IT-GSHB 2000 - BSI - Untersuchung und Bewertung eines Sicherheitsvorfalls

M 6.63 Untersuchung und Bewertung eines Sicherheitsvorfalls

Verantwortlich für Initiierung: IT-Sicherheitsmanagement

Verantwortlich für Umsetzung: IT-Sicherheitsmanagement, IT-Administrator, IT-Anwendungsverantwortlicher, Sicherheitsvorfall-Team

Nicht jeder Sicherheitsvorfall ist unmittelbar als solcher zu erkennen. Viele Sicherheitsvorfälle, insbesondere wenn es sich um gezielte vorsätzliche Angriffe auf IT-Systeme handelt, fallen erst nach Tagen oder Wochen auf. Oftmals kommt es auch zu Fehlalarmen, z. B. weil Hard- oder Software-Probleme als Infektion mit Computer-Viren fehlinterpretiert werden.

Um jedoch eine sicherheitsrelevante Unregelmäßigkeit untersuchen und bewerten zu können, muss vorausgesetzt werden können, dass bestimmte Vorabfeststellungen schon durchgeführt wurden. Dazu zählen

die Erhebung der vorhandenen IT-Struktur und IT-Vernetzung,
die Erhebung der Ansprechpartner bzw. Benutzer der IT-Systeme,
die Erhebung der IT-Anwendungen auf den jeweiligen IT-Systemen und
die Schutzbedarfsfeststellung der IT-Systeme.

Diese Untersuchungen werden im ersten Schritt der Anwendung des IT-Grundschutzhandbuchs durchgeführt (siehe Kapitel 2.2) und müssten daher dem IT-Sicherheitsmanagement im Ergebnis vorliegen.

Anhand dieser Informationen kann bei einer eingehenden Meldung kurzfristig entschieden werden, welches IT-System mit welchen IT-Anwendungen und mit welchem Schutzbedarf betroffen ist. Gleichzeitig ist bekannt, wer als Ansprechpartner benannt ist und kurzfristig zur Entscheidungsfindung hinzugezogen werden kann.

Stellt sich dabei heraus, dass ein IT-System oder eine IT-Anwendung mit einem hohen Schutzbedarf betroffen ist, so liegt ein Sicherheitsvorfall vor und die festgelegten Schritte zu dessen Behandlung sind einzuleiten. Sind hingegen nur IT-Anwendungen und IT-Systeme mit geringem Schutzbedarf betroffen, kann versucht werden, das Sicherheitsproblem lokal zu beheben.

Zeichnet es sich ab, dass der Sicherheitsvorfall schwerwiegende Folgen haben könnte und eine hinreichend große Komplexität besitzt, kann es sinnvoll sein, das Sicherheitsvorfall-Team (siehe M 6.59 Festlegung von Verantwortlichkeiten bei Sicherheitsvorfällen) kurzfristig einzuberufen.

Zur Untersuchung und Bewertung des Sicherheitsvorfalls sind als Nächstes folgende Einflussfaktoren zu erheben:

Welche IT-Systeme und IT-Anwendungen können von dem Sicherheitsvorfall zusätzlich betroffen sein?
Können Folgeschäden auch durch die Vernetzung der IT-Systeme entstehen?
Für welche IT-Systeme und IT-Anwendungen können Schäden und Folgeschäden ausgeschlossen werden?
Wie hoch kann der durch den Sicherheitsvorfall verursachte direkte Schaden oder Folgeschaden sein? Dabei ist insbesondere die Abhängigkeit der verschiedenen IT-Systeme und IT-Anwendungen zu beachten.
Wodurch wurde der Sicherheitsvorfall ausgelöst (z. B. durch Unachtsamkeit, Angreifer oder Ausfall der Infrastruktur)?
Wann und an welcher Stelle hat sich der Sicherheitsvorfall ereignet? Dies kann auch weit vor der ersten Beobachtung des Sicherheitsvorfalls liegen. Auch bei dieser Untersuchung sind gut geführte Protokolldateien eine wertvolle Hilfe, aber nur, wenn man sich darauf verlassen kann, dass sie nicht manipuliert worden sind.
Sind durch den Sicherheitsvorfall nur interne IT-Benutzer oder auch externe Dritte betroffen?
Wie viele Informationen über den Sicherheitsvorfall sind bereits an die Öffentlichkeit gedrungen?

Stellt sich dabei heraus, dass der Sicherheitsvorfall schwerwiegende Folgen nach sich ziehen kann, ist zumindest die nächste Eskalationsebene zu beteiligen.

Nach dieser Erhebung der Einflussfaktoren sind die Handlungsoptionen zu erarbeiten, die aus Sofortmaßnahmen und ergänzenden Maßnahmen bestehen. Hierbei sind die getroffenen Prioritätenfestlegungen zu beachten (siehe M 6.62 Festlegung von Prioritäten für die Behandlung von Sicherheitsvorfällen). Dazu ist auch die notwendige Zeit für die Durchführung dieser Maßnahmen und die erforderlichen Kosten und Ressourcen für die Problembehebung und Wiederherstellung abzuschätzen.

Übersteigen Schadenshöhe, Zeit und Kosten eine vorbestimmte Grenze, ist vor der Entscheidung über die Maßnahmenauswahl die nächsthöhere Eskalations- und Entscheidungsebene miteinzubeziehen. Im Ergebnis liegen nach einer so strukturierten Untersuchung und Bewertung eines Sicherheitsvorfalls die Handlungsoptionen vor.

Ergänzende Kontrollfragen:

Liegen die erforderlichen Informationen aus der Schutzbedarfsfeststellung den Meldestellen und den nachfolgenden Eskalationsebenen vor?
Sind Hilfsmittel vorhanden, um die Auswertung von Sicherheitsvorfällen technisch zu unterstützen, beispielsweise Tools zur Auswertung von Protokolldaten?