M 6.62 Festlegung von Prioritäten für die Behandlung von Sicherheitsvorfällen
Verantwortlich für Initiierung: Behörden-/Unternehmensleitung, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: IT-Sicherheitsmanagement
Ein Sicherheitsvorfall entsteht erfahrungsgemäß durch eine Verkettung verschiedener Ursachen. Daraus ergibt sich meist, dass die resultierenden potentiellen Schäden verschiedenen Schadenskategorien zugerechnet werden können. Daher ist es wichtig, die Prioritäten für die Problembeseitigung möglichst vorab festzulegen. Von dieser Prioritätensetzung hängt unter anderem ab, in welcher Reihenfolge die Probleme angegangen werden sollen.
Eine Prioritätensetzung hängt dabei stark von den Gegebenheiten der jeweiligen Organisation ab. Für die Prioritätensetzung sind folgende Fragen zu bearbeiten:
- Welche Schadenskategorien sind für die Organisation relevant?
- In welcher Reihenfolge sollten Schäden der einzelnen Schadenskategorien behoben werden?
Hilfestellung für die Bearbeitung der Fragen bietet eine nach IT-Grundschutz durchgeführte Schutzbedarfsfeststellung. In dieser Schutzbedarfsfeststellung werden die für die Organisation relevanten Schadenskategorien definiert.
Beispiel: Relevante Schadenskategorien sind:
- Verstoß gegen Gesetze, Vorschriften oder Verträge,
- Beeinträchtigung des informationellen Selbstbestimmungsrechts,
- Beeinträchtigung der persönlichen Unversehrtheit,
- Beeinträchtigung der Aufgabenerfüllung,
- Negative Außenwirkung und
- Finanzielle Auswirkungen.
Ebenso wird im Rahmen der Schutzbedarfsfeststellung eine Definition erarbeitet, wie zu jeder Schadenskategorie die Schadenshöhe definiert wird.
Beispiel: Schadensdefinition Finanzielle Auswirkungen
Schadenskategorie Finanzielle Auswirkungen | |
---|---|
Schaden mittel |
Schaden kleiner 25.000.- |
Schaden hoch |
Schaden zwischen 25.000.- und 5.000.000.- |
Schaden sehr hoch |
Schaden höher als 5.000.000.- |
Tabelle: Finanzielle Auswirkungen von Schäden
Anhand dieser Kategorien und Schadenshöhenbestimmung kann man die Prioritätensetzung wie folgt durchführen. In einer Tabelle werden in der ersten Spalte die Schadenskategorien aufgeführt. Die drei anschließenden Spalten erhalten als Überschrift die Schadenshöhen mittel, hoch und sehr hoch. Anschließend wird jeder Kombination von Schadenskategorie und Schadenshöhe eine Priorität zugeordnet. Die Prioritätensetzung kann einerseits durch eine Prioritätenklassifizierung mit Einteilungen wie
- 1 = besonders wichtig,
- 2 = wichtig,
- 3 = nachrangig
oder durch die Festlegung einer Reihenfolge stattfinden.
Beispiel:
Betrachtet wird als Organisation eine Stadtverwaltung, die dem Bürger ihre Dienstleistungen auch über das Internet anbietet. Dazu kann der Bürger Anträge per E-Mail an die Stadtverwaltung senden und über das Internet die Bearbeitungsfortschritte seines Antrags beobachten. Als Informationsdienst bietet diese Stadtverwaltung einen Internet-Server an.
Schadenskategorie | Schaden mittel | Schaden hoch | Schaden sehr hoch |
---|---|---|---|
Verstoß gegen Gesetze, Vorschriften oder Verträge |
2 |
2 |
2 |
Beeinträchtigung des informationellen Selbstbestimmungsrechts |
2 |
2 |
1 |
Beeinträchtigung der persönlichen Unversehrtheit |
2 |
1 |
1 |
Beeinträchtigung der Aufgabenerfüllung |
3 |
3 |
2 |
Negative Außenwirkung |
3 |
2 |
1 |
Finanzielle Auswirkungen |
3 |
3 |
2 |
Tabelle: Beispielergebnis mit Prioritätenklassifizierung
Schadenskategorie | Schaden mittel | Schaden hoch | Schaden sehr hoch |
---|---|---|---|
Verstoß gegen Gesetze, Vorschriften oder Verträge |
13 |
12 |
11 |
Beeinträchtigung des informationellen Selbstbestimmungsrechts |
8 |
6 |
3 |
Beeinträchtigung der persönlichen Unversehrtheit |
5 |
2 |
1 |
Beeinträchtigung der Aufgabenerfüllung |
15 |
14 |
7 |
Negative Außenwirkung |
17 |
9 |
4 |
Finanzielle Auswirkungen |
18 |
16 |
10 |
Tabelle: Beispielergebnis mit Prioritätensetzung durch Reihenfolge
Diese Prioritätensetzung muss durch die Behörden- bzw. Unternehmensleitung gebilligt und in Kraft gesetzt werden. Die Prioritätensetzung ist allen Entscheidungsträgern bei der Behandlung von Sicherheitsvorfällen bekannt zu geben.
Tritt ein Sicherheitsvorfall ein, so kann die Prioritätensetzung wie folgt verwendet werden. Nach der Untersuchung und Bewertung des Sicherheitsvorfalls kann eingeschätzt werden, welche Schäden zu erwarten wären. Diese Schäden können den bekannten Schadenskategorien zugeordnet werden. Anschließend sind diese Schäden in die Klassen "mittel", "hoch" und "sehr hoch" einzuteilen. Aus der tabellarischen Übersicht der Prioritätensetzung kann dann abgelesen werden, in welcher Reihenfolge die einzelnen Schäden behoben werden sollten. Hierbei sollte allerdings beachtet werden, dass die vorab vorgenommene Prioritätensetzung nur eine erste Orientierung bietet. Gegebenenfalls muss sie im individuellen Fall angepasst werden.
Beispiel:
Angenommen wird, dass es in der obigen Beispiel-Stadtverwaltung einem Hacker gelungen ist, die Informationen auf dem Internet-Informationsserver zu manipulieren, so dass die Stadtverwaltung verunglimpft wird. Dies wird frühzeitig bemerkt, das IT-Sicherheitsmanagement eingeschaltet und die obige Schadenseinschätzung durchgeführt. Diese hätte zum Ergebnis, dass folgende Schäden zu erwarten sind:
Schadenskategorie | Schaden mittel | Schaden hoch | Schaden sehr hoch |
---|---|---|---|
Verstoß gegen Gesetze, Vorschriften oder Verträge |
S1 |
||
Beeinträchtigung des informationellen Selbstbestimmungsrechts |
|||
Beeinträchtigung der persönlichen Unversehrtheit |
|||
Beeinträchtigung der Aufgabenerfüllung |
S2 |
||
Negative Außenwirkung |
S3 | ||
Finanzielle Auswirkungen |
S4 |
Tabelle: Schadenskategorieneinteilung
Den Schäden S1, ..., S4 werden anhand der Prioritätensetzung folgende Prioritäten zugeordnet:
Prioritätenklassifizierung: S1 = 2, S2 = 3, S3 = 1, S4 = 3
Prioritätenreihenfolge: S1 = 13, S2 = 15, S3 = 4, S4 = 18
In beiden Fällen würde deutlich, dass die Anstrengungen der Schadensbegrenzung sich zunächst auf den Schaden S3 (negative Außenwirkung) konzentrieren müssten, bevor die anderen Schäden angegangen würden. Im Beispiel würde man, um die negative Außenwirkung zu begrenzen, den manipulierten Internet-Server vom Netz nehmen, um anschließend weitere Maßnahmen zu ergreifen. Hätte man die Schäden der negativen Außenwirkung niedriger priorisiert und hingegen die Beeinträchtigung der Aufgabenerfüllung in den Vordergrund gestellt, würde man gegebenenfalls von der Abschaltung des Internet-Servers als Sofortmaßnahme absehen.
Ergänzende Kontrollfragen:
- Ist die getroffene Prioritätensetzung mit der Behörden- bzw. Unternehmensleitung abgestimmt?
- Ist die Prioritätensetzung allen Entscheidungsträgern des Managementsystems zur Behandlung von Sicherheitsvorfällen bekannt?
- Wann wurde die Prioritätensetzung aktualisiert?