Sie befinden sich hier: Themen IT-Grundschutz-Kataloge. Inhalt. Dokumententitel: M 6.62 Festlegung von Prioritäten für die Behandlung von Sicherheitsvorfällen - IT-Grundschutz-Kataloge - Stand 2006
direkt zu der Navigation Servicebereich. direkt zu der Hauptnavigation. direkt zur Themennavigation. direkt zum Seiteninhalt.

M 6.62 Festlegung von Prioritäten für die Behandlung von Sicherheitsvorfällen

Verantwortlich für Initiierung: Behörden-/Unternehmensleitung, IT-Sicherheitsmanagement

Verantwortlich für Umsetzung: IT-Sicherheitsmanagement

Ein Sicherheitsvorfall entsteht erfahrungsgemäß durch eine Verkettung verschiedener Ursachen. Daraus ergibt sich meist, dass die resultierenden potentiellen Schäden verschiedenen Schadenskategorien zugerechnet werden können. Daher ist es wichtig, die Prioritäten für die Problembeseitigung möglichst vorab festzulegen. Von dieser Prioritätensetzung hängt unter anderem ab, in welcher Reihenfolge die Probleme angegangen werden sollen.

Eine Prioritätensetzung hängt dabei stark von den Gegebenheiten der jeweiligen Organisation ab. Für die Prioritätensetzung sind folgende Fragen zu bearbeiten:

Hilfestellung für die Bearbeitung der Fragen bietet eine nach IT-Grundschutz durchgeführte Schutzbedarfsfeststellung. In dieser Schutzbedarfsfeststellung werden die für die Organisation relevanten Schadenskategorien definiert.

Beispiel: Relevante Schadenskategorien sind:

Ebenso wird im Rahmen der Schutzbedarfsfeststellung eine Definition erarbeitet, wie zu jeder Schadenskategorie die Schadenshöhe definiert wird.

Beispiel: Schadensdefinition Finanzielle Auswirkungen

Schadenskategorie Finanzielle Auswirkungen

Schaden mittel

 

Schaden kleiner 25.000.- €

 

Schaden hoch

 

Schaden zwischen 25.000.- und 5.000.000.- €

 

Schaden sehr hoch

 

Schaden höher als 5.000.000.- €

 

Tabelle: Finanzielle Auswirkungen von Schäden

Anhand dieser Kategorien und Schadenshöhenbestimmung kann man die Prioritätensetzung wie folgt durchführen. In einer Tabelle werden in der ersten Spalte die Schadenskategorien aufgeführt. Die drei anschließenden Spalten erhalten als Überschrift die Schadenshöhen mittel, hoch und sehr hoch. Anschließend wird jeder Kombination von Schadenskategorie und Schadenshöhe eine Priorität zugeordnet. Die Prioritätensetzung kann einerseits durch eine Prioritätenklassifizierung mit Einteilungen wie

oder durch die Festlegung einer Reihenfolge stattfinden.

Beispiel:

Betrachtet wird als Organisation eine Stadtverwaltung, die dem Bürger ihre Dienstleistungen auch über das Internet anbietet. Dazu kann der Bürger Anträge per E-Mail an die Stadtverwaltung senden und über das Internet die Bearbeitungsfortschritte seines Antrags beobachten. Als Informationsdienst bietet diese Stadtverwaltung einen Internet-Server an.

Schadenskategorie Schaden mittel Schaden hoch Schaden sehr hoch

Verstoß gegen Gesetze, Vorschriften oder Verträge

 

2

 

2

 

2

 

Beeinträchtigung des informationellen Selbstbestimmungsrechts

 

2

 

2

 

1

 

Beeinträchtigung der persönlichen Unversehrtheit

 

2

 

1

 

1

 

Beeinträchtigung der Aufgabenerfüllung

 

3

 

3

 

2

 

Negative Außenwirkung

 

3

 

2

 

1

 

Finanzielle Auswirkungen

 

3

 

3

 

2

 

Tabelle: Beispielergebnis mit Prioritätenklassifizierung

Schadenskategorie  Schaden mittel  Schaden hoch  Schaden sehr hoch 

Verstoß gegen Gesetze, Vorschriften oder Verträge

 

13

 

12

 

11

 

Beeinträchtigung des informationellen Selbstbestimmungsrechts

 

8

 

6

 

3

 

Beeinträchtigung der persönlichen Unversehrtheit

 

5

 

2

 

1

 

Beeinträchtigung der Aufgabenerfüllung

 

15

 

14

 

7

 

Negative Außenwirkung

 

17

 

9

 

4

 

Finanzielle Auswirkungen

 

18

 

16

 

10

 

Tabelle: Beispielergebnis mit Prioritätensetzung durch Reihenfolge

Diese Prioritätensetzung muss durch die Behörden- bzw. Unternehmensleitung gebilligt und in Kraft gesetzt werden. Die Prioritätensetzung ist allen Entscheidungsträgern bei der Behandlung von Sicherheitsvorfällen bekannt zu geben.

Tritt ein Sicherheitsvorfall ein, so kann die Prioritätensetzung wie folgt verwendet werden. Nach der Untersuchung und Bewertung des Sicherheitsvorfalls kann eingeschätzt werden, welche Schäden zu erwarten wären. Diese Schäden können den bekannten Schadenskategorien zugeordnet werden. Anschließend sind diese Schäden in die Klassen "mittel", "hoch" und "sehr hoch" einzuteilen. Aus der tabellarischen Übersicht der Prioritätensetzung kann dann abgelesen werden, in welcher Reihenfolge die einzelnen Schäden behoben werden sollten. Hierbei sollte allerdings beachtet werden, dass die vorab vorgenommene Prioritätensetzung nur eine erste Orientierung bietet. Gegebenenfalls muss sie im individuellen Fall angepasst werden.

Beispiel:

Angenommen wird, dass es in der obigen Beispiel-Stadtverwaltung einem Hacker gelungen ist, die Informationen auf dem Internet-Informationsserver zu manipulieren, so dass die Stadtverwaltung verunglimpft wird. Dies wird frühzeitig bemerkt, das IT-Sicherheitsmanagement eingeschaltet und die obige Schadenseinschätzung durchgeführt. Diese hätte zum Ergebnis, dass folgende Schäden zu erwarten sind:

Schadenskategorie Schaden mittel Schaden hoch Schaden sehr hoch

Verstoß gegen Gesetze, Vorschriften oder Verträge

 

S1

 
   

Beeinträchtigung des informationellen Selbstbestimmungsrechts

 
     

Beeinträchtigung der persönlichen Unversehrtheit

 
     

Beeinträchtigung der Aufgabenerfüllung

 

S2

 
   

Negative Außenwirkung

 
   

S3

 

Finanzielle Auswirkungen

 

S4

 
   

Tabelle: Schadenskategorieneinteilung

Den Schäden S1, ..., S4 werden anhand der Prioritätensetzung folgende Prioritäten zugeordnet:

Prioritätenklassifizierung: S1 = 2, S2 = 3, S3 = 1, S4 = 3

Prioritätenreihenfolge: S1 = 13, S2 = 15, S3 = 4, S4 = 18

In beiden Fällen würde deutlich, dass die Anstrengungen der Schadensbegrenzung sich zunächst auf den Schaden S3 (negative Außenwirkung) konzentrieren müssten, bevor die anderen Schäden angegangen würden. Im Beispiel würde man, um die negative Außenwirkung zu begrenzen, den manipulierten Internet-Server vom Netz nehmen, um anschließend weitere Maßnahmen zu ergreifen. Hätte man die Schäden der negativen Außenwirkung niedriger priorisiert und hingegen die Beeinträchtigung der Aufgabenerfüllung in den Vordergrund gestellt, würde man gegebenenfalls von der Abschaltung des Internet-Servers als Sofortmaßnahme absehen.

Ergänzende Kontrollfragen: