Bundesamt für Sicherheit in der Informationstechnik

M 6.151 Alarmierungskonzept für die Protokollierung

Verantwortlich für Initiierung: Behörden-/Unternehmensleitung

Verantwortlich für Umsetzung: IT-Sicherheitsbeauftragter, Leiter IT, Leiter Organisation

Um bei aufgetretenen Sicherheitsvorfällen innerhalb eines Informationsverbundes angemessen reagieren zu können, muss ein Alarmierungskonzept erstellt werden. Ein Alarmierungskonzept enthält eine Beschreibung des Meldewegs, über den bei Eintritt eines Sicherheitsvorfalls die zuständigen Personen informiert werden, und eine detaillierte Beschreibung über den Alarmierungsprozess.

Verschiedene Arten der Benachrichtigung

Die Alarmierung bei IT-Sicherheitsvorfällen sollte über möglichst viele verschiedene Benachrichtigungsmechanismen erfolgen können. Dies ist nötig, um zu gewährleisten, dass ein sicherheitsrelevantes Ereignis nicht übersehen wird. Die gewählten Benachrichtigungsformen sollten im Alarmierungskonzept festgehalten werden. Ideal ist die Unterstützung der folgenden Arten der Benachrichtigung:

  • Nachdem ein Sicherheitsvorfall erkannt wurde, kann bei einem IT -Frühwarnsystem ein Alarm auf der Management-Konsole ausgegeben werden.
  • Die Ereignisse können per E-Mail an den jeweiligen Verantwortlichen gesendet werden. Dies ist eine sehr beliebte Kommunikationsform, allerdings lässt sich nicht sicherstellen, dass der gemeldete Vorfall sofort bearbeitet wird.
  • Sicherheitsrelevante Vorfälle können auch als SMS-Nachrichten an ein Mobiltelefon oder einen Pager des zuständigen Administrators gesendet werden. Hierbei ist jedoch zu beachten, dass die Nachricht wegen eventueller Funklöcher zu spät oder gar nicht übermittelt wird.
  • Werden SNMP -Nachrichten versendet, kann ein IT-Frühwarnsystem an ein Ticket-System angebunden werden. Dadurch können die sicherheitsrelevanten Vorfälle direkt an solche Ticket-Systeme weitergeleitet werden.
  • Stehen offene und gut dokumentierte Programmierschnittstellen bereit, bietet dies eine hohe Flexibilität bei der Anbindung an externe Verarbeitungssysteme.

Verantwortliche Personen

Im Alarmierungskonzept müssen die Personen angeführt werden, die bei einem IT-Sicherheitsvorfall verständigt werden sollen. Meist sind dies die Administratoren eines Informationsverbundes. Zu diesem Zweck sind Kontaktlisten mit den Adressen und Telefonnummern der Ansprechpartner zu führen. Die angegebenen Personen sollten informiert sein, ihre jeweilige Aufgabe im Alarmierungskonzept kennen und regelmäßig die entsprechenden Kontaktlisten auf deren Richtigkeit, zum Beispiel die angegebene Telefonnummer, überprüfen.

Alarmierungsprozess definieren

Ein wesentlicher Punkt im Alarmierungskonzept ist die Definition eines Alarmierungsprozesses. Hier wird der gesamte Ablauf, vom Auftreten eines Sicherheitsvorfalls bis zur vollständigen Behebung des Vorfalls, aufgezeigt. Alle Schritte des Alarmierungsprozesses sollten detailliert beschrieben werden, um mögliche Fehlinterpretationen bereits im Vorhinein zu verhindern. Hier ist zu definieren, wer, wann, wie und durch wen alarmiert werden soll und welche Lösungsansätze es für dieses Problem gibt.

Des Weiteren sollte im Alarmierungskonzept festgehalten werden, wann ein Alarm generiert wird. Hierzu können am zentralen Protokollierungssystem Schwellwerte eingestellt werden. Sobald ein Wert über dieser Grenze liegt, wird ein Alarm ausgelöst. Falls der Wert sehr nahe am Grenzwert liegt, ist es möglich, Warnmeldungen auszugeben, die auf ein eventuell bevorstehendes Problem aufmerksam machen.

Das Alarmierungskonzept sollte regelmäßig geprüft und aktualisiert werden. Nur so können die darin aufgelisteten Maßnahmen im Ernstfall richtig und praktikabel umgesetzt werden.

Prüffragen:

  • Wurde ein Alarmierungskonzept erstellt?

  • Erfolgt die Alarmierung über verschiedene Benachrichtigungsformen?

  • Werden die bei einem IT-Sicherheitsvorfall zu benachrichtigenden Personen mit deren Adressen beziehungsweise Telefonnummern im Alarmierungskonzept angeführt?

  • Sind die im Alarmierungskonzept angeführten Personen über ihre Aufgaben informiert?

  • Werden alle Schritte des Alarmierungsprozesses im Alarmierungskonzept ausführlich beschrieben?

  • Wird das Alarmierungskonzept regelmäßig geprüft und aktualisiert?

Stand: 13. EL Stand 2013

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK