Bundesamt für Sicherheit in der Informationstechnik

M 6.66 Nachbereitung von Sicherheitsvorfällen

Verantwortlich für Initiierung: Behörden-/Unternehmensleitung, IT-Sicherheitsbeauftragter

Verantwortlich für Umsetzung: IT-Sicherheitsbeauftragter, Revisor

Aus jedem Sicherheitsvorfall kann man etwas lernen. Um aus einem eingetretenen Sicherheitsvorfall den maximalen Lerneffekt ziehen zu können, darf die Nachbereitung nicht vernachlässigt werden. Oftmals lassen sich daraus Verbesserungen im Umgang mit Sicherheitsvorfällen herausarbeiten oder Rückschlüsse auf die Wirksamkeit des Sicherheitsmanagements bzw. der vorhandenen Sicherheitsmaßnahmen ziehen. Dabei sind unter anderem folgende Aspekte zu beachten:

Reaktionszeit

Untersucht werden sollte, wie schnell der Sicherheitsvorfall bemerkt wurde und welche Informationen für die Bewertung zur Verfügung standen. Dabei ist zu prüfen, ob es sinnvoll ist, technische Detektionsmaßnahmen nachzurüsten.

Darüber hinaus sollte auch der Frage nachgegangen werden, wie lange es dauerte, bis die Meldung den erforderlichen Meldeweg durchlaufen hat. Schließlich sollte der Aspekt betrachtet werden, wie schnell die Entscheidungen über die zu treffenden Maßnahmen erfolgten, wie lange deren Umsetzung dauerte und wann die Benachrichtigung der betroffenen internen und externen Stellen erfolgte.

Bei der Rückverfolgung des Meldewegs sollte überprüft werden, ob der Meldeweg jedem bekannt war oder ob zusätzliche Sensibilisierungsmaßnahmen und Informationen notwendig sind.

Wirksamkeit der Eskalationsstrategie

Anhand des konkreten Sicherheitsvorfalls sollte untersucht werden, ob die festgelegte Eskalationsstrategie eingehalten wurde, welche zusätzlichen Informationen notwendig sind und ob eine Anpassung der Eskalationsstrategie notwendig ist.

Effektivität der Untersuchung

In einer Rückschau sollte betrachtet werden, ob die Einschätzung der Schadenshöhe des Sicherheitsvorfalls korrekt war, ob die berücksichtigten Prioritäten angemessen waren und ob ein für die Untersuchung geeignetes Sicherheitsvorfall-Team eingesetzt wurde.

Benachrichtigung betroffener Stellen

Überprüft werden sollte, ob tatsächlich sämtliche betroffenen Stellen benachrichtigt wurden und ob die Benachrichtigung zeitlich ausreichend schnell war. Unter Umständen müssen schnellere Wege der Benachrichtigung gefunden werden.

Rückmeldung an meldende Stelle

Diejenigen Stellen, die einen Sicherheitsvorfall entdeckt haben und diesen an die zuständigen Experten weitergemeldet haben, sollten darüber informiert werden, wann der Sicherheitsvorfall erfolgreich behoben wurde, welche Schäden entstanden sind und welche Maßnahmen ergriffen wurden. Dies zeigt, dass solche Meldungen ernst genommen werden und fördert die Motivation. Zusätzlich könnte auch eine Belobigung oder Belohnung für die korrekte Weitermeldung ausgesprochen werden, um für das Betriebsklima ein Signal zu setzen, wie wichtig das Meldewesen für Sicherheitsvorfälle ist.

Tätermotivation

Stellt sich heraus, dass der Sicherheitsvorfall auf eine vorsätzliche Handlung zurückzuführen ist, sollte die Motivation des Täters untersucht werden. Handelt es sich dabei um einen Innentäter, kommt der Motivation eine besondere Bedeutung zu. Stellt sich heraus, dass die Ursache im Bereich des Betriebsklimas zu sehen ist, sollte dies auch der Leitungsebene bekanntgegeben werden, da zu erwarten ist, dass Fehlhandlungen und vorsätzliche Handlungen wiederholt auftreten werden.

Bericht

Die Leitungsebene der Institution sollte mindestens einmal jährlich einen aufbereiteten Bericht über Anzahl, Ursachen und Auswirkungen der Sicherheitsvorfälle erhalten. Je nach Relevanz der Nachbereitungsergebnisse sollte die Leitungsebene sofort unterrichtet werden, um Verbesserungen oder Aktionen zu veranlassen. Daher kann es sinnvoll sein, diese Nachbereitung durch eine Organisationseinheit durchzuführen, die nicht Teil des Meldeplans ist.

Entwicklung einer Handlungsanweisung

Im Rahmen der Nachbereitung eines Sicherheitsvorfalls ist es sinnvoll, aus den Erfahrungen heraus eine Handlungsanweisung zu erstellen bzw. zu überarbeiten, wie bei Auftreten eines vergleichbaren Sicherheitsvorfalls zu verfahren ist. Da jetzt die Probleme real bearbeitet wurden, können Handlungsanweisungen noch effizienter ausgearbeitet werden als bei der Erstellung auf einer theoretischen Basis. Darüber hinaus beweist der aufgetretene Sicherheitsvorfall, dass ein Bedarf für eine Handlungsanweisung konkret für diese Art von Sicherheitsvorfall gegeben ist. Eine derart erstellte Handlungsanweisung ist den relevanten Personengruppen in geeigneter Weise bekannt zu geben. Unter Umständen kann es sinnvoll sein, dann auch die Notfalldokumentation zu aktualisieren.

Prüffragen:

  • Wurde eine standardisierte Nachbereitung der letzten Sicherheitsvorfälle durchgeführt?

  • Wurde untersucht, wie schnell Sicherheitsvorfälle bemerkt und behoben wurden? Wurde untersucht, ob die Meldewege funktionierten, ausreichend Informationen für die Bewertung zur Verfügung standen und die Detektionsmaßnahmen wirksam waren? Waren die ergriffenen Maßnahmen und Aktivitäten wirksam und effizient?

  • Wurden die Erfahrungen aus vergangenen Sicherheitsvorfällen genutzt, um daraus Handlungsanweisungen für vergleichbare Sicherheitsvorfälle zu erstellen?

  • Werden die Handlungsanweisungen den relevanten Personengruppen bekanntgegeben?

  • Werden die Handlungsanweisungen auf Basis neuer Erkenntnisse regelmäßig aktualisiert?

  • Findet eine jährliche Unterrichtung der Leitungsebene über die Sicherheitsvorfälle statt?

Stand: 13. EL Stand 2013

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK