Bundesamt für Sicherheit in der Informationstechnik

M 6.121 Erstellung einer Richtlinie zur Behandlung von Sicherheitsvorfällen

Verantwortlich für Initiierung: Behörden-/Unternehmensleitung, IT-Sicherheitsbeauftragter

Verantwortlich für Umsetzung: IT-Sicherheitsbeauftragter

Viele Sicherheitsvorfälle werden erst durch falsche Reaktionen zu einem größeren Problem. Dies ist beispielsweise der Fall, wenn überhastet Entscheidungen getroffen werden, etwa wenn spontan Daten durch einen Administrator gelöscht werden, die notwendig gewesen wären, um den Sicherheitsvorfall nachzuvollziehen.

Um jedem Mitarbeiter das richtige Verhalten beim Auftreten eines Sicherheitsvorfalls nahe zu bringen, bietet es sich an, zielgruppenorientierte Richtlinien für die Behandlung von Sicherheitsvorfällen zu erstellen. Dies ermöglicht es auch allen Beteiligten, in Ausnahmesituationen ruhig und besonnen zu handeln.

Für die Administratoren und für die Mitglieder des Sicherheitsmanagements sollte es technische Handlungsanweisungen im Rahmen des Managementsystems zur Sicherheitsvorfallsbehandlung geben. Aber auch die Benutzer müssen frühzeitig einbezogen werden. Ebenso sollte der Umgang bei der Störungs- und Fehlerbehebung (also des Incident Managements) mit Sicherheitsproblemen und sicherheitsrelevanten Service-Anfragen in der Richtlinie geregelt sein. Es empfiehlt sich, eine Richtlinie im Unternehmen bzw. der Behörde zu veröffentlichen, die das angemessene Vorgehen beim Auftreten eines Sicherheitsvorfalls beschreibt und sowohl den Prozess, als auch Melde- und Eskalationswege für alle Mitarbeiter der Institution verbindlich darlegt. Bei der Erstellung der Richtlinie sollte darauf geachtet werden, dass sie vollständig und praktisch anwendbar ist. Die Aufgaben aller Beteiligten müssen darin klar formuliert sein. Von der Richtlinie abweichendes Verhalten sollte nur in dokumentierten Ausnahmefällen gestattet werden.

Zu unterscheiden ist hierbei zwischen allgemein gültigen Verhaltensregeln, die für sämtliche vorstellbaren Sicherheitsvorfälle gelten, und den IT-spezifischen Verhaltensregeln. Folgende allgemein gültige Verhaltensregeln können für alle Arten von sicherheitsrelevanten Unregelmäßigkeiten festgehalten werden:

  • Alle Beteiligten sollten Ruhe bewahren und keine übereilten Maßnahmen ergreifen.
  • Unregelmäßigkeiten sollten gemäß eines Meldeplans unverzüglich an die entsprechenden Stellen gemeldet werden.
  • Gegenmaßnahmen dürfen erst nach Aufforderung durch Berechtigte ergriffen werden.
  • Alle Begleitumstände sind durch die Betroffenen ungeschönt, offen und transparent zu erläutern, um damit zur Schadensminderung beizutragen.
  • Es sollte eine erste auf den persönlichen Erfahrungen beruhende Einschätzung der möglichen Schadenshöhe, der Folgeschäden, der potentiell intern und extern Betroffenen und möglicher Konsequenzen abgegeben werden.
  • Informationen über den Sicherheitsvorfall dürfen nicht unautorisiert an Dritte weitergegeben werden.

Diese allgemeinen Verhaltensregeln müssen in geeigneter Weise allen potentiell betroffenen Mitarbeitern einer Behörde bzw. eines Unternehmens bekanntgegeben werden.

Darüber hinaus können spezifische Verhaltensregeln an die Betroffenen weitergegeben werden, insbesondere an diejenigen, die als Meldestellen für Sicherheitsvorfälle fungieren und die ersten Entscheidungen fällen bzw. die ersten Maßnahmen ergreifen sollen. Dazu gehören Administratoren, IT-Anwendungsverantwortliche und das Sicherheitsmanagement. Zu diesen Verhaltensregeln zählen die in den folgenden Maßnahmen beschriebenen:

Ein Beispiel, wie die in den Richtlinien beschriebenen Verhaltensregeln und der Meldeplan (siehe M 6.61 Eskalationsstrategie für Sicherheitsvorfälle ) jedem betroffenen Mitarbeiter bekanntgegeben werden können, ist ein von der Behörden- bzw. Unternehmensleitung unterzeichnetes Informationsblatt, auf dem die wichtigsten Informationen zusammengefasst sind und das am Arbeitsplatz und ergänzend im Intranet vorgehalten werden kann. Ein Beispiel für ein solches Informationsblatt findet sich unter den Hilfsmitteln zum IT-Grundschutz. Damit die Information im Ernstfall auch tatsächlich verfügbar ist, ist es nicht sinnvoll, diese nur in elektronischer Form zu verbreiten, da dann auch genau diese Information vom Sicherheitsvorfall betroffen sein könnte.

Alle Informationsblätter zu potentiellen Sicherheitsvorfällen müssen bei jeder relevanten Änderung in der Organisation, den Geschäftsprozessen oder der IT sofort aktualisiert werden, damit die dort beschriebenen Verhaltensregeln noch greifen und die Meldewege korrekt sind.

Prüffragen:

  • Gibt es zielgruppenorientierte Richtlinien für die Behandlung von Sicherheitsvorfällen?

  • Ist die Richtlinie für Sicherheitsvorfälle praktisch anwendbar und kann jeder Beteiligte seine Aufgaben daraus ersehen?

  • Regelt die Richtlinie alle Aspekte der Sicherheitsvorfallsbehandlung?

  • Ist diese Richtlinie mit der IT -Leitung beziehungsweise dem IT -Betrieb abgestimmt? Ist sie durch die Behörden- beziehungsweise Unternehmensleitung verabschiedet worden?

  • Gibt es klar definierte Verhaltensregeln für die verschiedenen Arten von Sicherheitsvorfällen?

  • Ist diese Richtlinie allen Mitarbeitern (insbesondere dem IT -Betrieb und dem First Level Support im Service Desk) bekannt?

  • Werden die Verhaltensregeln in der Richtlinie regelmäßig aktualisiert?

  • Wurden Schnittstellen zu anderen Managementbereichen wie z. B. zum Notfallmanagement berücksichtigt?

Stand: 11. EL Stand 2009