M 6.61 Eskalationsstrategie für Sicherheitsvorfälle
Verantwortlich für Initiierung: Behörden-/Unternehmensleitung, IT-Sicherheitsmanagement, Behörden-/Unter-nehmensleitung, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: IT-Sicherheitsmanagement, IT-Sicherheitsmanagement
Nachdem die Verantwortlichkeiten für Sicherheitsvorfälle geregelt sind (siehe M 6.59 Festlegung von Verantwortlichkeiten bei Sicherheitsvorfällen) und die Verhaltensregeln und Meldewege allen Betroffenen bekanntgegeben worden sind (siehe M 6.60 Verhaltensregeln und Meldewege bei Sicherheitsvorfällen), ist als Nächstes zu regeln, wie mit eingegangenen Meldungen weiter verfahren wird.
Derjenige, der eine Meldung über einen Sicherheitsvorfall erhalten hat, muss diesen zunächst untersuchen und bewerten (siehe auch M 6.63 Untersuchung und Bewertung eines Sicherheitsvorfalls). Falls es sich tatsächlich um einen Sicherheitsvorfall handelt, müssen weitere Maßnahmen ergriffen werden. Dabei stellen sich folgende Fragen:
- Wer ist im Fall einer Eskalation, also der Ausweitung der Aktionskette, zu unterrichten?
- In welchen Fällen ist eine sofortige Eskalation vorzunehmen?
- Unter welchen Umständen ist ansonsten eine Eskalation durchzuführen?
- Wann wird diese Eskalation vorgenommen (sofort, am nächsten Tag, am nächsten Werktag)?
- Über welche Medien wird die Meldung weitergegeben?
Die Antworten zu diesen Fragen sind in einer Eskalationsstrategie festzulegen und bekannt zu geben. Die Eskalationsstrategie kann in drei Schritten erstellt werden:
Schritt 1: Festlegung der Eskalationswege
Wer für die Behandlung von Sicherheitsvorfällen verantwortlich ist, wurde in Maßnahme M 6.59 Festlegung von Verantwortlichkeiten bei Sicherheitsvorfällen festgelegt. In der Festlegung des Eskalationsweges ist zu definieren, wer an wen eine Meldung weitergibt. Dies lässt sich in einfacher Weise durch einen gerichteten Graphen veranschaulichen. Dabei sollten sowohl die regulären Eskalationswege als auch der Vertretungsfall berücksichtigt werden.
Beispiel:
Abbildung: Meldewege
Schritt 2: Entscheidungshilfe für Eskalation
In diesem Schritt ist zunächst festzulegen, in welchen Fällen eine sofortige Eskalation ohne weitere Untersuchungen und Bewertungen durchgeführt werden sollte. Ein Beispiel für eine tabellarische Aufstellung ist:
Ereignis | sofortige Unterrichtung von |
---|---|
Infektion mit einem Computer-Virus |
Virenschutzbeauftragter, Administrator |
Brand |
Pförtner, Feuerwehr |
Vorsätzliche Handlungen und vermutete kriminelle Handlungen |
IT-Sicherheitsbeauftragter |
Verdacht auf Werksspionage |
IT-Sicherheitsbeauftragter, Vorstand |
Notwendigkeit, Polizeien und Strafverfolgungsbehörden einzuschalten |
Vorstand |
Existenzbedrohende Schäden |
Vorstand |
Tabelle: Wann muss wer informiert werden
Anschließend ist für die restlichen Fälle vorzugeben, wann eine Eskalation stattzufinden hat. Gründe dafür können sein:
- Die zu erwartende Schadenshöhe übertrifft den Verantwortungsbereich der Stelle, die die Meldung entgegengenommen hat.
- Die Kosten und Ressourcen für die Schadensregulierung übertreffen deren Kompetenzbereich.
- Die Komplexität des Sicherheitsvorfalls übersteigt deren Kompetenz- bzw. Zuständigkeitsbereich.
Schritt 3: Art und Weise der Eskalation
Hierbei ist festzulegen, auf welche Weise die jeweils nächste Stelle in der Eskalationskette unterrichtet werden soll. Möglichkeiten dazu sind:
- persönliche Vorsprache
- schriftlicher Bericht
- Telefon, Handy
- Bote mit verschlossenem Umschlag
Ebenso ist festzulegen, wann diese Meldung weitergegeben wird. Beispiele sind:
- bei Ereignissen, die eine sofortige Weitergabe erfordern: sofort innerhalb einer Stunde.
- bei Ereignissen, die Sofortmaßnahmen erforden: sofort innerhalb einer Stunde.
- bei Ereignissen, die zwar beherrscht werden, aber einer Unterrichtung der nächsten Eskalationsstufe erfordern: am nächsten Werktag.
Diese Eskalationsstrategie sollten alle möglichen Empfänger von Meldungen über Sicherheitsvorfälle erhalten, um zügige Reaktionen zu ermöglichen.
Zur Eindämmung eines Sicherheitsvorfalls ist im Allgemeinen kurzfristiges Handeln erforderlich. Eventuell müssen Mitarbeiter aus anderen Projekten abgerufen oder auch außerhalb der Arbeitszeit herangezogen werden. Daher muss auch geregelt sein, wie mit der anfallenden Mehrarbeit umzugehen und wie eine Rufbereitschaft geregelt ist (siehe auch M 6.59 Festlegung von Verantwortlichkeiten bei Sicherheitsvorfällen).
Ergänzende Kontrollfragen:
- Wann wurde die Eskalationsstrategie letztmalig aktualisiert?
- Wurden die Eskalationswege in Übungen erprobt?