Bundesamt für Sicherheit in der Informationstechnik

M 6.125 Einrichtung einer zentralen Kontaktstelle für die Meldung von Sicherheitsvorfällen

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: IT-Sicherheitsbeauftragter

Um die Effizienz bei der Aufnahme von Sicherheitsvorfällen zu steigern, sollte geprüft werden, ob eine zentrale Kontaktstelle für die Meldung von Sicherheitsvorfällen eingerichtet werden sollte.

In der Praxis bieten sich zwei Möglichkeiten für die Meldung von Sicherheitsvorfällen:

  • Alle Störungen (inklusive der Sicherheitsvorfälle) werden über die zentrale Störungsannahme, also üblicherweise über den Service Desk im First Level des Incident Management, gemeldet.
  • Sicherheitsvorfälle werden über eine separate Meldestelle bei einem dedizierten Ansprechpartner des Sicherheitsmanagements gemeldet.

Für eine zentrale Störungsannahme für alle Störungen spricht:

  • Die meisten Anwender sind nicht in der Lage, eine Störung als sicherheitsrelevant einzustufen.
  • Das Sicherheitsmanagement könnte bereits vorhandene Infrastruktur und Prozesse im IT-Service-Management nutzen.
  • Informationen über Sicherheitsvorfälle könnten gemeinsam mit denen über Störfälle in einer zentralen Datenbank verwaltet werden. Die zentrale Verwaltung in einer gemeinsamen Datenbank wäre möglich, wenn mit starker Authentisierung gearbeitet wird und das Werkzeug eine hinreichend differenzierte Berechtigungsverwaltung erlaubt. In der Praxis stößt man hier derzeit jedoch schnell an praktische Grenzen der Umsetzbarkeit.
    Hinweis: Es kann aber sinnvoll sein, Sicherheitsvorfälle, die gegen Sicherheitsrichtlinien verstoßen, gesondert zu behandeln (z. B. interne Angriffe).

Eine zentrale Störungsannahme hat allerdings den Nachteil, dass mehr Personen in sicherheitsrelevanten Sachverhalten geschult werden müssen und die Vertrauenswürdigkeit aller Mitarbeiter der zentralen Annahme überprüft werden, damit keine sensiblen Sachverhalte unerwünscht an die Öffentlichkeit gelangen.

Entscheidet sich die Behörde bzw. das Unternehmen für die Einrichtung einer zentralen Kontaktstelle für die Meldung von Sicherheitsvorfällen, sollten den dort tätigen Mitarbeitern Hilfsmittel und Verfahren für das Erkennen von Sicherheitsvorfällen zur Verfügung gestellt werden (z. B. einen Überblick über den Schutzbedarf der betreuten Systeme). Der ebenfalls benötigte Schulungsbedarf zu Informationssicherheit sollte dabei nicht unterschätzt werden (siehe M 6.129 Schulung der Mitarbeiter des Service Desk zur Behandlung von Sicherheitsvorfällen ). Wenn eine zentrale Kontaktstelle eingerichtet wird, muss diese auch zu den üblichen Arbeitszeiten erreicht werden können. Informationen über Sicherheitsvorfälle müssen von den Mitarbeitern der Kontaktstelle vertraulich behandelt werden.

Prüffragen:

  • Ist die Erreichbarkeit der Kontaktstelle für die Meldung von Sicherheitsvorfällen zu üblichen Arbeitszeiten gewährleistet?

  • Sind die Mitarbeiter der zentralen Störungsannahme ausreichend geschult und für die Belange der Informationssicherheit sensibilisiert?

  • Werden die Informationen über Sicherheitsvorfälle an der Kontaktstelle vertraulich behandelt?

  • Sind die Kontaktdaten für die Meldung von Sicherheitsvorfällen allen Mitarbeitern bekannt?

Stand: 11. EL Stand 2009