ISO 27002 - Kapitel 6.8 Meldung von Informationssicherheits-Ereignissen

Um welche Informationssicherheits-Ereignisse geht es?

Nicht alle Vorfälle sind so eindeutig und werden dementsprechend zuverlässig gemeldet, wie Rauch aus dem Serverraum oder die freundliche Mitteilung eines Angreifers, dass diverse Daten verschlüsselt wurden.

Viele Ereignisse sind deutlich niederschwelliger und oft ist gar nicht klar, ob es im Ergebnis tatsächlich zu einer Beeinträchtigung der Informationssicherheit kommt. Organisationen müssen dennoch sicherstellen, auch von nur möglichen Vorfällen rechtzeitig Kenntnis zu erhalten, um die gegebenenfalls notwendigen Gegenmaßnahmen zu ergreifen.

Das häufig wesentliche Problem beim Aufbau eines geeigneten Prozesses ist daher, die möglicherweise relevanten Vorfälle für die Belegschaft greifbar zu machen.

Wer muss wofür sensibilisiert werden?

Organisation stehen in der Verantwortung, sämtliche Personen hinsichtlich der Erkennung von möglichen Sicherheitsereignissen zu schulen und zu sensibilisieren, die mit solchen Ereignissen innerhalb des eigenen Herrschaftsbereichs in Berührung kommen können.

Das möglicherweise sicherheitsrelevante Ereignis muss als allererstes einmal als solches erkannt werden. Andernfalls ist der gesamte Meldeprozess wertlos. Die ISO 27002 schlägt vor, in diesem Zusammenhang folgende Umstände zu berücksichtigen:

• ineffektive Informationssicherheitsmaßnahmen
• Beeinträchtigungen von Vertraulichkeit, Integrität oder Verfügbarkeit
• menschliches Versagen
• Nichteinhaltung von Vorgaben zur Informationssicherheit
• Verstöße gegen physische Sicherheitsmaßnahmen
• ungesteuerte Systemänderungen
• Fehlfunktionen oder zumindest ungewöhnliches Verhalten von Software oder Hardware
• Zugangsverstöße
• Schwachstellen
• tatsächliche oder vermutete Schadsoftware

Vorgaben und Schulungen der Organisation sollten auf alle genannten Umstände eingehen und dabei möglichst praxisnahe Beispiele nennen. Neben den selbstverständlich notwendigen Hinweisen auf Ereignisse, die vorgekommen sind oder vorkommen, ist hier auch etwas Fantasie gefragt. So werden sich etwa sicherlich nicht alle Mitarbeiter darüber Gedanken machen, wenn Systeme ohne nachvollziehbaren Grund dauerhaft besonders warm und laut werden. Genauso wird es viele Benutzer geben, die Hinweise auf die letzte erfolgreiche Anmeldung nicht wahrnehmen. Und dass es eben nicht nur ein Zeichen von besonderer Motivation ist, Informationen des Unternehmens zur Weiterverarbeitung am heimischen PC an die private E-Mail-Adresse zu schicken, dürfte möglicherweise auch nicht allen Betroffenen klar sein.

Ganz aktuell sollten auch die neueren Angriffsvektoren mithilfe von KI behandelt werden, die nicht nur theoretisch besser, sondern auch tatsächlich wesentlich wahrscheinlicher werden.

Schaffung geeigneter Meldewege

Nach dem Bekanntwerden muss eine Möglichkeit bestehen, dass Sicherheitsereignis schnell und zuverlässig an die zuständigen Stellen zu melden. Die Meldewege müssen bekannt sein und auch jederzeit zur Verfügung stehen. Es sollte ebenfalls sichergestellt sein, dass die Meldung nicht nur verschickt werden kann, sondern auch rechtzeitig zur Kenntnis genommen wird und bearbeitet werden kann.

Auch der Inhalt der Meldung muss vorgegeben sein. Nach Möglichkeit sollte der meldende Mitarbeiter bei Abgabe der Meldung durch entsprechende Formulare oder Checklisten an die Hand genommen werden. Entscheidend ist, dass soweit möglich alle relevanten Informationen Teil der Meldung sind.

Klare Vorgaben, was sonst vom Mitarbeiter erwartet wird

In vielen Fällen werden Mitarbeiter nicht nur melden müssen, sondern auch vor der Frage stehen, was sonst von ihnen erwartet wird. Bei einem Brand ist es regelmäßig klar, dass die Feuerwehr gerufen wird. Bei einem mutmaßlichen Einbruch könnte es aber bereits fraglich sein, ob sofort die Polizei gerufen wird.

Mitarbeitern sollten daher klare Vorgaben gemacht werden, welche Handlungen erwünscht sind, und welche unterlassen werden müssen. Keinesfalls etwa sollten Mitarbeiter selbst versuchen, die vermutete Infektion eines Systems zu bestätigen oder das möglicherweise kompromittierte System zu reparieren.

Fazit: Auf das Detail kommt es an!

Organisationen sollten laut Kapitel 6.8 der ISO 27002 ausreichend Mühe und Sorgfalt aufwenden, um mögliche Ereignisse zu beschreiben, die Auswirkungen auf die Informationssicherheit haben können.

Soweit diese Ereignisse nicht ausschließlich technisch überwacht und gemeldet werden, müssen alle potenziell betroffenen Mitarbeiter geschult und sensibilisiert werden, sowohl was die Erkennung des Ereignisses angeht als auch den korrekten Umgang mit dieser Erkenntnis.

Die vorgesehenen Meldewege müssen einfach zu erreichen sein, jederzeit zur Verfügung stehen und auch sicherstellen, dass am anderen Ende rechtzeitig ein geeigneter Adressat erreicht wird.