Bundesamt für Sicherheit in der Informationstechnik

M 6.122 Definition eines Sicherheitsvorfalls

Verantwortlich für Initiierung: Behörden-/Unternehmensleitung, IT-Sicherheitsbeauftragter

Verantwortlich für Umsetzung: IT-Sicherheitsbeauftragter

Analog der Definition eines Notfalls (siehe M 6.110 Festlegung des Geltungsbereichs und der Notfallmanagementstrategie ) ist es für die Behandlung von Sicherheitsvorfällen unumgänglich, dass in einem Unternehmen bzw. einer Behörde eine klare Vorstellung davon herrscht, was ein Sicherheitsvorfall ist. Vor allem muss klar sein, wie sich Sicherheitsvorfälle von Störungen im Tagesbetrieb unterscheiden. Nur so ist es möglich, im Rahmen des normalen Störungs- und Fehlerbehebungsprozesses den geeigneten Startpunkt für die besonderen Maßnahmen des Prozesses der Sicherheitsvorfallsbehandlung zu finden. Eine weitestgehend formale Definition ohne zu breite Interpretationsspielräume kann den Start dieses Prozesses zusätzlich erleichtern. Die Definition eines Sicherheitsvorfalls sollte auf dem Schutzbedarf der betroffenen Geschäftsprozesse, IT-Dienste, IT-Systeme bzw. IT-Anwendungen basieren. So lässt sich beispielsweise anhand des Schutzbedarfs bzw. den Ergebnissen einer Business Impact Analyse des direkt oder potentiell betroffenen Systems eine Schwelle definieren, ab wann ein Ereignis ein Sicherheitsvorfall ist. Zusätzlich sollte es dem Sicherheitsmanagement unabhängig von Definitionsgrenzen möglich sein, einen außerordentlichen Sicherheitsvorfall auszurufen.

Eine mögliche Definition eines Sicherheitsvorfalls könnte z. B. lauten: "Als Sicherheitsvorfall wird in unserem Unternehmen/Behörde ein Ereignis bezeichnet, das die Vertraulichkeit, Verfügbarkeit und Integrität unserer Informationen, Geschäftsprozesse, IT-Dienste, IT-Systeme oder IT-Anwendungen mit hohem oder sehr hohem Schutzbedarf derart beeinträchtigt, dass ein großer Schaden für unser Unternehmen / Behörde / Kunden / Geschäftspartner entstehen kann."

Die Definition eines Sicherheitsvorfalls muss allen im Sicherheitsvorfallsbehandlungs-Prozess handelnden Mitarbeitern bekannt sein. Sinnvollerweise sollte die individuelle Definition eines Sicherheitsvorfalls mit der Definition eines Notfalls abgestimmt werden.

Prüffragen:

  • Ist eine klare Definition zur Abgrenzung eines Sicherheitsvorfalls von Störfällen getroffen worden?

  • Ist die Definition eines Sicherheitsvorfalls mit der eines Notfalls abgestimmt?

  • Ist die Definition des Sicherheitsvorfalls allen im Prozess zur Sicherheitsvorfallsbehandlung handelnden Mitarbeitern bekannt?

  • Wurde bei der Definition eines Sicherheitsvorfalls der Schutzbedarf der betroffenen Geschäftsprozesse, IT -Services, IT -Systeme beziehungsweise IT Anwendungen betrachtet?

  • Lassen sich anhand der Definition Sicherheitsvorfälle von Störungen im Tagesbetrieb deutlich und sinnvoll trennen?

Stand: 11. EL Stand 2009