M 6.60 Verhaltensregeln und Meldewege bei Sicherheitsvorfällen
Verantwortlich für Initiierung: Behörden-/Unternehmensleitung, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: IT-Sicherheitsmanagement
Viele Sicherheitsvorfälle werden erst durch falsche Reaktionen zu einem größeren Problem, wenn überhastet Entscheidungen getroffen werden, beispielsweise wenn spontan Daten gelöscht werden, die zum Nachvollziehen des Ereignisses notwendig gewesen wären.
Zu unterscheiden ist hierbei zwischen allgemein gültigen Verhaltensregeln, die für sämtliche vorstellbaren Sicherheitsvorfälle gelten, und den IT-spezifischen Verhaltensregeln. Folgende allgemein gültige Verhaltensregeln können für alle Arten von sicherheitsrelevanten Unregelmäßigkeiten festgehalten werden:
- Alle Beteiligten sollten Ruhe bewahren und keine übereilten Maßnahmen ergreifen.
- Unregelmäßigkeiten sollten gemäß eines Meldeplans unverzüglich gemeldet werden.
- Gegenmaßnahmen dürfen erst nach Aufforderung durch Berechtigte ergriffen werden.
- Alle Begleitumstände sind ungeschönt, offen und transparent zu erläutern, um damit zur Schadensminderung beizutragen.
- Es sollte eine erste auf den persönlichen Erfahrungen beruhende Einschätzung der möglichen Schadenshöhe, der Folgeschäden, der potentiell intern und extern Betroffenen und möglicher Konsequenzen abgegeben werden.
- Informationen über den Sicherheitsvorfall dürfen nicht unautorisiert an Dritte weitergegeben werden.
Diese allgemeinen Verhaltensregeln müssen in geeigneter Weise allen potentiell betroffenen Angehörigen einer Behörde bzw. eines Unternehmens bekanntgegeben werden.
Darüber hinaus können spezifische Verhaltensregeln an die Betroffenen weitergegeben werden, insbesondere an diejenigen, die als Meldestellen für Sicherheitsvorfälle fungieren und die ersten Entscheidungen fällen bzw. die ersten Maßnahmen ergreifen sollen. Dazu gehören die IT-Administratoren, die IT-Anwendungsverantwortlichen und das IT-Sicherheitsmanagement. Zu diesen Verhaltensregeln zählen die in den folgenden Maßnahmen beschriebenen:
- M 6.23 Verhaltensregeln bei Auftreten eines Computer-Virus,
- M 6.31 Verhaltensregeln nach Verlust der Systemintegrität
- M 6.48 Verhaltensregeln nach Verlust der Datenbankintegrität
- M 6.54 Verhaltensregeln nach Verlust der Netzintegrität
Neben der Festlegung der Verhaltensregeln sind auch die Meldewege zu definieren. Hier bietet sich folgendes Muster an:
- Bei Gefährdungen höherer Gewalt wie Feuer, Wasser, Stromausfall, Einbruch und Diebstahl sind die örtlich verfügbaren Einsatzkräfte zu unterrichten (Feuerwehr, Haustechnik, Pforte, Wachdienst, ...).
- Bei hardware-technischen Problemen oder bei Unregelmäßigkeiten bei Betrieb der IT-Systeme ist der zuständige IT-Administrator zu benachrichtigen.
- Bei vermuteten vorsätzlichen Handlungen und bei ansonsten nicht zuzuordnenden Ereignissen (z. B. Datenmanipulationen, unerlaubter Ausübung von Rechten, Spionage- und Sabotageverdacht) ist der IT-Sicherheitsbeauftragte bzw. das IT-Sicherheitsmanagement zu benachrichtigen.
Wichtig ist hier insbesondere, dass allen Mitarbeitern die Ansprechpartner und die Meldewege für alle Arten von Sicherheitsvorfällen bekannt sind. Hierzu könnte z. B. im internen Telefonverzeichnis oder im Intranet eine Liste mit Namen, Telefonnummern und E-Mailadressen der jeweiligen Ansprechpartner enthalten sein. Es darf jedoch weder schwierig noch zeitaufwendig sein, Verdachtsfälle weiterzumelden. Dafür müssen schnelle und sichere Kommunikationsverbindungen bereitstehen. Die Authentizität des Kommunikationspartners und die Vertraulichkeit der über den Verdachtsfall gemeldeten Informationen ist sicherzustellen.
Es sollten auch alle Mitarbeiter darüber informiert sein, dass Auskünfte über den Sicherheitsvorfall gegenüber Dritten nur über das IT-Sicherheitsmanagement erfolgen dürfen (siehe M 6.65 Benachrichtigung betroffener Stellen).
Durch Übungen sollte auch sporadisch überprüft werden, ob die Verhaltensregeln für Sicherheitsvorfälle angemessen und durchführbar sind und ob sie allen Mitarbeitern bekannt sind (siehe auch M 6.68 Effizienzprüfung des Managementsystems zur Behandlung von Sicherheitsvorfällen).
Besonders bei Sicherheitsvorfällen zeigt es sich immer wieder, wie wichtig ein gutes Betriebsklima und eine gesunde Kommunikationskultur sind, damit Sicherheitsvorfälle auch umgehend weitergemeldet und offen angegangen werden (siehe auch M 3.8 Vermeidung von Störungen des Betriebsklimas).
Ein Beispiel, wie die Verhaltensregeln und der Meldeplan jedem betroffenen Mitarbeiter bekanntgegeben werden können, ist ein von der Behörden- bzw. Unternehmensleitung unterzeichnetes Informationsblatt, auf dem die wichtigsten Informationen zusammengefasst sind und das am Arbeitsplatz und ergänzend im Intranet vorgehalten werden kann. Ein Beispiel für ein solches Informationsblatt findet sich unter den Hilfsmitteln zum IT-Grundschutz. Damit die Information im Ernstfall auch tatsächlich verfügbar ist, ist es nicht sinnvoll, diese nur in elektronischer Form zu verbreiten, da dann auch genau diese Information vom Sicherheitsvorfall betroffen sein könnte.
Alle Informationsblätter zu potentiellen Sicherheitsvorfällen müssen bei jeder relevanten Änderung in der Organisation sofort aktualisiert werden, damit die dort beschriebenen Verhaltensregeln noch greifen und die Meldewege korrekt sind.
Ergänzende Kontrollfragen:
- Gibt es klar definierte Verhaltensregeln für die verschiedenen Arten von Sicherheitsvorfällen?
- Sind diese allen Mitarbeitern bekannt?
- Wann wurde diese Information letztmalig aktualisiert?