M 6.65 Benachrichtigung betroffener Stellen

Verantwortlich für Initiierung: IT-Sicherheitsmanagement

Verantwortlich für Umsetzung: IT-Sicherheitsmanagement, Leiter IT, Administrator, Pressestelle

Wenn ein Sicherheitsvorfall eingetreten ist, müssen alle davon betroffenen internen und externen Stellen darüber informiert werden. Dies sind insbesondere diejenigen Stellen, die direkt durch den Sicherheitsvorfall Schäden erleiden könnten, Gegenmaßnahmen ergreifen müssen oder solche, die Informationen über Sicherheitsvorfälle aufbereiten und bei der Vorbeugung oder Behebung helfen können. Bei Bedarf sollte auch die Öffentlichkeit aufgeklärt werden, insbesondere wenn schon Informationen durchgesickert sind.

Hierzu muss individuell für den Sicherheitsvorfall ein klares Konzept entwickelt werden, wer durch wen in welcher Reihenfolge in welcher Tiefe informiert wird. Dazu muss sichergestellt sein, dass Auskünfte über den Sicherheitsvorfall ausschließlich durch benannte Verantwortliche, wie zum Beispiel das IT- Sicherheitsmanagement oder die Pressestelle, gegeben werden.

Wer Informationen in welchem Detaillierungsgrad erhält, hängt natürlich insbesondere vom fachlichen Hintergrund ab. Es sollten keine falschen oder schöngefärbten Informationen weitergegeben werden, da dies zu Verwirrung, Fehleinschätzungen und Imageverlust führen kann.

Beispielhaft soll nachfolgend aufgezeigt werden, welche Stellen typischerweise über welche Inhalte aufgeklärt werden:

Interne Stellen

Besteht noch Unklarheit darüber, ob ein Sicherheitsvorfall vorliegt oder wie schwerwiegend er ist, sollten die potentiell betroffenen internen Kräfte gebeten werden, ihre Arbeitsbereiche auf Unregelmäßigkeiten zu prüfen.

Sind die erforderlichen Gegenmaßnahmen bei einem Sicherheitsvorfall bekannt, müssen die betroffenen internen Stellen kurzfristig darüber informiert werden, was sie tun müssen, um die Auswirkungen eines Sicherheitsvorfalls zu minimieren oder um den sicheren Zustand wiederherzustellen.

Zu berücksichtigen sind dabei u. a. folgende Gruppen:

• Leiter IT
• Leiter von betroffenen Fachabteilungen,
• IT-Benutzer,
• IT-Administratoren,
• IT-Benutzerservice,
• Haustechnik
• Überwachungspersonal,
• interne Sicherheitskräfte und
• Pförtner.

Externe Stellen

Falls der Sicherheitsvorfall nicht intern begrenzt ist, sollten alle externen Stellen, die ebenfalls betroffen sind oder sein können, darüber informiert werden, welches Sicherheitsproblem aufgetreten ist, welche Gegenmaßnahmen notwendig sind und wie die Auswirkungen eingedämmt werden können.

Sollte diese Informationsweitergabe nicht erfolgen, kann dies im Falle des Bekanntwerdens eine weitere konstruktive Zusammenarbeit nachhaltig schädigen und ein bestehendes Vertrauensverhältnis beeinträchtigen.

Zu berücksichtigen sind dabei folgende Gruppen:

• Kunden,
• Lieferanten,
• freie Mitarbeiter,
• Subunternehmen,
• IT-Service-Dienstleister,
• Stellen, zu denen Kommunikationsverbindungen existieren,
• Software-Entwicklungsunternehmen und
• Netzbetreiber.

Je nach Art des Vorfalls kann es außerdem notwendig sein, die Polizei bzw. einen Rechtsbeistand hinzuzuziehen.

Öffentlichkeit

Bei größeren oder komplexeren Sicherheitsvorfällen kann es notwendig sein, die Öffentlichkeit aufzuklären. Alle Pressekontakte sollten hierbei ausschließlich über den Pressesprecher laufen. Dazu ist sicherzustellen, dass der Pressesprecher über den Sicherheitsvorfall, über Schadenshöhe und erforderliche Gegenmaßnahmen und über benachrichtigte Stellen ausreichend vorab informiert wird.

Die Informationen für die Öffentlichkeit sollten jedoch so weit abstrahiert werden, dass keine Nachahmer animiert werden.

Bei allen Personen, die Informationen über Sicherheitsvorfälle einholen wollen, ist es wichtig, deren Identität zu überprüfen, damit sich der Angreifer nicht über den Erfolg seiner Attacke auf dem Laufenden halten kann.

IT-Sicherheitsgemeinde

Ist der Sicherheitsvorfall auf eine noch nicht bekannte Sicherheitslücke zurückzuführen, sollte diese Erkenntnis nicht verheimlicht, sondern an weitere Stellen geleitet werden, damit vor der Sicherheitslücke gewarnt wird und Gegenmaßnahmen entwickelt werden können. Als Adressaten kommen dabei typischerweise folgende Stellen in Betracht:

• Hersteller des Computer-Viren-Suchprogramms, wenn der Verdacht besteht, dass ein neuartiger Computer-Virus IT-Systeme infiziert hat, aber der Viren-Scanner diesen nicht erkennt,
• Hersteller des Betriebssystems oder der Applikationssoftware, falls die Sicherheitslücke darin aufgetreten ist,
• Computer Emergency Response Team (CERT, siehe auch M 2.35 Informationsbeschaffung über Sicherheitslücken des Systems), wenn der Sicherheitsvorfall auf system- oder applikationsspezifischen Sicherheitslücken beruht,
• IT-Sicherheitsfachpresse oder
• für IT-Sicherheit zuständige öffentliche Stellen wie das BSI.

Beispiel:

Es wurde bemerkt, dass sporadisch Daten auf PCs manipuliert oder unauffindbar waren. Nach Meldung und anschließender Untersuchung stellte sich heraus, dass ein bislang unbekannter Makro-Virus aufgetreten ist. Dieser Virus verbreitet sich über an E-Mail angehängte Dateien. In diesem Fall sollten folgende Stellen umgehend benachrichtigt werden:

• Leiter IT,
• IT-Benutzer,
• IT-Administratoren,
• IT-Benutzerservice,
• sämtliche Stellen, mit denen seit dem ersten Auftreten des Computer-Virus Daten ausgetauscht wurden,
• Hersteller des Computer-Viren-Suchprogramms, da der Viren-Scanner diesen nicht erkannt hat,
• ein Computer Emergency Response Team.

• Wer gibt Informationen über Sicherheitsvorfälle an Dritte weiter?
• Wie wird sichergestellt, dass keine unautorisierte Person Informationen über den Sicherheitsvorfall weitergibt?

© Copyright by Bundesamt für Sicherheit in der Informationstechnik 2000.