Bundesamt für Sicherheit in der Informationstechnik

M 6.118 Überprüfung und Aufrechterhaltung der Notfallmaßnahmen

Verantwortlich für Initiierung: Notfallbeauftragter

Verantwortlich für Umsetzung: Notfallbeauftragter

Im Notfallmanagement geht es nicht nur darum, das angestrebte Absicherungsniveau zu erreichen, sondern dieses auch dauerhaft zu gewährleisten und fortlaufend zu verbessern. Daher sollten alle Notfallmaßnahmen regelmäßig überprüft werden. Dabei ist zu unterscheiden zwischen der Prüfung, ob bestimmte Maßnahmen geeignet und effizient sind, um die gesteckten Ziele zu erreichen (Vollständigkeits- bzw. Aktualisierungsprüfung), und der Kontrolle, inwieweit die Notfallmaßnahmen in den einzelnen Bereichen umgesetzt wurden (Revision).

Regelmäßige und anlassbezogene Prüfungen

Die hierfür notwendigen Überprüfungen, auch Revisionen genannt, sollten zu festgelegten Zeitpunkten durchgeführt werden und können bei gegebenem Anlass auch zwischendurch erfolgen. Die vorhandenen Notfallmaßnahmen sollten mindestens einmal im Jahr überprüft werden. Insbesondere Erkenntnisse aus eingetretenen Notfällen oder Krisen erfordern eine Anpassung der bestehenden Maßnahmen und sollten daher eine Überprüfung initiieren. Aber auch bei Veränderungen im Umfeld sollten die vorhandenen Maßnahmen angepasst werden, beispielsweise wenn

  • neue Geschäftsprozesse, Anwendungen oder Komponenten aufgebaut wurden,
  • größere Änderungen der Infrastruktur vorgenommen wurden (z. B. Umzug),
  • größere organisatorischen Änderungen anstehen (z. B. Outsourcing),
  • die Gefährdungslage sich wesentlich geändert hat,
  • gravierende Schwachstellen oder Schadensfälle bekannt wurden.

Koordinierte Vorgehensweise

Es sollte in der Behörde bzw. im Unternehmen festgelegt werden, wie die Tätigkeiten im Zusammenhang mit diesen Überprüfungen zu koordinieren sind. Insbesondere sollte die im Bereich der IT und dem Sicherheitsmanagement durchgeführten Überprüfungen koordiniert werden. Dazu ist zu regeln, welche Maßnahmen wann und von wem zu überprüfen sind, auch damit Doppelarbeit vermieden wird und keine Bereiche innerhalb einer Institution ungeprüft verbleiben.

Gegenstand der Prüfungen

Es muss geprüft werden, ob Notfallmaßnahmen tatsächlich so umgesetzt sind und eingehalten werden, wie im Notfallkonzept vorgegeben. Hierbei ist zu untersuchen, ob technische Maßnahmen korrekt implementiert und konfiguriert wurden. Zeigt sich dabei, dass Notfallmaßnahmen nicht umgesetzt worden sind oder dass sie in der Praxis nicht greifen, sollten die Ursachen für die Abweichungen ermittelt werden.

Das Notfallkonzept muss regelmäßig aktualisiert, verbessert und an neue Rahmenbedingungen angepasst werden. Es muss regelmäßig geprüft werden, ob die ausgewählten Maßnahmen noch geeignet sind, die Ziele zu erreichen (Vollständigkeits- bzw. Aktualisierungsprüfung). Dabei sollte auch die Effizienz der eingesetzten Notfallmaßnahmen überprüft werden oder ob die Ziele mit anderen Maßnahmen ressourcenschonender erreicht werden könnten.

Durchführung der Prüfungen

Entsprechend dem jeweiligen Prüfungszweck sind Umfang und Tiefe der Überprüfungen festzulegen. Als Grundlage für alle Überprüfungen dient das Notfallkonzept und die vorhandene Dokumentation des Notfallmanagement-Prozesses.

Eine Überprüfung muss von Personen mit geeigneten Qualifikationen durchgeführt werden. Diese dürfen jedoch nicht an der Erstellung der Konzepte beteiligt gewesen sein, um Betriebsblindheit und Konflikte zu vermeiden. Die Prüfer bzw. Revisoren müssen möglichst unabhängig und neutral sein.

Jede einzelne Überprüfung ist sorgfältig zu planen und durchzuführen. Alle relevanten Feststellungen und Ergebnisse sind in einem Bericht festzuhalten. Dieser sollte neben einer Auswertung auch Korrekturvorschläge enthalten.

Die in den einzelnen Überprüfungen ermittelten Ergebnisse sollten dokumentiert werden. Es muss zudem festgelegt sein, wie mit den Überprüfungsergebnissen zu verfahren ist, da eine Überprüfung nur dann ihre Wirkung zeigt, wenn aufgrund der Überprüfungsergebnisse auch die erforderlichen Korrekturmaßnahmen ergriffen werden. Als mögliche Korrekturmaßnahmen kommen, je nach Ursache, in Frage:

  • organisatorische Maßnahmen sind anzupassen,
  • personelle Maßnahmen, z. B. Schulungs- und Sensibilisierungsmaßnahmen, sind zu ergreifen oder disziplinarische Maßnahmen einzuleiten,
  • infrastrukturelle Maßnahmen, z. B. bauliche Veränderungen, sind zu initiieren,
  • technische Maßnahmen, z. B. Änderungen an Systemen, sind vorzunehmen,
  • Entscheidungen des verantwortlichen Vorgesetzten (bis hin zur Leitungsebene) sind einzuholen.

Der Bericht sollte dem Leiter des überprüften Bereiches sowie dem Notfallmanagement-Team übergeben werden, die auf dieser Basis die weiteren Schritte konzipieren müssen. Schwerwiegende Probleme sollten direkt der Leitungsebene kommuniziert werden, damit weitreichende Entscheidungen zeitnah getroffen werden können.

Werden bei der Prüfung spezielle Werkzeuge eingesetzt, muss ebenso wie bei der Ergebnisdokumentation sichergestellt sein, dass nur autorisierte Personen darauf Zugriff haben. Der Zugriff auf die unterstützenden Tools sowie die Prüfergebnisse müssen daher besonders geschützt werden.

Korrekturmaßnahmen

Erkannte Fehler und Schwachstellen müssen zeitnah abgestellt werden. Der identifizierte Optimierungsbedarf bei Effizienz und Effektivität von Notfallmaßnahmen muss umgesetzt werden.

Aufgrund der Überprüfungsergebnisse sind Entscheidungen über das weitere Vorgehen zu treffen. Insbesondere sind alle erforderlichen Korrekturmaßnahmen in einem Umsetzungsplan festzuhalten. Die Zeitrahmen und die Verantwortlichen für die Umsetzung der Korrekturmaßnahmen sind zu benennen und mit den notwendigen Ressourcen auszustatten.

Es ist ein Prozess aufzusetzen, der die Umsetzung steuert und überwacht. Der aktuelle Status sowie Probleme bei der Umsetzung sind zu dokumentieren. Werden notwendige Korrekturen zum Schließen von Schwachstellen nicht planmäßig durchgeführt, so sind gegebenenfalls zu eskalieren.

Prüffragen:

  • Werden regelmäßig und anlassbezogen Überprüfungen der Notfallmaßnahmen durchgeführt?

  • Werden die Überprüfungen sorgfältig geplant?

  • Werden die Ergebnisse der Überprüfungen ausgewertet und gegebenenfalls in Korrekturmaßnahmen umgesetzt?

  • Werden die Korrekturmaßnahmen geplant und die Umsetzung kontrolliert?

Stand: 13. EL Stand 2013

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK