, Leiter IT, Pressestelle

Wenn ein Sicherheitsvorfall eingetreten ist, müssen alle davon betroffenen internen und externen Stellen zeitnah darüber informiert werden. Dies sind insbesondere diejenigen Stellen, die direkt durch den Sicherheitsvorfall Schäden erleiden könnten, Gegenmaßnahmen ergreifen müssen oder solche, die Informationen über Sicherheitsvorfälle aufbereiten und bei der Vorbeugung oder Behebung helfen können. Bei Bedarf sollte auch die Öffentlichkeit aufgeklärt werden, insbesondere wenn schon Informationen durchgesickert sind.

Hierzu muss individuell für den Sicherheitsvorfall ein klares Konzept entwickelt werden, wer durch wen in welcher Reihenfolge in welcher Tiefe informiert wird. Dazu muss sichergestellt sein, dass Auskünfte über den Sicherheitsvorfall ausschließlich durch benannte Verantwortliche, wie zum Beispiel das Sicherheitsmanagement oder die Pressestelle, gegeben werden. Dabei sollte dokumentiert werden, wem wann welche Informationen übermittelt wurden. Dies ist zur Nachbereitung wichtig, kann aber auch rechtlich relevant sein.

Wer Informationen in welchem Detaillierungsgrad erhält, hängt natürlich insbesondere vom fachlichen Hintergrund ab. Es sollten keine falschen oder schöngefärbten Informationen weitergegeben werden, da dies zu Verwirrung, Fehleinschätzungen und Imageverlust führen kann.

Beispielhaft soll nachfolgend aufgezeigt werden, welche Stellen typischerweise über welche Inhalte aufgeklärt werden:

Interne Stellen

Besteht noch Unklarheit darüber, ob ein Sicherheitsvorfall vorliegt oder wie schwerwiegend er ist, sollten die potentiell betroffenen internen Kräfte gebeten werden, ihre Arbeitsbereiche auf Unregelmäßigkeiten zu prüfen.

Sind die erforderlichen Gegenmaßnahmen bei einem Sicherheitsvorfall bekannt, müssen die betroffenen internen Stellen kurzfristig darüber informiert werden, was sie tun müssen, um die Auswirkungen eines Sicherheitsvorfalls zu minimieren oder um den sicheren Zustand wiederherzustellen.

Zu berücksichtigen sind dabei unter anderem folgende Gruppen:

  • Leiter IT,
  • Leiter von betroffenen Fachabteilungen,
  • IT-Benutzer,
  • IT-Administratoren,
  • IT-Benutzerservice / Service Desk,
  • Change Management (für die Erfassung der Maßnahmendurchführung),
  • Haustechnik,
  • Überwachungspersonal,
  • interne Sicherheitskräfte und
  • Pförtner.

Externe Stellen

Falls der Sicherheitsvorfall nicht intern begrenzt ist, sollten alle externen Stellen, die ebenfalls betroffen sind oder sein können, darüber informiert werden, welches Sicherheitsproblem aufgetreten ist, welche Gegenmaßnahmen notwendig sind und wie die Auswirkungen eingedämmt werden können.

Sollte diese Informationsweitergabe nicht erfolgen, kann dies im Falle des Bekanntwerdens eine weitere konstruktive Zusammenarbeit nachhaltig schädigen und ein bestehendes Vertrauensverhältnis beeinträchtigen.

Zu berücksichtigen sind dabei folgende Gruppen:

  • Kunden,
  • Lieferanten,
  • freie Mitarbeiter,
  • Subunternehmen,
  • IT-Service-Dienstleister,
  • Stellen, zu denen Kommunikationsverbindungen existieren,
  • Software-Entwicklungsunternehmen und
  • Netzbetreiber.

Je nach Art des Vorfalls kann es außerdem notwendig sein, die Polizei bzw. einen Rechtsbeistand hinzuzuziehen.

Öffentlichkeit

Bei größeren oder komplexeren Sicherheitsvorfällen kann es notwendig sein, die Öffentlichkeit aufzuklären. Alle Pressekontakte sollten hierbei ausschließlich über den Pressesprecher laufen. Dazu ist sicherzustellen, dass der Pressesprecher über den Sicherheitsvorfall, über Schadenshöhe und erforderliche Gegenmaßnahmen und über benachrichtigte Stellen ausreichend vorab informiert wird.

Die Informationen für die Öffentlichkeit sollten jedoch so weit abstrahiert werden, dass keine Nachahmer animiert werden.

Bei allen Personen, die Informationen über Sicherheitsvorfälle einholen wollen, ist es wichtig, deren Identität zu überprüfen, damit sich der Angreifer nicht über den Erfolg seiner Attacke auf dem Laufenden halten kann.

Sicherheitsgemeinde

Ist der Sicherheitsvorfall auf eine noch nicht bekannte Sicherheitslücke zurückzuführen, sollte diese Erkenntnis nicht verheimlicht, sondern an weitere Stellen geleitet werden, damit vor der Sicherheitslücke gewarnt wird und Gegenmaßnahmen entwickelt werden können. Als Adressaten kommen dabei typischerweise folgende Stellen in Betracht:

  • Hersteller des Computer-Viren-Suchprogramms, wenn der Verdacht besteht, dass ein neuartiger Computer-Virus oder andere Schadsoftware IT-Systeme infiziert hat, aber der Viren-Scanner diese nicht erkennt,
  • Hersteller des Betriebssystems oder der Applikationssoftware, falls die Sicherheitslücke darin aufgetreten ist,
  • externes Computer Emergency Response Team ( CERT , siehe auch M 2.35 Informationsbeschaffung über Sicherheitslücken des Systems ), wenn der Sicherheitsvorfall auf system- oder applikationsspezifischen Sicherheitslücken beruht,
  • IT- bzw. Sicherheitsfachpresse oder
  • für Informationssicherheit zuständige öffentliche Stellen wie das BSI .

Beispiel:

Es wurde bemerkt, dass sporadisch Daten auf PCs manipuliert oder unauffindbar waren. Nach Meldung und anschließender Untersuchung stellte sich heraus, dass ein bislang unbekannter Computer-Virus aufgetreten ist. Dieser Virus verbreitet sich über an E-Mail angehängte Dateien. In diesem Fall sollten folgende Stellen umgehend benachrichtigt werden:

  • Leiter IT,
  • IT-Benutzer,
  • IT-Administratoren,
  • IT-Benutzerservice,
  • sämtliche Stellen, mit denen seit dem ersten Auftreten des Computer-Virus Daten ausgetauscht wurden,
  • Hersteller des Computer-Viren-Suchprogramms, da der Viren-Scanner diesen nicht erkannt hat und
  • ein Computer Emergency Response Team.

Prüffragen:

  • Ist gewährleistet, dass alle betroffenen internen und externen Stellen zeitnah darüber informiert werden, wenn ein Sicherheitsvorfall eingetreten ist? Ist gewährleistet, dass sie über die erforderlichen Maßnahmen informiert werden, um die Auswirkungen eines Sicherheitsvorfalls zu minimieren und um den sicheren Zustand wiederherzustellen?

  • Ist geklärt, wer Informationen über Sicherheitsvorfälle an Dritte weitergibt?

  • Ist sichergestellt, dass keine unautorisierte Person Informationen über den Sicherheitsvorfall weitergibt?

  • Liegt für die letzten Sicherheitsvorfälle die Beschreibung vor, wer durch wen in welcher Reihenfolge in welcher Tiefe informiert wurde?

Stand: 13. EL Stand 2013

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK