Bundesamt für Sicherheit in der Informationstechnik

M 6.68 Effizienzprüfung des Managementsystems zur Behandlung von Sicherheitsvorfällen

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter

Verantwortlich für Umsetzung: IT-Sicherheitsbeauftragter, Revisor

Das Managementsystem zur Behandlung von Sicherheitsvorfällen muss regelmäßig auf seine Aktualität und Wirksamkeit geprüft werden. Daneben sollten auch die darin formulierten Maßnahmen regelmäßig daraufhin getestet werden, ob sie

  • den betroffenen Mitarbeitern bekannt sind,
  • unter Stress umsetzbar sind, also auch bei einem Sicherheitsvorfall, der einen ungeordnet ablaufenden Betrieb zur Folge hat, und
  • in den Betriebsablauf integrierbar sind.

Um die Wirksamkeit zu testen, sollte durch simulierte Schadensereignisse überprüft werden, ob der festgelegte Handlungsablauf eingehalten wird bzw. überhaupt eingehalten werden kann. Ist er das nicht, müssen entsprechende Änderungen eingebracht werden.

Dazu könnten sowohl angekündigte als auch unangekündigte Übungen durchgeführt werden.

Bei allen unangekündigten Übungen dürfen auf keinen Fall irgendwelche Aktionen ausgelöst werden, die zu irgendeinem nicht oder nur schwer behebbaren Schaden an IT-Systemen, Daten oder sonstigem führen können. Ebenso sollten Geschäftsprozesse und der IT-Betrieb so wenig wie möglich beeinträchtigt werden.

Sehr genau sollte vor dem Beginn jeder Übung überlegt werden, wer alles vorab darüber informiert wird. Es ist immer unbedingt sicherzustellen, dass die Übung durch die Behörden- bzw. Unternehmensleitung autorisiert ist. Manchmal kann es nützlich sein, bestimmte Personengruppen nicht zu informieren, z. B. die Pförtner oder die Administratoren. Es sollte aber sichergestellt sein, dass dabei die Situation unter Kontrolle bleibt. Es sollte also vermieden werden, dass z. B. Polizei oder Feuerwehr alarmiert oder alle Netzverbindungen der Behörde bzw. des Unternehmens gekappt werden.

Beispiele:

  • Rufen Sie bei der Telefonzentrale ihres Unternehmens bzw. Behörde an und geben Sie sich als Computer-Experte aus, der eine Schwachstelle in Ihrem internen Netz entdeckt hat, über die Angreifer eindringen könnten. Wahlweise können Sie sich auch als Journalist ausgeben, der darüber informiert sein will, dass ein Hacker ins interne Netz eingebrochen ist und sensitive Daten kopiert hat. Es können auch solche Mitarbeiter angerufen werden, an die typischerweise in solchen Fällen verwiesen wird, also beispielsweise der Pressesprecher oder der Leiter IT. Bei einem solchen Anruf sollte sich zeigen, ob intern Panik ausbricht oder ob gezielt die Aktionen eingeleitet werden, die in einem solchen Fall adäquat wären.
  • An einem beliebigen Tag könnten alle bei einer Computer-Viren-Infektion durchzuführenden Handlungen und Meldewege getestet werden. Hierbei müssen nicht unbedingt alle Beteiligten vorher informiert werden, spätestens aber in dem Moment, wo sie in die Handlungskette integriert werden.

Ein weiterer Aspekt der Effizienzprüfung ist die Auswertung von Messgrößen, die beispielsweise während der Aufnahme, Meldung und Eskalation von Sicherheitsvorfällen anfallen können. So lassen sich zum Beispiel die Zeiträume von der Erstmeldung zur Eskalation und verbindlichen Bestätigung eines Sicherheitsvorfalls aufnehmen und nach einer Auswertung optimieren. Findet die Meldung eines Sicherheitsvorfalls am zentralen Service Desk statt, können die dort bereits vorhandenen Mechanismen zur Effizienzmessung herangezogen und im Nachhinein bewertet werden.

Prüffragen:

  • Wird das Managementsystem zur Behandlung von Sicherheitsvorfällen regelmäßig auf seine Aktualität und Wirksamkeit geprüft?

  • Werden dazu Übungen durchgeführt?

  • Werden die Übungen vorher mit der Leitungsebene abgestimmt?

  • Werden Messgrößen für die Behandlung von Sicherheitsvorfällen festgelegt?

Stand: 13. EL Stand 2013

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK