Informationssicherheitsereignis und Informationssicherheitsvorfall
Eine bereits für das Planungsstadium relevante Unterscheidung ist die zwischen Ereignissen und Vorfällen.
- Unter einem Informationssicherheitsereignis versteht man jeden Vorgang, der Auswirkungen im Bereich der Informationssicherheit haben kann und bei dem die Möglichkeit besteht, dass gegen die eigenen Regelungen im Bereich der Informationssicherheit verstoßen wird oder aber Integrität, Vertraulichkeit oder Verfügbarkeit beeinträchtigt werden. Ein Beispiel wäre etwa das Update der Firmware einer Firewall oder eine Konfigurationsänderung bzw. der Anschluss eines ganz neuen Gerätes.
- Beim Informationssicherheitsvorfall dagegen sind tatsächlich unerwünschte oder unvorhergesehene Ereignisse erfolgt und haben negative Auswirkungen auf die Informationssicherheit und/oder die Geschäftstätigkeit. Beispiele wären der Ausfall von Infrastruktur, ein erfolgreicher Cyberangriff oder auch nur der simple Verlust von Notebook, Smartphone oder sonst einem Datenträger. Neben solchen Ereignissen könnte aber auch beispielsweise der undichte Tank einer Netzersatzanlage eine Rolle spielen oder ein defekter Feuchtigkeitsmelder im Serverraum.
Das Ereignis ist der Oberbegriff. Ereignisse sollten jedenfalls nicht unbemerkt bleiben. Im hier relevanten Sinn müssen aber nur Vorfälle gemanagt werden. Auf diese muss reagiert und der Vorgang muss aufgeklärt werden. Entscheidend ist die korrekte Weichenstellung: Was ist lediglich ein Ereignis und wann wird daraus ein Vorfall?
Rollen und Verantwortlichkeiten
Wie in sämtlichen anderen relevanten Bereichen, muss auch hier von Anfang an feststehen und kommuniziert sein, wer welche Rollen und Zuständigkeiten besitzt.
Hierbei muss nicht nur darauf geachtet werden, dass persönlich und fachlich geeignete Personen zur Behandlung eines Vorfalls eingesetzt sind. Entscheidend ist auch, dass eine geeignete Stelle geschaffen wird, die Meldungen entgegennimmt, diese Meldungen zumindest vorläufig aufbereitet und den Vorfall dann wie vorgesehen eskaliert und ggf. die vorgesehenen Personen und Stellen einbezieht. Typischerweise werden der Informationssicherheits-Beauftragte, IT-Verantwortliche sowie gegebenenfalls der Datenschutzbeauftragte einbezogen. Es kann aber auch notwendig sein, weitere Verantwortliche, Entscheidungsträger oder das Top-Management einzubinden. Möglicherweise sind auch externe Stellen zu beteiligen, etwa Strafverfolgungsbehörden oder Aufsichtsbehörden.
Die benannten Stellen arbeiten je nach Vorfall ggf. auch in ebenfalls möglichst bereits vorbestimmten Teams (z.B. Notfallteam, Krisenstab) zusammen, in die nach Bedarf auch weitere Personen oder Stellen aufgenommen werden können.
Entscheidend ist, dass alle Rollen und Verantwortlichkeiten bereits im Vorfeld identifiziert und dokumentiert sind, um im Falle eines Falles unverzüglich reagieren zu können. Dann müssen alle Rollen mit einer eindeutig bestimmten und geeigneten Person besetzt werden. Notwendiges Fachwissen muss vorhanden sein oder vermittelt werden und wohlmöglich auch von Zeit zu Zeit aufgefrischt.
Wie soll auf Sicherheitsvorfälle reagiert werden?
Das Verfahren, nach dem ein Sicherheitsvorfall behandelt wird, muss dringend vorab festgelegt sein. Sich erst im Notfall Gedanken zu machen, ist zu spät.
Es müssen bei der Planung alle Phasen berücksichtigt werden, also Vorbereitung, Durchführung und Nachbereitung. Ebenso sollte nach Möglichkeit für verschiedene Szenarien jeweils ein passendes Verfahren abgebildet sein, in dem die Schwere eines Vorfalls und die gebotene Reaktionszeit berücksichtigt ist.
Organisationen müssen hierzu Prioritäten festgelegen und die Kriterien zur korrekten Einordnung eines Vorfalls an alle möglichen Beteiligten kommunizieren. Im Grunde sollte jeder Mitarbeiter erkennen können, was eine kleinere Störung und was ein echter Notfall ist, und dann jeweils wissen, was zu tun ist.
Im Einzelnen sollten Organisationen festlegen:
- Die Quellen, aus denen sich Ereignisse erkennen lassen (automatisches Monitoring, Beobachtungen durch Mitarbeiter, Alarmauslösung etc.)
- Meldewege und notwendige Inhalte einer Meldung
- Klare Kriterien zur Bewertung von Ereignissen entsprechend vordefinierter Stufen bzw. Prioritäten
- Erstmaßnahmen und Eskalation entsprechend der Bewertung
- Analyse des Vorfalls, ggf. inklusive Beweissicherung
- Vollständige Behandlung des Vorfalls, dies kann neben der eigentlichen Behebung der Störung auch etwa das Inkrafttreten von Notfallplänen beinhalten.
- Einbeziehung externer Experten
- Kommunikation des Vorfalls (intern/extern, z.B. Behörden, Versicherungen, Öffentlichkeit/Presse, Lieferanten, Kunden und Geschäftspartner)
- Ursachenanalyse und Nachbereitung
- Dokumentation aller Phasen und Schritte
Besonderes Augenmerk: Meldeverfahren
Als Grundvoraussetzung, um Sicherheitsvorfälle korrekt zu behandeln, müssen diese bekannt und gemeldet werden. Während man von Fachverantwortlichen in der Regel davon ausgehen kann, dass diese die notwendige Fachkunde besitzen, um angemessen zu reagieren, darf man dies bei allen potentiellen Meldern nicht selbstverständlich voraussetzen. Um möglichst alle Mitarbeiter in die Lage zu versetzen, mögliche Sicherheitsvorfälle zu erkennen und auf diese korrekt zu reagieren, müssen entsprechende Vorgaben bestehen und Schulungen durchgeführt werden; je nachdem auch wiederholt.
Organisationen sollten große Sorgfalt darauf legen, die Erstattung von Meldungen so einfach und klar wie nur irgend möglich auszugestalten. So kann etwa der Einsatz von Formularen sowohl für die meldende Person als auch für den Empfänger einer Meldung sehr hilfreich sein, damit alle benötigten Informationen auch tatsächlich erfasst werden – insbesondere in Stresssituationen. Zu bedenken ist auch, dass neben Möglichkeit, eine Meldung abzugeben auch ganz entscheidend ist, dass diese innerhalb der gebotenen Zeit auch entgegengenommen wird. Die Einrichtung von zentralen und laufend besetzten Meldestellen kann unter Umständen notwendig werden.
Fazit: Handeln, bevor es zu spät ist.
Ein geregeltes Verfahren zur Behandlung eines Informationssicherheitsvorfalls ist nach der Norm ISO 27002 unverzichtbarer Bestandteil jedes ISMS. Unabhängig davon ist jede Organisation gut beraten, sich auf Störungen und Notfälle angemessen vorzubereiten. Das Management selbst sollte hieran ein ureigenstes Interesse haben, um sich nicht plötzlich einer Haftung ausgesetzt zu sehen.
Gegebenenfalls mit externer Unterstützung sollten die Prozesse der eigenen Organisation unter dem Blickwinkel beleuchtet werden, welche Störung welche Auswirkungen auf den Betrieb haben kann und mit welcher Priorität dementsprechend gehandelt werden muss. Eine gewissenhafte Erörterung nicht nur direkter Zusammenhänge, sondern gegebenenfalls auch von Wechselwirkungen, ist hierfür notwendig. Etwas Fantasie, was alles passieren kann, ist notwendig. Auf den gesammelten Erkenntnissen aufbauend muss dann ein praktikabler Weg gefunden werden, mit den entsprechenden Meldungen angemessen umzugehen.
Zum Abschluss wollen wir auch nicht verschweigen, dass der Handlungsdruck auch aus anderen Gründen steigt und hierzu sowohl an die allgemeinen Vorgaben des Datenschutzes (Meldung von Datenpannen) erinnern als auch an die Verschärfungen im Zusammenhang mit NIS2.