Bundesamt für Sicherheit in der Informationstechnik

M 6.132 Eindämmen der Auswirkung von Sicherheitsvorfällen

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator, IT-Sicherheitsbeauftragter, Leiter IT

Neben der effektiven Analyse der Ursachen eines Sicherheitsvorfalls ist es ebenfalls wichtig, den aus diesem Sicherheitsvorfall resultierenden Schaden einzudämmen. Die direkten Auswirkungen des Sicherheitsvorfalls müssen unverzüglich erkannt, abgeschätzt und gemindert werden, damit der Schaden kein hohes, sehr hohes oder existenziell bedrohliches Ausmaß erreichen kann. Dazu ist es erforderlich, dass das Sicherheitsmanagement ausreichend Informationen und einen Überblick über die Zusammenhänge von IT- und Geschäftsprozessen, sowie die dafür benötigten IT-Systeme, IT-Anwendungen und sonstige Ressourcen hat. Diese Informationen können beispielsweise aus einer Strukturanalyse, Schutzbedarfsfeststellung und Business Impact Analyse kommen. Nur so lassen sich zuverlässige Aussagen über die Tragweite und den eventuellen Schaden treffen.

Oft ist eine Analyse eines Sicherheitsvorfalls leichter möglich, wenn die betroffenen IT-Systeme oder Standorte isoliert werden und damit die Gefahr eingedämmt wird, dass sich der Schaden auf nicht betroffene Areale ausbreitet.

Mitunter muss auch die Entscheidungen getroffen werden, dass die Eindämmung des Schadens gegenüber der Aufklärung Vorrang hat. Aus diesem Grund sollten für ausgewählte Sicherheitsvorfallsszenarien Worst-Case-Betrachtungen angestellt werden.

Prüffragen:

  • Liegen ausreichend Informationen vor, die die Auswirkung eines Sicherheitsvorfalls abschätzbar machen?

  • Sind für ausgewählte Sicherheitsvorfallsszenarien Worst-Case-Betrachtungen durchgeführt worden?

Stand: 11. EL Stand 2009