Thomas Aberger, Bettina König, Christoph König und Felix Franke

Richtiger Umgang mit Informationssicherheitsvorfällen

Wir können leider nicht alle Informationssicherheitsvorfälle verhindern, aber wir können den daraus entstehenden Schaden begrenzen und daraus lernen.

Einer der großen Wünsche von Managern ist, dass ihre Mitarbeiter in der Lage sind, fehlerfrei ohne jeden Zwischenfall zu arbeiten. Dies ist jedoch unmöglich, denn die Menschen sind ebenso wenig perfekt wie die Informationstechnologie. Daher können wir davon ausgehen, dass es in jeder Organisation zu Zwischenfällen kommen wird. Deshalb ist es notwendig, einen Mechanismus einzurichten, der es einer Organisation ermöglicht, bereit zu sein, wenn ein Schaden eintritt oder wenn ein Angestellter, ein Auftragnehmer oder ein Kunde eine Schwachstelle in den Systemen oder Diensten entdeckt. Ein gutes ISMS(Informationssicherheitsmanagementsystem) bietet hier Hilfe.

Die wichtigste Maßnahme, um dies zu erreichen, ist die Einrichtung eines Prozesses zur Bewältigung von Informationssicherheitsvorfällen im ISMS. ISO 27000 definiert einen Informationssicherheitsvorfall beziehungsweise ein Informationssicherheitsereignis wie folgt:

Informationssicherheitsereignis (en: information security event)
erkanntes Auftreten eines Zustands eines Systems, Dienstes oder Netzwerks, der eine mögliche Verletzung der Informationssicherheitspolitik oder die Unwirksamkeit von Maßnahmen oder eine vorher nicht bekannte Situation, die sicherheitsrelevant sein kann, anzeigt

Informationssicherheitsvorfall (en: information security incident)
einzelnes ungewolltes oder unerwartetes Informationssicherheitsereignis oder eine Reihe solcher Ereignisse, die eine erhebliche Wahrscheinlichkeit besitzen, Geschäftstätigkeiten zu gefährden und die Informationssicherheit zu bedrohen

Die folgenden Absätze beschreiben die wichtigsten Schritte, um Informationssicherheitsvorfälle in Übereinstimmung mit ISO 27001 (Anhang A.16) zu managen. Weitere hilfreiche Hinweise für den richtigen Umgang mit Informationssicherheitsvorfällen liefert die ISO/IEC 27002 im Kapitel 16. Bevor der Prozess gelebt werden kann, müssen Verantwortlichkeiten für Informationssicherheitsvorfälle und das Verfahren definiert werden, über das Informationssicherheitsereignisse, Schwächen und Informationssicherheitsvorfälle gemeldet werden können.

5 Schritte zur Behandlung von Informationssicherheitsvorfällen

Die Bewältigung von Informationssicherheitsvorfällen basiert auf folgenden Schritten:

Schritt 1: Meldung des Informationssicherheitsereignisses beziehungsweise einer Schwachstelle:

Eine Person stellt ein Informationssicherheitsereignis oder eine Schwachstelle fest, und meldet diese nach einem festgelegtem Kommunikationsverfahren (normalerweise eine E-Mail, ein Telefonanruf, ein Software-Tool usw.). Das praxisorientierte TISAX® fordert hier eine schriftliche Richtlinie, die zum Beispiel den Meldeweg und das Meldeformular festlegt.

Schritt 2: Klassifizierung des Informationssicherheitsereignisses:

Das Ereignis wird basierend von verschiedenen Parametern klassifiziert. Die Person, die den Fall entdeckt, kann eine Klassifizierung vorschlagen – verantwortlich ist aber ein entsprechend geschulter Experte, zum Beispiel der Informationssicherheitsbeauftragte. Er entscheidet, ob ein Ereignis als Informationssicherheitsvorfall eingestuft wird.

Es gibt anschließend viele Möglichkeiten, Informationssicherheitsvorfälle zu klassifizieren, üblich ist die Berücksichtigung von zwei Parametern:

  • Auswirkung: Schaden für das Unternehmen (in wirtschaftlicher Hinsicht, Image usw.)
  • Dringlichkeit: Geschwindigkeit, mit der die Organisation den Informationssicherheitsvorfall korrigieren muss

Die Schnittmenge dieser Parameter ermöglicht es, die Priorität jedes Informationssicherheitsvorfalls zu bestimmen, so dass Sie auf diese Weise z.B. die folgende Wertetabelle erstellen können:

Auswirkung:hochmittelnieder
hohe Dringlichkeit123
mittlere Dringlichkeit234
nieder Dringlichkeit345

Beispiel für Bewertungstabelle für Informationssicherheitsvorfällen

Informationssicherheitsvorfälle mit dem Wert 1 sind also kritisch, weil die Dringlichkeit und die Auswirkungen hoch sind, so dass sie vor den anderen Informationssicherheitsvorfällen mit den Werten 2, 3, 4 oder 5 gelöst werden müssen (dies ist die richtige Reihenfolge, um Informationssicherheitsvorfälle zu lösen).

Schritt 3: Behandlung des Informationssicherheitsvorfalls:

Sobald das Vorkommnis klassifiziert ist und der Schweregrad und die für seine Lösung notwendige Zeit bekannt sind, muss ein technischer Experte über die notwendigen Maßnahmen zur Lösung des Informationssicherheitsvorfalls entscheiden. Dies soll gemäß einer Empfehlung aus ISO 27002 auf Grund eines vorher festgelegten, dokumentierten Verfahrens erfolgen.
Als Teil der Behandlung müssen eventuell auch Meldungen an Geschäftspartner oder Behörden erfolgen. Sobald der Informationssicherheitsvorfall gelöst ist, wird die Person, die den Informationssicherheitsvorfall zuerst gemeldet hat, darüber informiert, dass der Informationssicherheitsvorfall abgeschlossen wurde.

Schritt 4: Sammeln von Unterlagen und Beweismaterial:

Es ist wichtig, charakteristische Merkmale eines Informationssicherheitsvorfalls (Fehlersignaturen) ebenso aufzuzeichnen wie die Behandlungsschritte. Alle Informationen, die während der Behandlung des Informationssicherheitsvorfalls generiert wurden, sind als Beweismaterial abzuspeichern. Stellen Sie sich vor, ein Benutzer aktualisiert ein System und danach tritt ein Problem auf, das in einer Anwendung ein Update erfordert. Dann öffnet der Benutzer einen Informationssicherheitsvorfall, und der Informationssicherheitsvorfall wird gelöst und geschlossen. Die Informationen, die zur Lösung des Informationssicherheitsvorfalls generiert werden, werden aufgezeichnet, so dass die Organisation, falls das Problem in Zukunft erneut auftritt, die funktionierende Lösung hat, ohne Zeit verschwenden zu müssen.

Schritt 5: Wiederauftreten verhindern:

Noch besser ist es natürlich, das Widerauftreten des Fehlers durch entsprechende Informationen oder Verfahren zu verhindern.
Die aus der Analyse und Lösung der Informationssicherheitsvorfälle gewonnen Erkenntnisse sollen dazu genutzt werden, die Eintrittswahrscheinlichkeit oder die Auswirkungen zukünftiger Informationssicherheitsvorfälle zu verringern. Dabei muss über den Tellerrand geblickt werden. Notwendig ist ein proaktives Problem Management. Dabei handelt es sich um eine fortwährende Aktivität, mit der Fehlerquellen identifiziert werden sollen, so dass potenziell daraus resultierende Informationssicherheitsvorfälle erst gar nicht eintreten (siehe auch ITIL Problem Management). Sinnvolle Fragestellungen sind dabei:

  • Könnte das Problem in ähnlicher Form wo anders auftreten?
  • Gibt es ein tiefer liegendes Problem (zum Beispiel mangelnde Ausbildung, unklare Zuständigkeiten, fehlende Awareness, …)?
  • Sind unterstützende technische Lösungen sinnvoll (zum Beispiel Passworttool, Alarmsysteme, …)

Regelmäßige Analysen dienen dazu, wiederkehrende Problemschwerpunkte zu erkennen, auch wenn die Auswirkungen des einzelnen Falls gering sind. Typische Aktionen sind Prozessverbesserungen, Mitarbeiterschulungen, Softwareupdates oder der Einsatz technischer Lösungen.

Werkzeuge

Auf dem Markt gibt es viele Instrumente zur Bewältigung von Informationssicherheitsvorfälle. Es ist jedoch gemäß ISO/IEC 27001 nicht zwingend erforderlich, dass eine Organisation ein bestimmtes Software-Tool (Ticketsystem) für die Verwaltung von Informationssicherheitsvorfällen verwendet. Es ist ebenso erlaubt, zum Beispiel eine Office-Vorlage zu verwenden, um alle Informationssicherheitsvorfälle zu registrieren und den Status jedes einzelnen zu kontrollieren. Ein Software-Tool kann nützlich sein, aber wenn es nur wenige Informationssicherheitsvorfälle gibt, ist Excel auch eine gute Option.

Prozessdefinition

Sie können von den Erfahrungen anderer Unternehmen profitieren, in dem Sie bewährte Prozesse übernehmen. Die König Consult GmbH unterstützt dabei mit praxiserprobten Prozessbeschreibungen, Standarddokumenten und Erfahrungen. Dabei hat es sich herausgestellt, dass eine automatische Berücksichtigung von verwendeten Technologien oder Dienstleistungen (z.B. Cloud) hilfreich ist.
Insbesondere die Vorgaben für Mitarbeiter und Lieferanten sollten einfach verständlich und umsetzbar sein. Diese sind dann einfacher vermittelbar und werden besser akzeptiert.