M 6.61 Eskalationsstrategie für Sicherheitsvorfälle

Verantwortlich für Initiierung: Behörden-/Unternehmensleitung, IT- Sicherheitsmanagement

Verantwortlich für Umsetzung: IT-Sicherheitsmanagement

Nachdem die Verantwortlichkeiten für Sicherheitsvorfälle geregelt sind (siehe M 6.59 Festlegung von Verantwortlichkeiten bei Sicherheitsvorfällen) und die Verhaltensregeln und Meldewege allen Betroffenen bekanntgegeben worden sind (siehe M 6.60 Verhaltensregeln und Meldewege bei Sicherheitsvorfällen), ist als Nächstes zu regeln, wie mit eingegangenen Meldungen weiter verfahren wird.

Derjenige, der eine Meldung über einen Sicherheitsvorfall erhalten hat, muss diesen zunächst untersuchen und bewerten (siehe auch M 6.63 ). Falls es sich tatsächlich um einen Sicherheitsvorfall handelt, müssen weitere Maßnahmen ergriffen werden. Dabei stellen sich folgende Fragen:

• Wer ist im Fall einer Eskalation, also der Ausweitung der Aktionskette, zu unterrichten?
• In welchen Fällen ist eine sofortige Eskalation vorzunehmen?
• Unter welchen Umständen ist ansonsten eine Eskalation durchzuführen?
• Wann wird diese Eskalation vorgenommen (sofort, am nächsten Tag, am nächsten Werktag)?
• Über welche Medien wird die Meldung weitergegeben?

Die Antworten zu diesen Fragen sind in einer Eskalationsstrategie festzulegen und bekanntzugeben. Die Eskalationsstrategie kann in drei Schritten erstellt werden:

Wer für die Behandlung von Sicherheitsvorfällen verantwortlich ist, wurde in Maßnahme M 6.59 Festlegung von Verantwortlichkeiten bei Sicherheitsvorfällen festgelegt. In der Festlegung des Eskalationsweges ist zu definieren, wer an wen eine Meldung weitergibt. Dies lässt sich in einfacher Weise durch einen gerichteten Graphen veranschaulichen. Dabei sollten sowohl die regulären Eskalationswege als auch der Vertretungsfall berücksichtigt werden.

Beispiel:

In diesem Schritt ist zunächst festzulegen, in welchen Fällen eine sofortige Eskalation ohne weitere Untersuchungen und Bewertungen durchgeführt werden sollte. Ein Beispiel für eine tabellarische Aufstellung ist:

Anschließend ist für die restlichen Fälle vorzugeben, wann eine Eskalation stattzufinden hat. Gründe dafür können sein:

• Die zu erwartende Schadenshöhe übertrifft den Verantwortungsbereich der Stelle, die die Meldung entgegengenommen hat.
• Die Kosten und Ressourcen für die Schadensregulierung übertreffen deren Kompetenzbereich.
• Die Komplexität des Sicherheitsvorfalls übersteigt deren Kompetenz- bzw. Zuständigkeitsbereich.

Hierbei ist festzulegen, auf welche Weise die jeweils nächste Stelle in der Eskalationskette unterrichtet werden soll. Möglichkeiten dazu sind:

• persönliche Vorsprache
• schriftlicher Bericht
• E-Mail
• Telefon, Handy
• Bote mit verschlossenem Umschlag

Ebenso ist festzulegen, wann diese Meldung weitergegeben wird. Beispiele sind:

• bei Ereignissen, die eine sofortige Weitergabe erfordern: sofort innerhalb einer Stunde.
• bei Ereignissen, die Sofortmaßnahmen erforden: sofort innerhalb einer Stunde.
• bei Ereignissen, die zwar beherrscht werden, aber einer Unterrichtung der nächsten Eskalationsstufe erfordern: am nächsten Werktag.

Diese Eskalationsstrategie sollten alle möglichen Empfänger von Meldungen über Sicherheitsvorfälle erhalten, um zügige Reaktionen zu ermöglichen.

Zur Eindämmung eines Sicherheitsvorfalls ist im Allgemeinen kurzfristiges Handeln erforderlich. Eventuell müssen Mitarbeiter aus anderen Projekten abgerufen oder auch außerhalb der Arbeitszeit herangezogen werden. Daher muss auch geregelt sein, wie mit der anfallenden Mehrarbeit umzugehen und wie eine Rufbereitschaft geregelt ist (siehe auch M 6.59 Festlegung von Verantwortlichkeiten bei Sicherheitsvorfällen).

• Wann wurde die Eskalationsstrategie letztmalig aktualisiert?
• Wurden die Eskalationswege in Übungen erprobt?

© Copyright by Bundesamt für Sicherheit in der Informationstechnik 2000.