M 6.58 Etablierung einer Vorgehensweise zur Behandlung von Sicherheitsvorfällen

Verantwortlich für Initiierung: Behörden-/Unternehmensleitung

Verantwortlich für Umsetzung: IT-Sicherheitsbeauftragter

Mit der zunehmenden Einbindung der Informationstechnik in alle Abläufe einer Behörde oder eines Unternehmens nimmt auch die Abhängigkeit von deren korrekten Funktionieren immer weiter zu. Eine wichtige Aufgabe des Sicherheitsmanagements ist daher die Vorbereitung auf den angemessenen Umgang mit Sicherheitsvorfällen aller Art. Sicherheitsvorfälle können durch eine Vielzahl von Ereignissen ausgelöst werden und z. B. zum Verlust der Verfügbarkeit, Integrität und/oder Vertraulichkeit von Daten, einzelnen IT-Systemen oder des gesamten Netzes führen.

Sicherheitsvorfälle, die im Rahmen des Sicherheitsmanagements einer besonderen Behandlung bedürfen, sind solche, die das Potential für große Schäden besitzen. Sicherheitsprobleme, die nur lokal begrenzte und geringfügige Schäden verursachen oder verursachen können, sollten auch in der lokalen Verantwortlichkeit gelöst werden, um das Sicherheitsmanagement nicht zu überlasten.

Die Behandlung von Sicherheitsvorfällen verfolgt als Teil des Informationssicherheitsmanagements dabei folgende Ziele:

Um diese Ziele erreichen zu können, ist eine geeignete Vorgehensweise zur Behandlung von Sicherheitsvorfällen zu etablieren, also sinnvolle und erprobte Prozesse zum Umgang mit Sicherheitsvorfällen aufzubauen. Abläufe und Regeln für die verschiedenen Arten von Sicherheitsvorfällen sollten klar definiert sein. Zwingende Voraussetzung dafür ist, dass die Behörden- oder Unternehmensleitung beteiligt wird und letztlich die Verfahren zur Behandlung von Sicherheitsvorfällen in Kraft setzt, um die notwendige Sensibilisierung für Informationssicherheit, die Vergabe von Entscheidungskompetenzen und die Unterstützung der Sicherheitsziele zu gewährleisten.

Als Teil des Sicherheitsmanagements sollte die Behandlung von Sicherheitsvorfällen in der Sicherheitsleitlinie bzw. im Sicherheitskonzept der Behörde bzw. des Unternehmens geregelt werden.

Hier ist festzulegen, dass Sicherheitsvorfälle und Sicherheitsprobleme von den Benutzern und Betroffenen dem zuständigen Sicherheitsverantwortlichen gemeldet werden. Darüber hinaus sind die Entscheidungsfindungswege zu beschreiben und die Notwendigkeit für Sicherheitsmaßnahmen zu motivieren.

Die Behandlung von Sicherheitsvorfällen muss außerdem mit dem Notfallmanagement abgestimmt werden, da hier viele ähnliche Vorgehensweisen zum Umgang mit sicherheitsrelevanten Vorfällen vorhanden sind, die gut zusammenarbeiten sollten. Falls es in der Institution eine spezielle Rolle für Störungs- und Fehlerbehebung gibt, ist auch diese mit einzubeziehen.

Neben einer Vorgehensweise sind auch geeignete Organisationsstrukturen zur Behandlung von Sicherheitsvorfällen festzulegen. Hierfür ist zu regeln, wer welche Verantwortung beim Auftreten von Sicherheitsvorfällen hat. Verantwortung tragen dabei unter anderem folgende Gruppen für die exemplarisch beschriebenen Aufgaben:

Die Verantwortlichkeiten sind zu regeln und in Kraft zu setzen. Näheres ist in Maßnahme M 6.59 Festlegung von Verantwortlichkeiten bei Sicherheitsvorfällen .

Je kritischer ein Sicherheitsvorfall ist, desto mehr Kompetenzen werden bei der Behandlung des Sicherheitsvorfalls in der Regel benötigt. Dies kann so weit führen, dass die Behörden- bzw. Unternehmensleitung informiert und eingeschaltet werden muss, um notwendige Maßnahmen wie Verbot der Informationsweitergabe, Einschaltung der Polizei, kostenträchtige Ersatzmaßnahmen etc. einleiten zu können. Ein Sicherheitsvorfall kann aber auch die Eskalation an das Notfallmanagement zur Folge haben. Dazu bedarf es jedoch einer im Vorfeld erarbeiteten Strategie, wer in welchen Fällen hinzuzuziehen ist (siehe M 6.61 Eskalationsstrategie für Sicherheitsvorfälle ).

Um die Effektivität eines Managementsystems zur Behandlung von Sicherheitsvorfällen messen zu können und um die notwendige Praxis dieser Managementaufgaben zu fördern, sind Übungen bzw. Planspiele durchzuführen. Da dies einen erheblichen Personaleinsatz benötigt und sich auch auf den normalen Geschäftsablauf störend auswirken kann, sollten Übungen auf die wichtigsten Bereiche beschränkt werden. Weitere Anregungen finden sich in Maßnahme M 6.68 Effizienzprüfung des Managementsystems zur Behandlung von Sicherheitsvorfällen .

Die einzelnen Prozesse, Vorgaben und Abläufe sollten sinnvollerweise in einem Dokument zur Vorgehensweise bei der Behandlung von Sicherheitsvorfällen beschrieben werden. Dieses Dokument ist in regelmäßigen Abständen zu aktualisieren und in geeigneter Weise den Betroffenen bekannt zu geben.

Prüffragen: