B 1.8 Behandlung von Sicherheitsvorfällen

Beschreibung
Um die IT-Sicherheit im laufenden Betrieb aufrecht zu erhalten, ist es notwendig, die Behandlung von Sicherheitsvorfällen (Incident Handling) konzipiert und eingeübt zu haben. Als Sicherheitsvorfall wird dabei ein Ereignis bezeichnet, das Auswirkungen nach sich ziehen kann, die einen großen Schaden anrichten können. Um Schäden zu verhüten bzw. zu begrenzen, sollte die Behandlung der Sicherheitsvorfälle zügig und effizient ablaufen. Wenn hierbei auf ein vorgegebenes Verfahren aufgesetzt werden kann, können Reaktionszeiten minimiert werden. Die möglichen Schäden bei einem Sicherheitsvorfall können dabei sowohl die Vertraulichkeit oder Integrität von Daten als auch die Verfügbarkeit betreffen.
Ein besonderer Bereich der Behandlung von Sicherheitsvorfällen ist dabei das Notfallvorsorge-Konzept (siehe Baustein B 1.3 Notfallvorsorge-Konzept). In einem Notfallvorsorge-Konzept wird konkret für bestimmte IT-Systeme der Ausfall kritischer Komponenten vorab analysiert und eine Vorgehensweise zur Aufrechterhaltung oder Wiederherstellung der Verfügbarkeit festgelegt.
Sicherheitsvorfälle können zum Beispiel ausgelöst werden durch
- Benutzerfehlverhalten, das zu Datenverlust oder sicherheitskritischer Änderung von Systemparametern führt,
- Auftreten von Sicherheitslücken in Hard- oder Softwarekomponenten,
- massenhaftes Auftreten von Computer-Viren,
- Hacking von Internet-Servern,
- Offenlegung vertraulicher Daten,
- Personalausfall oder
- kriminelle Handlungen (etwa Einbruch, Diebstahl oder Erpressung mit IT-Bezug).
Alle Arten von Sicherheitsvorfällen müssen angemessen angegangen werden. Dies gilt sowohl für solche Sicherheitsvorfälle, gegen die man sich konkret rüsten kann, wie z. B. Computer-Viren, als auch solche, die die Organisation unerwartet treffen.
In diesem Baustein soll ein systematischer Weg aufgezeigt werden, wie ein Konzept zur Behandlung von Sicherheitsvorfällen erstellt und wie dessen Umsetzung und Einbettung innerhalb eines Unternehmens bzw. einer Behörde sichergestellt werden kann. Der Aufwand zur Erstellung und Umsetzung eines solchen Konzepts ist nicht gering. Daher sollte dieses Baustein vor allem bei größeren IT-Systemen und/oder solchen mit hoher Relevanz für die Behörde bzw. das Unternehmen beachtet werden.
Gefährdungslage
Sicherheitsvorfälle können durch eine Vielzahl von Gefährdungen ausgelöst werden. Eine große Sammlung von Gefährdungen, die kleinere oder größere Sicherheitsvorfälle verursachen können, findet sich in den Gefährdungskatalogen.
Ein großer Schaden kann durch diese Gefährdungen dann ausgelöst werden, wenn dafür keine angemessene Herangehensweise vorgesehen ist. In diesem Baustein wird daher stellvertretend für alle Gefährdungen, die sich im Umfeld von Sicherheitsvorfällen ereignen können, folgende Gefährdung betrachtet:
- | G 2.62 | Ungeeigneter Umgang mit Sicherheitsvorfällen |
Maßnahmenempfehlungen
Um den betrachteten IT-Verbund abzusichern, müssen zusätzlich zu diesem Baustein noch weitere Bausteine umgesetzt werden, gemäß den Ergebnissen der Modellierung nach IT-Grundschutz.
Um ein effektives System zur Behandlung von Sicherheitsvorfällen einzurichten, sind eine Reihe von Schritten zu durchlaufen. Diese sind in der Maßnahme M 6.58 Etablierung eines Managementsystems zur Behandlung von Sicherheitsvorfällen beschrieben und werden durch die daran anschließenden Maßnahmen erläutert. Daher sollte mit der Umsetzung der Maßnahme M 6.58 Etablierung eines Managementsystems zur Behandlung von Sicherheitsvorfällen begonnen werden.
Nachfolgend wird das Maßnahmenbündel für den Bereich "Behandlung von Sicherheitsvorfällen" vorgestellt.
Planung und Konzeption
- | M 6.58 | (A) | Etablierung eines Managementsystems zur Behandlung von Sicherheitsvorfällen |
- | M 6.59 | (A) | Festlegung von Verantwortlichkeiten bei Sicherheitsvorfällen |
- | M 6.60 | (A) | Verhaltensregeln und Meldewege bei Sicherheitsvorfällen |
- | M 6.61 | (C) | Eskalationsstrategie für Sicherheitsvorfälle |
- | M 6.62 | (B) | Festlegung von Prioritäten für die Behandlung von Sicherheitsvorfällen |
- | M 6.67 | (Z) | Einsatz von Detektionsmaßnahmen für Sicherheitsvorfälle |
Betrieb
- | M 6.63 | (A) | Untersuchung und Bewertung eines Sicherheitsvorfalls |
- | M 6.64 | (A) | Behebung von Sicherheitsvorfällen |
- | M 6.65 | (A) | Benachrichtigung betroffener Stellen |
- | M 6.66 | (B) | Nachbereitung von Sicherheitsvorfällen |
- | M 6.68 | (C) | Effizienzprüfung des Managementsystems zur Behandlung von Sicherheitsvorfällen |