M 6.58 Etablierung eines Managementsystems zur Behandlung von Sicherheitsvorfällen
Verantwortlich für Initiierung: Behörden-/Unternehmensleitung
Verantwortlich für Umsetzung: IT-Sicherheitsmanagement
Mit der zunehmenden Einbindung der IT in alle Abläufe einer Behörde oder eines Unternehmens nimmt auch die Abhängigkeit von deren korrekten Funktionieren immer weiter zu. Eine wichtige Aufgabe des IT-Sicherheitsmanagements ist daher die Vorbereitung auf den angemessenen Umgang mit Sicherheitsvorfällen aller Art. Sicherheitsvorfälle können durch eine Vielzahl von Ereignissen ausgelöst werden und z. B. zum Verlust der Verfügbarkeit, Integrität und/oder Vertraulichkeit von Daten, einzelnen IT-Systemen oder des gesamten Netzes führen.
Sicherheitsvorfälle, die im Rahmen des IT-Sicherheitsmanagements einer besonderen Behandlung bedürfen, sind solche, die das Potential für große Schäden besitzen. Sicherheitsprobleme, die nur lokal begrenzte und geringfügige Schäden verursachen oder verursachen können, sollten auch in der lokalen Verantwortlichkeit gelöst werden, um das IT-Sicherheitsmanagement nicht zu überlasten.
Die Behandlung von Sicherheitsvorfällen verfolgt als Teil des IT-Sicherheitsmanagements dabei folgende Ziele:
- Reaktionsfähigkeit, damit Sicherheitsvorfälle und Sicherheitsprobleme rechtzeitig bemerkt und an eine zuständige Stelle gemeldet werden,
- Entscheidungsfähigkeit, ob es sich um ein lokales Sicherheitsproblem oder um einen Sicherheitsvorfall handelt,
- Handlungsfähigkeit, damit bei einem Sicherheitsvorfall die notwendigen Maßnahmen kurzfristig ergriffen und umgesetzt werden,
- Schadensminimierung, in dem weitere potentiell betroffene Bereiche rechtzeitig benachrichtigt werden und
- Effektivität, in dem die Fähigkeit zur Behandlung von Sicherheitsvorfällen geübt und überwacht wird.
Um diese Ziele erreichen zu können, ist ein Managementsystem zur Behandlung von Sicherheitsvorfällen zu etablieren. Unbedingte Voraussetzung dafür ist, dass die Behörden- oder Unternehmensleitung beteiligt wird und letztlich das Managementsystem in Kraft setzt, um die notwendige Sensibilisierung für IT-Sicherheit, die Vergabe von Entscheidungskompetenzen und die Unterstützung der Sicherheitsziele zu gewährleisten.
Zur Etablierung eines Managementsystems zur Behandlung von Sicherheitsvorfällen kann man sich an folgenden Schritten orientieren:
Schritt 1: Berücksichtigung in der Sicherheitsleitlinie
Als Teil des IT-Sicherheitsmanagements sollte die Behandlung von Sicherheitsvorfällen in der Sicherheitsleitlinie bzw. im IT-Sicherheitskonzept der Behörde bzw. des Unternehmens geregelt werden. Hier ist festzulegen, dass Sicherheitsvorfälle und Sicherheitsprobleme von den Benutzern und Betroffenen dem zuständigen Sicherheitsverantwortlichen gemeldet werden.
Darüber hinaus sind die Entscheidungsfindungswege zu beschreiben und die Notwendigkeit zu motivieren. Mit der Aufnahme in die Sicherheitsleitlinie wird gleichzeitig die Unterstützung der IT-Sicherheit durch die Behörden- bzw. Unternehmensleitung manifestiert.
Schritt 2: Festlegung von Verantwortlichkeiten
In diesem Schritt wird festgelegt, wer welche Verantwortung beim Auftreten von Sicherheitsvorfällen hat. Verantwortung tragen dabei unter anderem folgende Gruppen für die exemplarisch beschriebenen Aufgaben:
- IT-Benutzer: Meldung von Sicherheitsproblemen und -vorfällen
- IT-Administratoren: Entgegennahme von Meldungen und erste Entscheidungsvorbereitung zwischen Sicherheitsproblem und -vorfall sowie Einleitung der Eskalation
- Verantwortliche für IT-Anwendung: Beteiligung als Träger des Schutzbedarfs der betroffenen IT-Anwendung bei Entscheidungsfindung und Maßnahmenauswahl
- IT-Sicherheitsbeauftragte bzw. IT-Sicherheitsmanagement: Entgegennahme von Meldungen und Entscheidungsfindung zwischen Sicherheitsproblem und -vorfall, Einschaltung des Eskalationswegs und Einleitung notwendiger Maßnahmen
- Sicherheitsvorfall-Team: ein aus betroffenen IT-Administratoren, IT-Anwendern, IT-Sicherheitsbeauftragten, Öffentlichkeitsarbeit und ggf. Leitungsebene zusammengesetztes Team zur Abwicklung eines Sicherheitsvorfalls
- Öffentlichkeitsarbeit bzw. Pressestelle: bei Bedarf Vorbereitung der Informationspolitik bezüglich des Sicherheitsvorfalls
- IT-Sicherheitsrevision: Überprüfung des Managementsystems und Nachbereitung eines Sicherheitsvorfalls
- Behörden-/Unternehmensleitung: Abschließende Entscheidungsfindung
Die Verantwortlichkeiten sind zu regeln und in Kraft zu setzen. Näheres ist in Maßnahme M 6.59 Festlegung von Verantwortlichkeiten bei Sicherheitsvorfällen beschrieben.
Schritt 3: Verhaltensregeln und Meldeweg bei Auftreten eines Sicherheitsvorfalls
Für die effektive Behandlung von Sicherheitsvorfällen ist entscheidend, dass sich Betroffene richtig und besonnen verhalten und den Vorfall unverzüglich weitermelden. Dazu sind die Verhaltensregeln (Ruhe bewahren, Meldepflicht, Auskunftspflicht über Begleitumstände, etc.) zu fixieren und die IT-Benutzer entsprechend zu schulen. Insbesondere ist dabei festzulegen, an wen ein IT-Sicherheitsproblem oder -vorfall gemeldet werden muss.
Für eine Reihe von typischerweise zu erwartenden Sicherheitsvorfällen (z. B. Auftreten eines Computer-Virus, Datenmanipulation durch Innentäter, Hackingversuche durch Außentäter, ...) können vorab Handlungsanweisungen ausgearbeitet werden, was in einem solchen Fall zu tun ist. Dies beschleunigt im Ernstfall die Reaktionen und trägt damit zur Schadensbegrenzung bei. Da der Aufwand zur Erstellung dieser Handlungsoptionen nicht unerheblich ist, sollte er auf die relevanten planbaren Bereiche beschränkt werden.
Ausführlich wird dieses Thema in der Maßnahme M 6.60 Verhaltensregeln und Meldewege bei Sicherheitsvorfällen beschrieben.
Schritt 4: Eskalationsstrategie bei Sicherheitsvorfällen
Je kritischer ein Sicherheitsvorfall ist, desto mehr Kompetenzen werden bei der Behandlung des Sicherheitsvorfalls in der Regel benötigt. Dies kann so weit führen, dass die Behörden- bzw. Unternehmensleitung informiert und eingeschaltet werden muss, um notwendige Maßnahmen wie Verbot der Informationsweitergabe, Einschaltung der Polizei, kostenträchtige Ersatzmaßnahmen etc. einleiten zu dürfen. Dazu bedarf es jedoch einer im Vorfeld erarbeiteten Eskalationsstrategie, wer in welchen Fällen hinzuzuziehen ist. Näheres dazu ist in Maßnahme M 6.61 Eskalationsstrategie für Sicherheitsvorfälle beschrieben.
Schritt 5: Prioritätensetzung
Da ein Sicherheitsvorfall meist aus einer Verkettung verschiedener Ursachen entsteht und auch Auswirkungen auf verschiedene betroffene IT-Anwendungsbereiche besitzt, sollten die zu treffenden Maßnahmen anhand einer Prioritätenliste umgesetzt werden. Diese Prioritätensetzung hängt vom Schutzbedarf, von den IT-Einsatzbereichen und -Anwendungen sowie von den individuellen Abhängigkeiten der Behörde bzw. des Unternehmens ab. Analog zur Schutzbedarfsfeststellung ist vorab eine Prioritätensetzung durchzuführen, um festzulegen, in welcher Reihenfolge die aus einem Sicherheitsvorfall resultierenden Schäden bearbeitet werden sollen (siehe M 6.62 Festlegung von Prioritäten für die Behandlung von Sicherheitsvorfällen).
Schritt 6: Methodik zur Untersuchung und Bewertung von Sicherheitsvorfällen
Nach Eingang einer Meldung über eine sicherheitsrelevante Unregelmäßigkeit muss zunächst entschieden werden, ob es sich um ein lokales Sicherheitsproblem oder um einen Sicherheitsvorfall mit ggf. zu erwartenden größeren Schäden handelt. Für diese Entscheidung sind eine Reihe von Einflussfaktoren (potentielle Schadenshöhe und Folgeschäden, Ursache, betroffene IT-Systeme, notwendige Sofortmaßnahmen) zu erheben und zu bewerten. Bei Bedarf sind gemäß einer Eskalationsstrategie die nächsten Managementebenen einzubeziehen. Einzelheiten dazu finden sich in Maßnahme M 6.63 Untersuchung und Bewertung eines Sicherheitsvorfalls.
Schritt 7: Umsetzung von Maßnahmen zur Behebung von Sicherheitsvorfällen
Bei der Umsetzung der notwendigen Maßnahmen zur Behebung von Sicherheitsvorfällen ist zu beachten, dass diese Maßnahmen meist unter Zeitdruck vollzogen werden. Daher kann nicht ausgeschlossen werden, dass durch diese Maßnahmen neue Probleme entstehen. Als Folge dessen ist es sinnvoll, die Umsetzung der Maßnahmen ausreichend zu dokumentieren. Darüber hinaus sollte, vorsätzliches Handeln bei Sicherheitsvorfällen vorausgesetzt, auch die Behandlung des "Täters" mitbedacht werden.
Unter Umständen sind personelle Konsequenzen zu überdenken. Näheres dazu findet man in M 6.64 Behebung von Sicherheitsvorfällen.
Schritt 8: Benachrichtigung betroffener Stellen
Sollte sich herausstellen, dass ein Sicherheitsvorfall in den Auswirkungen nicht nur auf die Behörde bzw. das Unternehmen oder einzelne Organisationsbereiche beschränkt ist, muss zur Schadensminimierung eine Benachrichtigung der evtl. betroffenen Stellen erfolgen. Dazu sollten vorab die Kommunikationswege erhoben werden und eine Abhängigkeitsanalyse durchgeführt worden sein, um die Benachrichtigung zu beschleunigen (siehe M 6.65 Benachrichtigung betroffener Stellen).
Schritt 9: Nachbereitung eines Sicherheitsvorfalls
Um den Lerneffekt eines eingetretenen Sicherheitsvorfalls nicht zu vernachlässigen, sollte für die Behandlung von Sicherheitsvorfälle die Nachbereitung festgelegt werden. Oftmals lassen sich daraus Verbesserungen für den Umgang mit Sicherheitsvorfällen herausarbeiten oder Rückschlüsse auf die Wirksamkeit der IT-Sicherheitskonzeption ziehen. Dabei sind unter anderem folgende Aspekte zu beachten:
- Reaktionszeit,
- Bekanntheitsgrad des Meldewegs,
- Wirksamkeit der Eskalationsstrategie,
- Effektivität der Untersuchung und
- Möglichkeiten der Benachrichtigung betroffener Stellen.
Ausführlich behandelt wird dieses Thema in Maßnahme M 6.66 Nachbereitung von Sicherheitsvorfällen.
Schritt 10: Einsatz von Detektionsmaßnahmen für Sicherheitsvorfälle
Je schneller ein Sicherheitsvorfall entdeckt und gemeldet wird, umso effektiver können Gegenmaßnahmen ergriffen werden. Hierbei kann es sinnvoll sein, die technisch möglichen Detektionsmaßnahmen zu nutzen, um Verzögerungen durch menschliches Handeln zu reduzieren. Hier sind insbesondere Viren-Suchprogramme, Auswertungen von Protokolldaten und Intrusion Detection Systeme zu nennen. Die Identifikation und Aktivierung dieser Maßnahmen sowie deren Meldewege werden in Maßnahme M 6.67 Einsatz von Detektionsmaßnahmen für Sicherheitsvorfälle beschrieben.
Schritt 11: Effizienzprüfung
Um die Effektivität eines Managementsystems zur Behandlung von Sicherheitsvorfällen messen zu können und um die notwendige Praxis dieser Managementaufgaben zu fördern, sind Übungen bzw. Planspiele durchzuführen. Da dies eines erheblichen Personaleinsatzes bedarf und sich auf den normalen Geschäftsablauf störend auswirken kann, sollte dies auf wichtige Bereiche beschränkt werden. Weitere Anregungen finden sich in Maßnahme M 6.68 Effizienzprüfung des Managementsystems zur Behandlung von Sicherheitsvorfällen.
Die Ergebnisse dieser Schritte sollten sinnvollerweise in einem "Konzept zur Behandlung von Sicherheitsvorfällen" dokumentiert werden. Dieses Konzept ist in regelmäßigen Abständen zu aktualisieren und in geeigneter Weise den Betroffenen bekannt zu geben.
Ergänzende Kontrollfragen:
- Gibt es klar definierte Abläufe und Regeln für die verschiedenen Arten von Sicherheitsvorfällen?
- Sind die Verhaltensregeln und Meldewege bei Sicherheitsvorfällen schriftlich fixiert?
- Sind diese allen Mitarbeitern bekannt?