Sie befinden sich hier: Themen IT-Grundschutz-Kataloge. Inhalt. Dokumententitel: M 6.66 Nachbereitung von Sicherheitsvorfällen - IT-Grundschutz-Kataloge - Stand 2006
direkt zu der Navigation Servicebereich. direkt zu der Hauptnavigation. direkt zur Themennavigation. direkt zum Seiteninhalt.

M 6.66 Nachbereitung von Sicherheitsvorfällen

Verantwortlich für Initiierung: Behörden-/Unternehmensleitung, IT-Sicherheitsmanagement

Verantwortlich für Umsetzung: IT-Sicherheitsmanagement, Revisor

Aus jedem Sicherheitsvorfall kann man etwas lernen. Um aus einem eingetretenen Sicherheitsvorfall den maximalen Lerneffekt ziehen zu können, darf die Nachbereitung nicht vernachlässigt werden. Oftmals lassen sich daraus Verbesserungen im Umgang mit Sicherheitsvorfällen herausarbeiten oder Rückschlüsse auf die Wirksamkeit des IT-Sicherheitsmanagements bzw. der vorhandenen IT-Sicherheitsmaßnahmen ziehen. Dabei sind unter anderem folgende Aspekte zu beachten:

Reaktionszeit

Untersucht werden sollte, wie schnell der Sicherheitsvorfall bemerkt wurde. Dabei ist zu prüfen, ob es sinnvoll ist, technische Detektionsmaßnahmen nachzurüsten.

Darüber hinaus sollte auch der Frage nachgegangen werden, wie lange es dauerte, bis die Meldung den erforderlichen Meldeweg durchlaufen hat. Schließlich sollte der Aspekt betrachtet werden, wie schnell die Entscheidungen über die zu treffenden Maßnahmen erfolgte, wie lange deren Umsetzung dauerte und wann die Benachrichtigung der betroffenen internen und externen Stellen erfolgte.

Bei der Rückverfolgung des Meldewegs sollte überprüft werden, ob der Meldeweg jedem bekannt war oder ob zusätzliche Sensibilisierungsmaßnahmen und Informationen notwendig sind.

Wirksamkeit der Eskalationsstrategie

Anhand des konkreten Sicherheitsvorfalls sollte untersucht werden, ob die festgelegte Eskalationsstrategie eingehalten wurde, welche zusätzlichen Informationen notwendig sind und ob eine Anpassung der Eskalationsstrategie notwendig ist.

Effektivität der Untersuchung

In einer Rückschau sollte betrachtet werden, ob die Einschätzung der Schadenshöhe des Sicherheitsvorfalls korrekt war, ob die berücksichtigten Prioritäten angemessen waren und ob ein für die Untersuchung geeignetes Sicherheitsvorfall-Team eingesetzt wurde.

Benachrichtigung betroffener Stellen

Überprüft werden sollte, ob tatsächlich sämtliche betroffenen Stellen benachrichtigt wurden und ob die Benachrichtigung zeitlich ausreichend schnell war. Unter Umständen müssen schnellere Wege der Benachrichtigung gefunden werden.

Rückmeldung an meldende Stelle

Diejenigen Stellen, die einen Sicherheitsvorfall entdeckt haben und diesen an die zuständigen Experten weitergemeldet haben, sollten nach dessen Behebung auch über die entstandenen Schäden und ergriffenen Maßnahmen informiert werden. Dies zeigt, dass solche Meldungen ernst genommen werden und fördert die Motivation. Zusätzlich könnte auch eine Belobigung oder Belohnung für die korrekte Weitermeldung ausgesprochen werden, um für das Betriebsklima ein Signal zu setzen, wie wichtig das Meldewesen für Sicherheitsvorfälle ist.

Tätermotivation

Stellt sich heraus, dass der Sicherheitsvorfall auf eine vorsätzliche Handlung zurückzuführen ist, sollte die Motivation des Täters untersucht werden. Handelt es sich dabei um einen Innentäter, kommt der Motivation eine besondere Bedeutung zu. Stellt sich heraus, dass die Ursache im Bereich des Betriebsklimas zu sehen ist, sollte dies auch der Leitungsebene bekanntgegeben werden, da zu erwarten ist, dass Fehlhandlungen und vorsätzliche Handlungen wiederholt auftreten werden.

Je nach Relevanz der Nachbereitungsergebnisse sollte die Leitungsebene unterrichtet werden, um Verbesserungen zu veranlassen. Daher kann es sinnvoll sein, diese Nachbereitung durch eine Organisationseinheit durchzuführen, die nicht Teil des Meldeplans ist.

Entwicklung einer Handlungsanweisung

Im Rahmen der Nachbereitung eines Sicherheitsvorfalls ist es sinnvoll, aus den Erfahrungen heraus eine Handlungsanweisung zu erstellen bzw. zu überarbeiten, wie bei Auftreten eines vergleichbaren Sicherheitsvorfalls zu verfahren ist. Da jetzt die Probleme real bearbeitet wurden, können Handlungsanweisungen noch effizienter ausgearbeitet werden als bei der Erstellung auf einer theoretischen Basis. Darüber hinaus beweist der aufgetretene Sicherheitsvorfall, dass ein Bedarf für eine Handlungsanweisung konkret für diese Art von Sicherheitsvorfall gegeben ist. Eine derart erstellte Handlungsanweisung ist den relevanten Personengruppen in geeigneter Weise bekannt zu geben.

Ergänzende Kontrollfragen: