Bundesamt für Sicherheit in der Informationstechnik

M 6.67 Einsatz von Detektionsmaßnahmen für Sicherheitsvorfälle

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter

Verantwortlich für Umsetzung: IT-Sicherheitsbeauftragter

Neben der Prävention kommt auch der Detektion von Sicherheitsvorfällen große Bedeutung zu. Es gibt eine Reihe von sicherheitsrelevanten Unregelmäßigkeiten, die mit entsprechender technischer Unterstützung automatisiert und daher frühzeitig erkannt werden können. Diese Detektionsmaßnahmen erhöhen meist die Zuverlässigkeit der Feststellung und verkürzen die Zeit zwischen Auftreten und Erkennen einer Unregelmäßigkeit drastisch. Dem Gewinn an Reaktionsfähigkeit und -zeit steht jedoch der Aufwand zur Implementation und Kontrolle gegenüber, der vorher abgeschätzt werden sollte. Praktisch unverzichtbar sind solche Detektionsmaßnahmen, wenn im Schadensfall sehr große Schäden bis hin zu Personenschäden zu erwarten sind.

Beispiele für solche technischen Detektionsmaßnahmen sind:

Nicht alle Sicherheitsvorfälle lassen sich durch rein technische Maßnahmen rechtzeitig feststellen. Häufig müssen zusätzlich organisatorische Maßnahmen hinzukommen. Die Zuverlässigkeit von technischen Detektionsmaßnahmen ist im Allgemeinen davon abhängig, wie aktuell diese sind und wie gut diese auf die tatsächlichen Gegebenheiten angepasst sind. Die Zuverlässigkeit von organisatorischen Detektionsmaßnahmen hängt stark davon ab, wie zuverlässig die mit deren Umsetzung beauftragten Personen sind, aber auch, in wie weit die Maßnahmen sich im laufenden Betrieb tatsächlich umsetzen lassen. Alle Detektionsmaßnahmen müssen regelmäßig auf ihre Eignung geprüft werden.

Typische Beispiele von Detektionsmaßnahmen, die ganz oder teilweise organisatorischer Natur sind, sind:

Es sollte eine Übersicht über die eingesetzten Detektionsmaßnahmen geben.

Die erkannten Sicherheitsvorfälle sollten direkt als Störung registriert werden, damit sie vom ersten Auftreten bis zur Lösung nachvollziehbar dokumentiert werden können. Daher ist zu regeln, in welchen Systemen diese erfasst werden. Außerdem muss dem Service Desk bekannt sein, welche Informationen bei der Erstmeldung eines Sicherheitsvorfalls zu registrieren sind (sofern bereits bei der Meldung erkennbar ist, dass es sich um einen Sicherheitsvorfall handelt).

Prüffragen:

  • Gibt es eine Übersicht über die eingesetzten Detektionsmaßnahmen?

  • Werden die eingesetzten Detektionsmaßnahmen regelmäßig auf Eignung geprüft?

  • Ist sichergestellt, dass Auffälligkeiten in Protokoll-Dateien erkannt und gemeldet werden?

  • Ist im Incident Management (Störungs- und Fehlerbehebung) bekannt, welche Informationen bei der Erstmeldung eines Sicherheitsvorfalls zu registrieren sind?

  • Ist sichergestellt, dass die erkannten Sicherheitsvorfälle als Störung registriert werden und ist geregelt, in welchen Systemen diese erfasst werden?

Stand: 13. EL Stand 2013