M 6.59 Festlegung von Verantwortlichkeiten bei Sicherheitsvorfällen
Verantwortlich für Initiierung: Behörden-/Unternehmensleitung, IT-
Sicherheitsmanagement
Verantwortlich für Umsetzung: IT-Sicherheitsmanagement
Um die Verantwortlichkeiten zur Behandlung von Sicherheitsvorfällen festzulegen, bietet es sich an,
sich am imaginären zeitlichen Ablauf eines Sicherheitsvorfalls zu orientieren. Für die handelnden
Personengruppen ist dabei festzulegen, welche Aufgaben und Kompetenzen sie haben und auf welche Art sie
verpflichtet bzw. unterrichtet werden. Beispielhaft soll dies für einige der typischerweise betroffenen
Gruppen beschrieben werden.
IT-Benutzer
Aufgabe:
Sobald IT-Benutzer eine sicherheitsrelevante Unregelmäßigkeit bemerken, müssen sie die
entsprechenden Verhaltensregeln einhalten und die Unregelmäßigkeit melden.
Kompetenz:
IT-Benutzer müssen entscheiden, welcher Meldeweg in dem vorliegenden Fall einzuschlagen ist (vgl.
M 6.60
Untersuchung und Bewertung eines Sicherheitsvorfalls).
Verpflichtung / Unterrichtung:
Jeder IT-Benutzer sollte über die Sicherheitsleitlinie des Hauses verpflichtet werden, sicherheitsrelevante
Unregelmäßigkeiten zu melden. Darüber hinaus sollten alle Benutzer schriftliche
Handlungsanweisungen ausgehändigt bekommen, wie sie sich zu verhalten haben und an wen welche
Vorfälle zu melden sind.
IT-Administrator
Aufgabe:
Der IT-Administrator erhält in diesem Zusammenhang die Aufgabe, Meldungen über
sicherheitsrelevante Unregelmäßigkeiten, die mit den von ihm betreuten IT-Systemen verbunden sind,
entgegenzunehmen. Anschließend hat er zu entscheiden, ob er selbst diese Unregelmäßigkeit
behebt oder ob er die nächst höhere Eskalationsebene zu unterrichten hat.
Kompetenz:
Ein Administrator muss entscheiden können, ob ein Sicherheitsproblem vorliegt, ob er dieses
eigenverantwortlich beheben kann, ob er sofort andere Personen hinzuzieht (entsprechend dem Eskalationsplan)
und wen er informiert.
Verpflichtung / Unterrichtung:
Dies sollte in der Stellenbeschreibung und im Konzept zur Behandlung von Sicherheitsvorfällen festgelegt
werden.
IT-Sicherheitsbeauftragter / IT-Sicherheitsmanagement
Aufgabe:
Der IT-Sicherheitsbeauftragte nimmt Meldungen über Sicherheitsvorfälle entgegen. Er führt die
Untersuchung und Bewertung des Vorfalls durch. Er wählt notwendige Maßnahmen aus und
veranlasst deren Umsetzung, soweit dies nicht seinen Kompetenzbereich überschreitet. Bei Bedarf ruft er
ein Sicherheitsvorfall-Team zusammen bzw. unterrichtet zur Eskalation die Leitungsebene.
Kompetenz:
Er ist befugt, die Bewertung eines Sicherheitsvorfalls durchzuführen, einen Vorfall weiter zu eskalieren.
Darüber hinaus sind ihm finanzielle und personelle Ressourcen (z. B. 100.000 DM und 2 Personenmonate)
zugebilligt, die er zur Behebung von Vorfällen selbständig einsetzen darf.
Verpflichtung / Unterrichtung:
Das IT-Sicherheitsmanagement erarbeitet das Konzept zur Behandlung von Sicherheitsvorfällen. Daher
sollten alle IT-Sicherheitsbeauftragten über ihre Aufgaben und Kompetenzen bei der Behandlung von
Sicherheitsvorfällen informiert sein.
IT-Sicherheitsrevision
Aufgabe:
Der IT-Sicherheitsrevision kann die Aufgabe übertragen werden, in Abständen die Wirksamkeit des
Managementsystems für Sicherheitsvorfälle zu prüfen. Darüber hinaus kann sie
beauftragt werden, bei der Nachbereitung von Sicherheitsvorfällen mitzuwirken.
Kompetenz:
In Absprache mit der Leitungsebene können genannte Prüfungen initiiert und durchgeführt
werden.
Verpflichtung / Unterrichtung:
Dies sollte in der Stellenbeschreibung und im Konzept zur Behandlung von Sicherheitsvorfällen festgelegt
werden.
Öffentlichkeitsarbeit / Pressestelle
Aufgabe:
Die Information der Öffentlichkeit sollte bei schwerwiegenden Sicherheitsvorfällen
ausschließlich durch die Pressestelle erfolgen. Dabei sollte der Vorfall nicht beschönigt oder
verharmlost, sondern sachlich dargestellt werden, um keinen Imageverlust bei gegenteiligen Informationen zu
erleiden.
Kompetenz:
Die Pressestelle muss Informationen über den Sicherheitsvorfall zusammen mit den technischen Experten
aufbereiten und mit der Leitungsebene vor der Weitergabe abstimmen.
Verpflichtung / Unterrichtung:
Dies sollte in der Stellenbeschreibung und im Konzept zur Behandlung von Sicherheitsvorfällen festgelegt
werden.
Behörden-/Unternehmensleitung
Aufgabe:
Sie wird bei schwerwiegenden Sicherheitsvorfällen unterrichtet und ggf. mit der Entscheidungsfindung
konfrontiert.
Kompetenz:
Als die die Gesamtverantwortung tragende Stelle kann sie die Verantwortung an oben genannte Gruppen
delegieren. Darüber hinaus kann sie Polizei und Strafverfolgungsbehörden einschalten, wenn der
Verdacht auf kriminelle Handlungen besteht.
Verpflichtung / Unterrichtung:
Die Behörden- bzw. Unternehmensleitung muss dem Konzept zur Behandlung von
Sicherheitsvorfällen und den darauf aufbauenden Eskalationsplänen zustimmen. Dabei wird die
Leitungsebene auch über ihre Rolle bei der Behandlung von Sicherheitsvorfällen unterrichtet.
Sicherheitsvorfall-Team
Neben diesen Gruppen kann es bei einem schwierigen oder schwerwiegenden Sicherheitsvorfall notwendig
sein, zu dessen Behandlung ein Sicherheitsvorfall-Team zeitlich befristet einzuberufen. Dies wird
üblicherweise vom IT-Sicherheitsbeauftragten initiiert, der ggf. die Leitungsebene vorab beteiligt.
Auch wenn das Sicherheitsvorfall-Team nur für einen konkreten Sicherheitsvorfall zusammentritt,
müssen bereits im Vorfeld dessen Mitglieder benannt und in ihre Aufgaben eingewiesen sein, damit die
Reaktion auf den Sicherheitsvorfall schnellstmöglich erfolgen kann. Die Mitglieder des Sicherheitsvorfall-
Teams sollten befugt sein, die ihnen übertragenen Aufgaben eigenverantwortlich durchzuführen. Die
hierzu erforderlichen Regelungen sind schriftlich festzuhalten und von der Behörden- bzw.
Unternehmensleitung zu autorisieren. Insbesondere ist festzulegen, wer die Leitung dieses Teams
übernimmt.
Zu einem Sicherheitsvorfall-Team können (je nach Art des Sicherheitsvorfalls) beispielsweise
gehören:
-
Behörden-/Unternehmensleitung
- IT-Sicherheitsmanagement / IT-Sicherheitsbeauftragter
- Leiter IT
- Pressestelle
- Datenschutzbeauftragter
- Justitiar
- Personalrat/Betriebsrat
Falls es erforderlich ist, müssen weitere Bereiche hinzugezogen werden, wie z. B.
-
die betroffenen Fachabteilungen (Leiter, IT-Verfahrensverantwortlicher),
- IT-Administratoren,
- die Bereiche Beschaffung, Haustechnik, Innerer Dienst, Organisation, Personal und
- Brandschutzbeauftragter.
Es sollte im Vorfeld abgeklärt sein, wie mit der im Rahmen von Sicherheitsvorfällen anfallenden
Mehrarbeit umzugehen ist, also ob die Arbeitszeitregelungen der Behörde bzw. des Unternehmens um
Ausnahmeregelungen für Mehrarbeit, Wochenendarbeit, etc. bei Sicherheitsvorfällen erweitert
werden muss. Darüber hinaus ist auch sicherzustellen, dass dieses Team bei Bedarf auch die
Diensträume außerhalb der regulären Arbeitszeit nutzen kann.
Ergänzende Kontrollfragen:
-
Ist ein Sicherheitsvorfall-Team benannt worden?
- Sind die betroffenen Mitglieder des Teams in ihre Aufgaben eingewiesen worden?
- Wer koordiniert welche Maßnahmen?
- Wann wurde der Aufbau des Katastrophen-Management-Teams zuletzt aktualisiert?
© Copyright by Bundesamt für Sicherheit in der Informationstechnik 2000.