Sie befinden sich hier: Themen IT-Grundschutz-Kataloge. Inhalt. Dokumententitel: B 1.8 Behandlung von Sicherheitsvorfällen - IT-Grundschutz-Kataloge - Stand 2006
direkt zu der Navigation Servicebereich. direkt zu der Hauptnavigation. direkt zur Themennavigation. direkt zum Seiteninhalt.

B 1.8 Behandlung von Sicherheitsvorfällen

Logo Behandlung von Sicherheitsvorfällen

Beschreibung

Um die IT-Sicherheit im laufenden Betrieb aufrecht zu erhalten, ist es notwendig, die Behandlung von Sicherheitsvorfällen (Incident Handling) konzipiert und eingeübt zu haben. Als Sicherheitsvorfall wird dabei ein Ereignis bezeichnet, das Auswirkungen nach sich ziehen kann, die einen großen Schaden anrichten können. Um Schäden zu verhüten bzw. zu begrenzen, sollte die Behandlung der Sicherheitsvorfälle zügig und effizient ablaufen. Wenn hierbei auf ein vorgegebenes Verfahren aufgesetzt werden kann, können Reaktionszeiten minimiert werden. Die möglichen Schäden bei einem Sicherheitsvorfall können dabei sowohl die Vertraulichkeit oder Integrität von Daten als auch die Verfügbarkeit betreffen.

Ein besonderer Bereich der Behandlung von Sicherheitsvorfällen ist dabei das Notfallvorsorge-Konzept (siehe Baustein B 1.3 Notfallvorsorge-Konzept). In einem Notfallvorsorge-Konzept wird konkret für bestimmte IT-Systeme der Ausfall kritischer Komponenten vorab analysiert und eine Vorgehensweise zur Aufrechterhaltung oder Wiederherstellung der Verfügbarkeit festgelegt.

Sicherheitsvorfälle können zum Beispiel ausgelöst werden durch

Alle Arten von Sicherheitsvorfällen müssen angemessen angegangen werden. Dies gilt sowohl für solche Sicherheitsvorfälle, gegen die man sich konkret rüsten kann, wie z. B. Computer-Viren, als auch solche, die die Organisation unerwartet treffen.

In diesem Baustein soll ein systematischer Weg aufgezeigt werden, wie ein Konzept zur Behandlung von Sicherheitsvorfällen erstellt und wie dessen Umsetzung und Einbettung innerhalb eines Unternehmens bzw. einer Behörde sichergestellt werden kann. Der Aufwand zur Erstellung und Umsetzung eines solchen Konzepts ist nicht gering. Daher sollte dieses Baustein vor allem bei größeren IT-Systemen und/oder solchen mit hoher Relevanz für die Behörde bzw. das Unternehmen beachtet werden.

Gefährdungslage

Sicherheitsvorfälle können durch eine Vielzahl von Gefährdungen ausgelöst werden. Eine große Sammlung von Gefährdungen, die kleinere oder größere Sicherheitsvorfälle verursachen können, findet sich in den Gefährdungskatalogen.

Ein großer Schaden kann durch diese Gefährdungen dann ausgelöst werden, wenn dafür keine angemessene Herangehensweise vorgesehen ist. In diesem Baustein wird daher stellvertretend für alle Gefährdungen, die sich im Umfeld von Sicherheitsvorfällen ereignen können, folgende Gefährdung betrachtet:

- G 2.62 Ungeeigneter Umgang mit Sicherheitsvorfällen

Maßnahmenempfehlungen

Um den betrachteten IT-Verbund abzusichern, müssen zusätzlich zu diesem Baustein noch weitere Bausteine umgesetzt werden, gemäß den Ergebnissen der Modellierung nach IT-Grundschutz.

Um ein effektives System zur Behandlung von Sicherheitsvorfällen einzurichten, sind eine Reihe von Schritten zu durchlaufen. Diese sind in der Maßnahme M 6.58 Etablierung eines Managementsystems zur Behandlung von Sicherheitsvorfällen beschrieben und werden durch die daran anschließenden Maßnahmen erläutert. Daher sollte mit der Umsetzung der Maßnahme M 6.58 Etablierung eines Managementsystems zur Behandlung von Sicherheitsvorfällen begonnen werden.

Nachfolgend wird das Maßnahmenbündel für den Bereich "Behandlung von Sicherheitsvorfällen" vorgestellt.

Planung und Konzeption

- M 6.58 (A) Etablierung eines Managementsystems zur Behandlung von Sicherheitsvorfällen
- M 6.59 (A) Festlegung von Verantwortlichkeiten bei Sicherheitsvorfällen
- M 6.60 (A) Verhaltensregeln und Meldewege bei Sicherheitsvorfällen
- M 6.61 (C) Eskalationsstrategie für Sicherheitsvorfälle
- M 6.62 (B) Festlegung von Prioritäten für die Behandlung von Sicherheitsvorfällen
- M 6.67 (Z) Einsatz von Detektionsmaßnahmen für Sicherheitsvorfälle

Betrieb

- M 6.63 (A) Untersuchung und Bewertung eines Sicherheitsvorfalls
- M 6.64 (A) Behebung von Sicherheitsvorfällen
- M 6.65 (A) Benachrichtigung betroffener Stellen
- M 6.66 (B) Nachbereitung von Sicherheitsvorfällen
- M 6.68 (C) Effizienzprüfung des Managementsystems zur Behandlung von Sicherheitsvorfällen