TOM INFORMATIONSSICHERHEITSVORFAELLE

16 Informationssicherheitsvorfällen

16.1.1 Handhabung von Informationssicherheitsvorfällen und –verbesserungen

Die Handhabung von Informationssicherheitsvorfällen bezieht sich auf den Prozess der Identifizierung, Untersuchung, Reaktion und Behebung von Vorfällen, die die Informationssicherheit einer Organisation beeinträchtigen könnten. Dieser Prozess zielt darauf ab, die Auswirkungen von Vorfällen zu minimieren, den Schaden zu begrenzen, die Ursachen zu analysieren und geeignete Maßnahmen zur Verbesserung der Sicherheitslage zu ergreifen.

Hierbei wurden folgende Handhabungs-Verantwortlichkeiten definiert:

16.1.1.1 Verantwortlicher für die Planung und Vorbereitung der Reaktion auf Vorfälle

  • Diese Rolle wird in der Regel von der/dem IT-Sicherheitsbeauftragten oder einem Mitglied des Incident Response Teams übernommen werden.
  • Der Verantwortliche sollte für die Entwicklung und Aktualisierung der Verfahren zur Reaktion auf Vorfälle zuständig sein.
  • Es muss sichergestellt werden, dass angemessene Ressourcen für die Reaktionsplanung und -vorbereitung bereitgestellt werden.
  • Diese Verantwortlichkeit liegt in der Regel bei der/dem IT-Sicherheitsbeauftragten.

16.1.1.2 Verantwortlicher für Überwachung, Erkennung, Analyse und Meldung von Informationssicherheitsereignissen und -vorfällen

  • Diese Rolle wird in der Regel von der/dem IT-Sicherheitsbeauftragten oder einem Mitglied des Incident Response Teams übernommen werden.
  • Die/der Verantwortliche ist für die Einrichtung von Überwachungssystemen, die Erkennung und Analyse von Sicherheitsereignissen sowie die Meldung von Vorfällen an zuständige Stellen verantwortlich.
  • Es wird sichergestellt, dass angemessene Protokolle und Verfahren zur Meldung von Vorfällen implementiert werden.

16.1.1.3 Verantwortlicher für die Protokollierung der Tätigkeiten bei der Handhabung von Vorfällen

  • Diese Rolle wird in der Regel von der/dem IT-Sicherheitsbeauftragten oder einem Mitglied des Incident Response Teams übernommen werden.
  • Der Verantwortliche mus sicherstellen, dass alle Aktivitäten im Zusammenhang mit der Handhabung von Vorfällen angemessen dokumentiert und protokolliert werden.
  • Sie/er muss sicherstellen, dass die Protokolle genau und umfassend sind, um eine spätere Analyse und Untersuchung zu ermöglichen.

16.1.1.4 Verantwortlicher für den Umgang mit forensischem Beweismaterial

  • Diese Rolle wird in der Regel von der/dem IT-Sicherheitsbeauftragten oder einem Mitglied des Incident Response Teams übernommen werden.
  • Der Verantwortliche ist für die Entwicklung von Verfahren zur Erfassung, Sicherung und Analyse von forensischem Beweismaterial verantwortlich.
  • Es muss sichergestellt werden, dass die Integrität des Beweismaterials gewahrt wird und dass die geltenden rechtlichen Bestimmungen eingehalten werden.

16.1.1.5 Verantwortlicher für Reaktionsverfahren, Eskalation, kontrollierte Wiederherstellung und Kommunikation

  • Diese Rolle wird von der/dem IT-Sicherheitsbeauftragten oder einem Mitglied des Managementteams übernommen.
  • Der Verantwortliche ist für die Entwicklung von Reaktionsverfahren, Eskalationsprozessen, kontrollierter Wiederherstellung und Kommunikation mit relevanten internen und externen Stakeholdern verantwortlich.

16.1.1.6 Fehlender Verantwortlicher

  • Wird das Fehlen eines Verantwortlichen identifiziert, ist eine Klärung zunächst über die/den IT-Sicherheitsbeauftragte*n herbeizuführen. Bei weitere Unsicherheit ist eine Klärung über die Geschäftsleitung herbei zu führen.

16.1.1.7 Verantwortlicher für Überprüfung und Verbesserung der Wirksamkeit der Reaktionsmaßnahmen

  • Diese Rolle wird von der/dem IT-Sicherheitsbeauftragten oder einem Mitglied des Managementteams übernommen.
  • Der Verantwortliche ist für die regelmäßige Überprüfung der Wirksamkeit der Reaktionsmaßnahmen und die Identifizierung von Verbesserungsmöglichkeiten verantwortlich.
  • Er sollte über analytische Fähigkeiten verfügen, um Daten und Informationen zu analysieren und entsprechende Maßnahmen abzuleiten.

Die Handhabung von Informationssicherheitsvorfällen umfasst typischerweise folgende Schritte:

  • Identifizierung: Erkennung von potenziellen Sicherheitsvorfällen durch Überwachungssysteme, Sicherheitsmeldungen, Benutzerberichte oder andere Quellen.

  • Klassifizierung: Bewertung der Art und Schwere des Vorfalls, um die Dringlichkeit der Reaktion und die erforderlichen Ressourcen zu bestimmen.

  • Reaktion: Sofortige Reaktion auf den Vorfall, um die Auswirkungen zu minimieren. Dies kann die Isolierung des betroffenen Systems, die Sperrung von Benutzerkonten, die Deaktivierung von Diensten oder andere geeignete Maßnahmen umfassen. Der genaue Prozess der Meldung ist unter 16.1.2 “Meldung von Informationssicherheitsereignissen” beschrieben.

  • Untersuchung: Eine detaillierte Analyse des Vorfalls, um die Ursachen zu ermitteln, den Umfang der Auswirkungen zu verstehen und mögliche Schwachstellen im Sicherheitssystem zu identifizieren.

  • Benachrichtigung: Information relevanter Parteien, wie zum Beispiel das interne Sicherheitsteam, das Management, betroffene Benutzer oder externe Behörden, je nach Art und Auswirkungen des Vorfalls.

  • Wiederherstellung: Wiederherstellung der betroffenen Systeme oder Dienste auf einen sicheren Zustand. Dies kann die Beseitigung von Schadsoftware, die Wiederherstellung von Daten aus Backups oder die Implementierung von Sicherheitspatches umfassen.

  • Bewertung: Bewertung der Wirksamkeit der durchgeführten Maßnahmen, um zukünftige Verbesserungen zu identifizieren. Dies kann eine Überprüfung von Richtlinien, Verfahren und Sicherheitskontrollen umfassen.

  • Verbesserung: Verbesserungen der Informationssicherheit basieren auf den Erkenntnissen aus der Untersuchung von Sicherheitsvorfällen sowie auf bewährten Verfahren und fortlaufender Risikobewertung. Sie können Maßnahmen wie die Aktualisierung von Sicherheitsrichtlinien, Schulungen der Mitarbeiter, die Stärkung der Zugangskontrollen, die Implementierung neuer Sicherheitstechnologien oder die Durchführung von Penetrationstests umfassen. Der Zweck dieser Verbesserungen besteht darin, die Widerstandsfähigkeit des Sicherheitssystems zu erhöhen, potenzielle Schwachstellen zu beseitigen und die Sicherheit der Informationen und Systeme langfristig zu gewährleisten.

  • Schulung: Es ist sicher zu stellen, dass alle betroffenen Mitarbeiter*innen in der Lage sind, den Kommunikationsplan effektiv umzusetzen. Es obliegt der/dem IT-Sicherheitsbeauftragten das sicher zu stellen. Er/Sie bietet Schulungen und Schulungsmaterialien an, um sicherzustellen, dass jeder weiß, was zu tun ist, wenn eine Sicherheitsverletzung auftritt.

Last updated: May 29, 2023
Bearbeiten