M 6.68 Effizienzprüfung des Managementsystems zur Behandlung von Sicherheitsvorfällen

Verantwortlich für Initiierung: IT-Sicherheitsmanagement

Verantwortlich für Umsetzung: IT-Sicherheitsmanagement, IT-Sicherheitsrevision

Das Managementsystem zur Behandlung von Sicherheitsvorfällen muss regelmäßig auf seine Aktualität und Wirksamkeit geprüft werden. Daneben sollten auch die darin formulierten Maßnahmen regelmäßig daraufhin getestet werden, ob sie

• den betroffenen Mitarbeitern bekannt sind,
• unter Stress umsetzbar sind, also auch bei einem Sicherheitsvorfall, der einen ungeordnet ablaufenden Betrieb zur Folge hat, und
• in den Betriebsablauf integrierbar sind.

Um die Wirksamkeit zu testen, sollte durch simulierte Schadensereignisse überprüft werden, ob der festgelegte Handlungsablauf eingehalten wird bzw. überhaupt eingehalten werden kann. Ist er das nicht, müssen entsprechende Änderungen eingebracht werden.

Dazu könnten sowohl angekündigte als auch unangekündigte Übungen durchgeführt werden.

Bei allen unangekündigten Übungen dürfen auf keinen Fall irgendwelche Aktionen ausgelöst werden, die zu irgendeinem nicht oder nur schwer behebbaren Schaden an IT-Systemen, Daten oder sonstigem führen können.

Sehr genau sollte vor dem Beginn jeder Übung überlegt werden, wer alles vorab darüber informiert wird. Es ist immer unbedingt sicherzustellen, dass die Übung durch die Behörden- bzw. Unternehmensleitung autorisiert ist. Manchmal kann es nützlich sein, bestimmte Personengruppen nicht zu informieren, z. B. die Pförtner oder die Administratoren. Es sollte aber sichergestellt sein, dass dabei die Situation unter Kontrolle bleibt. Es sollte also vermieden werden, dass z. B. Polizei oder Feuerwehr alarmiert oder alle Netzverbindungen der Behörde bzw. des Unternehmens gekappt werden.

Beispiele:

• Rufen Sie bei der Telefonzentrale ihres Unternehmens bzw. Behörde an und geben Sie sich als Hacker aus, der in das interne Netz eingebrochen ist. Wahlweise kann man sich auch als Journalist ausgeben, der darüber informiert sein will, dass ein Hacker ins interne Netz eingebrochen ist und sensitive Daten kopiert hat. Es können auch solche Mitarbeiter angerufen werden, an die typischerweise in solchen Fällen verwiesen wird, also beispielsweise der Pressesprecher oder der Leiter IT. Bei einem solchen Anruf sollte sich zeigen, ob intern Panik ausbricht oder ob gezielt die Aktionen eingeleitet werden, die in einem solchen Fall adäquat wären.
• An einem beliebigen Tag könnten alle bei einer Computer-Viren-Infektion durchzuführenden Handlungen und Meldewege getestet werden. Hierbei müssen nicht unbedingt alle Beteiligten vorher informiert werden, spätestens aber in dem Moment, wo sie in die Handlungskette integriert werden.

• Welche Übungen wurden zuletzt durchgeführt?
• Werden Übungen vorher mit der Leitungsebene abgestimmt?

© Copyright by Bundesamt für Sicherheit in der Informationstechnik 2000.