M 6.59 Festlegung von Verantwortlichkeiten bei Sicherheitsvorfällen
Verantwortlich für Initiierung: Behörden-/Unternehmensleitung, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: IT-Sicherheitsmanagement
Um die Verantwortlichkeiten zur Behandlung von Sicherheitsvorfällen festzulegen, bietet es sich an, sich am imaginären zeitlichen Ablauf eines Sicherheitsvorfalls zu orientieren. Für die handelnden Personengruppen ist dabei festzulegen, welche Aufgaben und Kompetenzen sie haben und auf welche Art sie verpflichtet bzw. unterrichtet werden. Beispielhaft soll dies für einige der typischerweise betroffenen Gruppen beschrieben werden.
IT-Benutzer
Aufgabe:
- Sobald IT-Benutzer eine sicherheitsrelevante Unregelmäßigkeit bemerken, müssen sie die entsprechenden Verhaltensregeln einhalten und die Unregelmäßigkeit melden.
Kompetenz:
- IT-Benutzer müssen entscheiden, welcher Meldeweg in dem vorliegenden Fall einzuschlagen ist (siehe M 6.60 Verhaltensregeln und Meldewege bei Sicherheitsvorfällen).
Verpflichtung / Unterrichtung:
- Jeder IT-Benutzer sollte über die Sicherheitsleitlinie des Hauses verpflichtet werden, sicherheitsrelevante Unregelmäßigkeiten zu melden. Darüber hinaus sollten alle Benutzer schriftliche Handlungsanweisungen ausgehändigt bekommen, wie sie sich zu verhalten haben und an wen welche Vorfälle zu melden sind.
IT-Administrator
Aufgabe:
- Der IT-Administrator erhält in diesem Zusammenhang die Aufgabe, Meldungen über sicherheitsrelevante Unregelmäßigkeiten, die mit den von ihm betreuten IT-Systemen verbunden sind, entgegenzunehmen. Anschließend hat er zu entscheiden, ob er selbst diese Unregelmäßigkeit behebt oder ob er die nächst höhere Eskalationsebene zu unterrichten hat.
Kompetenz:
- Ein Administrator muss entscheiden können, ob ein Sicherheitsproblem vorliegt, ob er dieses eigenverantwortlich beheben kann, ob er sofort andere Personen hinzuzieht (entsprechend dem Eskalationsplan) und wen er informiert.
Verpflichtung / Unterrichtung:
- Dies sollte in der Stellenbeschreibung und im Konzept zur Behandlung von Sicherheitsvorfällen festgelegt werden.
IT-Sicherheitsbeauftragter / IT-Sicherheitsmanagement
Aufgabe:
- Der IT-Sicherheitsbeauftragte nimmt Meldungen über Sicherheitsvorfälle entgegen. Er führt die Untersuchung und Bewertung des Vorfalls durch. Er wählt notwendige Maßnahmen aus und veranlasst deren Umsetzung, soweit dies nicht seinen Kompetenzbereich überschreitet. Bei Bedarf ruft er ein Sicherheitsvorfall-Team zusammen bzw. unterrichtet zur Eskalation die Leitungsebene.
Kompetenz:
- Er ist befugt, die Bewertung eines Sicherheitsvorfalls durchzuführen, einen Vorfall weiter zu eskalieren. Darüber hinaus sind ihm finanzielle und personelle Ressourcen (z. B. 100.000 EURO und 2 Personenmonate) zugebilligt, die er zur Behebung von Vorfällen selbständig einsetzen darf.
Verpflichtung / Unterrichtung:
- Das IT-Sicherheitsmanagement erarbeitet das Konzept zur Behandlung von Sicherheitsvorfällen. Daher sollten alle IT-Sicherheitsbeauftragten über ihre Aufgaben und Kompetenzen bei der Behandlung von Sicherheitsvorfällen informiert sein.
IT-Sicherheitsrevision
Aufgabe:
- Der IT-Sicherheitsrevision kann die Aufgabe übertragen werden, in Abständen die Wirksamkeit des Managementsystems für Sicherheitsvorfälle zu prüfen. Darüber hinaus kann sie beauftragt werden, bei der Nachbereitung von Sicherheitsvorfällen mitzuwirken.
Kompetenz:
- In Absprache mit der Leitungsebene können genannte Prüfungen initiiert und durchgeführt werden.
Verpflichtung / Unterrichtung:
- Dies sollte in der Stellenbeschreibung und im Konzept zur Behandlung von Sicherheitsvorfällen festgelegt werden.
Öffentlichkeitsarbeit / Pressestelle
Aufgabe:
- Die Information der Öffentlichkeit sollte bei schwerwiegenden Sicherheitsvorfällen ausschließlich durch die Pressestelle erfolgen. Dabei sollte der Vorfall nicht beschönigt oder verharmlost, sondern sachlich dargestellt werden, um keinen Imageverlust bei gegenteiligen Informationen zu erleiden.
Kompetenz:
- Die Pressestelle muss Informationen über den Sicherheitsvorfall zusammen mit den technischen Experten aufbereiten und mit der Leitungsebene vor der Weitergabe abstimmen.
Verpflichtung / Unterrichtung:
- Dies sollte in der Stellenbeschreibung und im Konzept zur Behandlung von Sicherheitsvorfällen festgelegt werden.
Behörden-/Unternehmensleitung
Aufgabe:
- Sie wird bei schwerwiegenden Sicherheitsvorfällen unterrichtet und ggf. mit der Entscheidungsfindung konfrontiert.
Kompetenz:
- Als die die Gesamtverantwortung tragende Stelle kann sie die Verantwortung an oben genannte Gruppen delegieren. Darüber hinaus kann sie Polizei und Strafverfolgungsbehörden einschalten, wenn der Verdacht auf kriminelle Handlungen besteht.
Verpflichtung / Unterrichtung:
- Die Behörden- bzw. Unternehmensleitung muss dem Konzept zur Behandlung von Sicherheitsvorfällen und den darauf aufbauenden Eskalationsplänen zustimmen. Dabei wird die Leitungsebene auch über ihre Rolle bei der Behandlung von Sicherheitsvorfällen unterrichtet.
Sicherheitsvorfall-Team
Neben diesen Gruppen kann es bei einem schwierigen oder schwerwiegenden Sicherheitsvorfall notwendig sein, zu dessen Behandlung ein Sicherheitsvorfall-Team zeitlich befristet einzuberufen. Dies wird üblicherweise vom IT-Sicherheitsbeauftragten initiiert, der ggf. die Leitungsebene vorab beteiligt.
Auch wenn das Sicherheitsvorfall-Team nur für einen konkreten Sicherheitsvorfall zusammentritt, müssen bereits im Vorfeld dessen Mitglieder benannt und in ihre Aufgaben eingewiesen sein, damit die Reaktion auf den Sicherheitsvorfall schnellstmöglich erfolgen kann. Die Mitglieder des Sicherheitsvorfall-Teams sollten befugt sein, die ihnen übertragenen Aufgaben eigenverantwortlich durchzuführen. Die hierzu erforderlichen Regelungen sind schriftlich festzuhalten und von der Behörden- bzw. Unternehmensleitung zu autorisieren. Insbesondere ist festzulegen, wer die Leitung dieses Teams übernimmt.
Zu einem Sicherheitsvorfall-Team können (je nach Art des Sicherheitsvorfalls) beispielsweise gehören:
- Behörden-/Unternehmensleitung,
- IT-Sicherheitsmanagement / IT-Sicherheitsbeauftragter,
- Leiter IT,
- Pressestelle,
- Datenschutzbeauftragter,
- Justitiar und
- Personalrat/Betriebsrat.
Falls es erforderlich ist, müssen weitere Bereiche hinzugezogen werden, wie z. B.
- die betroffenen Fachabteilungen (Leiter, IT-Verfahrensverantwortlicher),
- IT-Administratoren,
- die Bereiche Beschaffung, Haustechnik, Innerer Dienst, Organisation, Personal und
- Brandschutzbeauftragter.
Es sollte im Vorfeld abgeklärt sein, wie mit der im Rahmen von Sicherheitsvorfällen anfallenden Mehrarbeit umzugehen ist, also ob die Arbeitszeitregelungen der Behörde bzw. des Unternehmens um Ausnahmeregelungen für Mehrarbeit, Wochenendarbeit, etc. bei Sicherheitsvorfällen erweitert werden muss. Darüber hinaus ist auch sicherzustellen, dass dieses Team bei Bedarf auch die Diensträume außerhalb der regulären Arbeitszeit nutzen kann.
Ergänzende Kontrollfragen:
- Ist ein Sicherheitsvorfall-Team benannt worden?
- Sind die betroffenen Mitglieder des Teams in ihre Aufgaben eingewiesen worden?
- Wer koordiniert welche Maßnahmen?
- Wann wurde der Aufbau des Katastrophen-Management-Teams zuletzt aktualisiert?