M 6.130 Erkennen und Erfassen von Sicherheitsvorfällen

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter

Verantwortlich für Umsetzung: Administrator, Fachverantwortliche, IT-Sicherheitsbeauftragter, Notfallbeauftragter

Nicht jeder Sicherheitsvorfall ist unmittelbar als solcher zu erkennen. Viele Sicherheitsvorfälle, insbesondere wenn es sich um gezielte vorsätzliche Angriffe auf IT-Systeme handelt, fallen erst nach Tagen oder Wochen auf. Oftmals kommt es auch zu Fehlalarmen, z. B. weil Hard- oder Software-Probleme als Infektion mit Computer-Viren fehlinterpretiert werden.

Um jedoch eine sicherheitsrelevante Unregelmäßigkeit untersuchen und bewerten zu können, müssen bestimmte Analysen schon vorab durchgeführt worden sein. Dazu zählen

Diese Untersuchungen werden im ersten Schritt der Anwendung des IT-Grundschutzes durchgeführt und müssten daher dem Sicherheitsmanagement im Ergebnis vorliegen.

Sicherheitsvorfälle können auf unterschiedlichen Wegen bekannt werden:

Anhand dieser Informationen kann bei einer eingehenden Meldung eines Sicherheitsvorfalls kurzfristig entschieden werden, welches IT-System mit welchen IT-Anwendungen und mit welchem Schutzbedarf betroffen ist. Damit zeigt sich wie im Folgenden natürlich auch immer, welche geschäftskritischen Informationen und Geschäftsprozesse betroffen sind, ohne das dies jedes Mal explizit genannt wird. Gleichzeitig kann hierüber identifiziert werden, wer als Ansprechpartner benannt ist und kurzfristig zur Entscheidungsfindung hinzugezogen werden kann.

Stellt sich dabei heraus, dass ein IT-System oder eine IT-Anwendung mit einem hohen Schutzbedarf betroffen ist, so liegt ein Sicherheitsvorfall vor und die festgelegten Schritte zu dessen Behandlung sind einzuleiten. Sind hingegen nur IT-Anwendungen und IT-Systeme mit normalem Schutzbedarf betroffen, kann versucht werden, das Sicherheitsproblem lokal zu beheben, wenn nicht zu erwarten ist, dass höher schutzbedürftige Systeme betroffen sein könnten. Dabei sollte aber auch ein möglicher Kumulationseffekt berücksichtigt werden, wenn erkennbar ist, dass eine Vielzahl von IT-Anwendungen und IT-Systemen mit normalem Schutzbedarf betroffen sein könnten.

Zeichnet es sich ab, dass der Sicherheitsvorfall schwerwiegende Folgen haben könnte und eine hinreichend große Komplexität besitzt, kann es sinnvoll sein, das Sicherheitsvorfall-Team (siehe M 6.59 Festlegung von Verantwortlichkeiten bei Sicherheitsvorfällen ) kurzfristig einzuberufen.

Sind für die Analyse und Behebung des Sicherheitsvorfalls plattform- oder standortspezifische Spezialkenntnisse nötig, kann es sinnvoll sein, das Expertenteam für die Behandlung von Sicherheitsvorfällen (siehe M 6.123 Einrichtung eines Expertenteams für die Behandlung von Sicherheitsvorfällen ) einzuberufen.

Zur Untersuchung und Bewertung des Sicherheitsvorfalls sind als Nächstes folgende Einflussfaktoren zu erheben:

Stellt sich dabei heraus, dass der Sicherheitsvorfall schwerwiegende Folgen nach sich ziehen kann, ist zumindest die nächste Eskalationsebene zu beteiligen.

Nach dieser Erhebung der Einflussfaktoren sind die Handlungsoptionen zu erarbeiten, die aus Sofortmaßnahmen und ergänzenden Maßnahmen bestehen. Hierbei sind die getroffenen Prioritätenfestlegungen zu beachten (siehe M 6.62 Festlegung von Prioritäten für die Behandlung von Sicherheitsvorfällen ). Dazu sind auch die notwendige Zeitspannen für die Durchführung dieser Maßnahmen und die erforderlichen Kosten und Ressourcen für die Problembehebung und Wiederherstellung abzuschätzen.

Übersteigen Schadenshöhe, Zeit und Kosten eine vorbestimmte Grenze, ist vor der Entscheidung über die Maßnahmenauswahl die nächst höhere Eskalations- und Entscheidungsebene miteinzubeziehen. Im Ergebnis liegen nach einer so strukturierten Untersuchung und Bewertung eines Sicherheitsvorfalls die Handlungsoptionen vor.

Die Erfassung der von Anwendern gemeldeten Störungen erfolgt im Incident Management im First Level Support. Damit ist der First Level Support und der Service Desk von Beginn an in den Bearbeitungszyklus der Störung involviert. Im IT-Betrieb festgestellte Störungen werden in der Regel durch die Administratoren der Systeme selbständig in einem Trouble Ticket System oder mit ähnlichen Werkzeugen erfasst. Die Störungen können also auf unterschiedliche Art und Weise erkannt und entgegengenommen werden. Dies macht deutlich, dass sich eine klare Prozessregelungen für die Steuerung der Störungs- bzw. Sicherheitsvorfallbearbeitung empfiehlt.

Bereits bei der Erfassung einer Störung im First Level Support im Incident Management könnten Indizien darauf hindeuten, dass es sich um einen Sicherheitsvorfall handelt, ohne dass dies den Benutzern bewusst ist. Das Incident Management - in diesem Fall der First Level Support - sollte berücksichtigen, dass die Einbeziehung des Sicherheitsmanagements notwendig sein könnte und die meldende Person entsprechend darauf hingewiesen wird.

Prüffragen: