Bundesamt für Sicherheit in der Informationstechnik

M 6.130 Erkennen und Erfassen von Sicherheitsvorfällen

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter

Verantwortlich für Umsetzung: Administrator, Fachverantwortliche, IT-Sicherheitsbeauftragter, Notfallbeauftragter

Nicht jeder Sicherheitsvorfall ist unmittelbar als solcher zu erkennen. Viele Sicherheitsvorfälle, insbesondere wenn es sich um gezielte vorsätzliche Angriffe auf IT-Systeme handelt, fallen erst nach Tagen oder Wochen auf. Oftmals kommt es auch zu Fehlalarmen, z. B. weil Hard- oder Software-Probleme als Infektion mit Computer-Viren fehlinterpretiert werden.

Um jedoch eine sicherheitsrelevante Unregelmäßigkeit untersuchen und bewerten zu können, müssen bestimmte Analysen schon vorab durchgeführt worden sein. Dazu zählen

  • die Erhebung der vorhandenen IT-Struktur und IT-Vernetzung,
  • die Erhebung der Ansprechpartner bzw. Benutzer der IT-Systeme,
  • die Erhebung der IT-Anwendungen auf den jeweiligen IT-Systemen und
  • die Schutzbedarfsfeststellung der Informationen, IT-Systeme und Anwendungen.

Diese Untersuchungen werden im ersten Schritt der Anwendung des IT-Grundschutzes durchgeführt und müssten daher dem Sicherheitsmanagement im Ergebnis vorliegen.

Sicherheitsvorfälle können auf unterschiedlichen Wegen bekannt werden:

  • Feststellung durch Benutzer: Diese melden typischerweise Störungen, wie z. B. einen vermuteten oder tatsächlichen Virenbefall, Datenverluste oder Modifikation von Informationen.
  • Erkennung durch ein System:
    • Bei der Systemüberwachung (Monitoring) wird bei Überschreitung eines kritischen Grenzwertes ein Ereignis generiert und entweder als Störung an ein Support-Team weitergeleitet oder automatisch an ein Incident Management System übergeben.
    • Ein IDS (Intrusion Detection System) meldet z. B. einen Angriffsversuch oder einen Einbruch in einen Server.
  • Feststellung durch Mitarbeiter aus einer IT-Abteilung: Sobald diese Störungen feststellen, registrieren diese sie typischerweise selbst im Störungserfassungssystem.
  • Feststellung durch einen externen Partner: Unter Umständen können Externe die ersten sein, die einen Sicherheitsvorfall melden, beispielsweise weil sie Abweichungen vom normalen Verhalten von IT-Dienstleistungen festgestellt haben. In diesem Fall ist es besonders wichtig, dass alle Meldungen ernst genommen und an die richtigen Stellen weitergeleitet werden, da Außenstehende nicht immer die richtigen Ansprechpartner und die intern verwendeten Begriffe kennen.
  • Information durch Strafverfolgungsbehörden oder Presse: Leider kann es auch vorkommen, dass die betroffene Institution von Sicherheitsvorfällen erst durch Polizei oder Presse erfährt. Auch hier ist es wichtig, dass diese an die richtigen Ansprechpartner weitergeleitet werden.

Anhand dieser Informationen kann bei einer eingehenden Meldung eines Sicherheitsvorfalls kurzfristig entschieden werden, welches IT-System mit welchen IT-Anwendungen und mit welchem Schutzbedarf betroffen ist. Damit zeigt sich wie im Folgenden natürlich auch immer, welche geschäftskritischen Informationen und Geschäftsprozesse betroffen sind, ohne das dies jedes Mal explizit genannt wird. Gleichzeitig kann hierüber identifiziert werden, wer als Ansprechpartner benannt ist und kurzfristig zur Entscheidungsfindung hinzugezogen werden kann.

Stellt sich dabei heraus, dass ein IT-System oder eine IT-Anwendung mit einem hohen Schutzbedarf betroffen ist, so liegt ein Sicherheitsvorfall vor und die festgelegten Schritte zu dessen Behandlung sind einzuleiten. Sind hingegen nur IT-Anwendungen und IT-Systeme mit normalem Schutzbedarf betroffen, kann versucht werden, das Sicherheitsproblem lokal zu beheben, wenn nicht zu erwarten ist, dass höher schutzbedürftige Systeme betroffen sein könnten. Dabei sollte aber auch ein möglicher Kumulationseffekt berücksichtigt werden, wenn erkennbar ist, dass eine Vielzahl von IT-Anwendungen und IT-Systemen mit normalem Schutzbedarf betroffen sein könnten.

Zeichnet es sich ab, dass der Sicherheitsvorfall schwerwiegende Folgen haben könnte und eine hinreichend große Komplexität besitzt, kann es sinnvoll sein, das Sicherheitsvorfall-Team (siehe M 6.59 Festlegung von Verantwortlichkeiten bei Sicherheitsvorfällen ) kurzfristig einzuberufen.

Sind für die Analyse und Behebung des Sicherheitsvorfalls plattform- oder standortspezifische Spezialkenntnisse nötig, kann es sinnvoll sein, das Expertenteam für die Behandlung von Sicherheitsvorfällen (siehe M 6.123 Einrichtung eines Expertenteams für die Behandlung von Sicherheitsvorfällen ) einzuberufen.

Zur Untersuchung und Bewertung des Sicherheitsvorfalls sind als Nächstes folgende Einflussfaktoren zu erheben:

  • Welche IT-Systeme und IT-Anwendungen können von dem Sicherheitsvorfall zusätzlich betroffen sein?
  • Können Folgeschäden auch durch die Vernetzung der IT-Systeme entstehen?
  • Für welche IT-Systeme und IT-Anwendungen können Schäden und Folgeschäden ausgeschlossen werden?
  • Wie hoch kann der durch den Sicherheitsvorfall verursachte direkte Schaden oder Folgeschaden sein? Dabei ist insbesondere die Abhängigkeit der verschiedenen IT-Systeme und IT-Anwendungen zu beachten.
  • Wodurch wurde der Sicherheitsvorfall ausgelöst (z. B. durch Unachtsamkeit, Angreifer oder Ausfall der Infrastruktur)?
  • Wann und an welcher Stelle hat sich der Sicherheitsvorfall ereignet? Dies kann auch weit vor der ersten Beobachtung des Sicherheitsvorfalls liegen. Auch bei dieser Untersuchung sind gut geführte Protokolldateien eine wertvolle Hilfe, aber nur, wenn man sich darauf verlassen kann, dass sie nicht manipuliert worden sind.
  • Sind durch den Sicherheitsvorfall nur interne IT-Benutzer oder auch externe Dritte betroffen?
  • Wie viele Informationen über den Sicherheitsvorfall sind bereits an die Öffentlichkeit gedrungen?

Stellt sich dabei heraus, dass der Sicherheitsvorfall schwerwiegende Folgen nach sich ziehen kann, ist zumindest die nächste Eskalationsebene zu beteiligen.

Nach dieser Erhebung der Einflussfaktoren sind die Handlungsoptionen zu erarbeiten, die aus Sofortmaßnahmen und ergänzenden Maßnahmen bestehen. Hierbei sind die getroffenen Prioritätenfestlegungen zu beachten (siehe M 6.62 Festlegung von Prioritäten für die Behandlung von Sicherheitsvorfällen ). Dazu sind auch die notwendige Zeitspannen für die Durchführung dieser Maßnahmen und die erforderlichen Kosten und Ressourcen für die Problembehebung und Wiederherstellung abzuschätzen.

Übersteigen Schadenshöhe, Zeit und Kosten eine vorbestimmte Grenze, ist vor der Entscheidung über die Maßnahmenauswahl die nächst höhere Eskalations- und Entscheidungsebene miteinzubeziehen. Im Ergebnis liegen nach einer so strukturierten Untersuchung und Bewertung eines Sicherheitsvorfalls die Handlungsoptionen vor.

Die Erfassung der von Anwendern gemeldeten Störungen erfolgt im Incident Management im First Level Support. Damit ist der First Level Support und der Service Desk von Beginn an in den Bearbeitungszyklus der Störung involviert. Im IT-Betrieb festgestellte Störungen werden in der Regel durch die Administratoren der Systeme selbständig in einem Trouble Ticket System oder mit ähnlichen Werkzeugen erfasst. Die Störungen können also auf unterschiedliche Art und Weise erkannt und entgegengenommen werden. Dies macht deutlich, dass sich eine klare Prozessregelungen für die Steuerung der Störungs- bzw. Sicherheitsvorfallbearbeitung empfiehlt.

Bereits bei der Erfassung einer Störung im First Level Support im Incident Management könnten Indizien darauf hindeuten, dass es sich um einen Sicherheitsvorfall handelt, ohne dass dies den Benutzern bewusst ist. Das Incident Management - in diesem Fall der First Level Support - sollte berücksichtigen, dass die Einbeziehung des Sicherheitsmanagements notwendig sein könnte und die meldende Person entsprechend darauf hingewiesen wird.

Prüffragen:

  • Liegen alle erforderlichen Vorab-Analysen wie Schutzbedarfsfeststellung und Strukturanalyse vor?

  • Liegen die erforderlichen Informationen aus der Schutzbedarfsfeststellung den Meldestellen (insbesondere im Incident Management) und den nachfolgenden Eskalationsebenen vor?

  • Sind Hilfsmittel vorhanden, um die Auswertung von Sicherheitsvorfällen technisch zu unterstützen, beispielsweise Tools zur Auswertung von Protokolldaten?

Stand: 11. EL Stand 2009

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK