M 6.151 Alarmierungskonzept für die Protokollierung

Verantwortlich für Initiierung: Behörden-/Unternehmensleitung

Verantwortlich für Umsetzung: Leiter IT, IT-Sicherheitsbeauftragter, Leiter Organisation

Um bei aufgetretenen Sicherheitsvorfällen innerhalb eines Informationsverbundes angemessen reagieren zu können, muss ein Alarmierungskonzept erstellt werden. Ein Alarmierungskonzept enthält eine Beschreibung des Meldewegs, über den bei Eintritt eines Sicherheitsvorfalls die zuständigen Personen informiert werden, und eine detaillierte Beschreibung über den Alarmierungsprozess.

Verschiedene Arten der Benachrichtigung

Die Alarmierung bei IT-Sicherheitsvorfällen sollte über möglichst viele verschiedene Benachrichtigungsmechanismen erfolgen können. Dies ist nötig, um zu gewährleisten, dass ein sicherheitsrelevantes Ereignis nicht übersehen wird. Die gewählten Benachrichtigungsformen sollten im Alarmierungskonzept festgehalten werden. Ideal ist die Unterstützung der folgenden Arten der Benachrichtigung:

Verantwortliche Personen

Im Alarmierungskonzept müssen die Personen angeführt werden, die bei einem IT-Sicherheitsvorfall verständigt werden sollen. Meist sind dies die Administratoren eines Informationsverbundes. Zu diesem Zweck sind Kontaktlisten mit den Adressen und Telefonnummern der Ansprechpartner zu führen. Die angegebenen Personen sollten informiert sein, ihre jeweilige Aufgabe im Alarmierungskonzept kennen und regelmäßig die entsprechenden Kontaktlisten auf deren Richtigkeit, zum Beispiel die angegebene Telefonnummer, überprüfen.

Alarmierungsprozess definieren

Ein wesentlicher Punkt im Alarmierungskonzept ist die Definition eines Alarmierungsprozesses. Hier wird der gesamte Ablauf, vom Auftreten eines Sicherheitsvorfalls bis zur vollständigen Behebung des Vorfalls, aufgezeigt. Alle Schritte des Alarmierungsprozesses sollten detailliert beschrieben werden, um mögliche Fehlinterpretationen bereits im Vorhinein zu verhindern. Hier ist zu definieren, wer, wann, wie und durch wen alarmiert werden soll und welche Lösungsansätze es für dieses Problem gibt.

Des Weiteren sollte im Alarmierungskonzept festgehalten werden, wann ein Alarm generiert wird. Hierzu können am zentralen Protokollierungssystem Schwellwerte eingestellt werden. Sobald ein Wert über dieser Grenze liegt, wird ein Alarm ausgelöst. Falls der Wert sehr nahe am Grenzwert liegt, ist es möglich, Warnmeldungen auszugeben, die auf ein eventuell bevorstehendes Problem aufmerksam machen.

Das Alarmierungskonzept sollte regelmäßig geprüft und aktualisiert werden. Nur so können die darin aufgelisteten Maßnahmen im Ernstfall richtig und praktikabel umgesetzt werden.

Prüffragen: