wire, Düsseldorf
Internationale Fachmesse für Draht und Kabel
15. bis 19. April
www.wire.de
Tritt ein Notfall ein, gilt es schnell die richtigen Schritte einzuleiten. Es ist wichtig, dass alle involvierten Personen wissen, wie und an wen ein Vorfall gemeldet werden muss. Bevor wild losgelegt wird, gilt es die Umstände genauer anzuschauen.
Was ist geschehen? Wer ist betroffen? Wie gravierend ist und kann dies werden? Die genaue Ursache ist in diesem Moment noch gar nicht das zentrale Thema. Falls möglich wird dies natürlich berücksichtigt. Aber nicht immer ist dies sofort ersichtlich. Wurde ein Überblick verschafft, werden die ersten Massnahmen eingeleitet. Ist der Vorfall unter Kontrolle gebracht, gilt es eine genaue Analyse durchzuführen, die Gründe herauszufinden und Systeme/Prozesse so anzupassen, dass ein gleicher oder ähnlicher Vorfall nicht mehr eintreten kann. Je nach Wissen und Erfahrung kann dieser Prozesse, oder Teile davon, an ein spezialisiertes Unternehmen übergeben werden.
Der Prozess-Ablauf in Bild 1 orientiert sich am US-amerikanischen NIST SP 800-61 (Computer Security Incident Handling Guide).
Meldung und Klassifizierung
Sollten Sicherheitsvorfälle eintreten, gilt es diese schnell zu behandeln. Ein Security Incident kann dabei von einem System oder durch Mitarbeitende, Externe oder weiteren Stellen gemeldet werden. Für Mitarbeitende sollte an einer zentralen Stelle gut sichtbar ein Link zum Meldeformular angebracht werden.
Wenn ein Incident gemeldet wird, gilt es einige Punkte festzuhalten:
Normal wird der Prozess so konfiguriert, dass je nach Ereignis das Ticket gleich der richtigen Person zugeordnet wird. Klassisch werden technische Vorfälle, Sicherheits- oder Datenschutzverletzungen, physische Vorfälle, Personenunfälle und weitere unterschieden.
Priorisierung
Um die Incident-Dringlichkeit zu bestimmen, wird die höchste zutreffende Kategorie ausgewählt:
Gering
Mittel
Hoch
Kritisch
Um die Incident-Auswirkung zu bestimmen, wird die höchste zutreffende Kategorie ausgewählt:
Vernachlässigbar
Die Schadensauswirkungen sind gering und können vernachlässigt werden.
Begrenzt
Die Schadensauswirkungen sind begrenzt und überschaubar.
Beträchtlich
Die Schadensauswirkungen können beträchtlich sein.
Existenzbedrohend
Die Schadensauswirkungen können ein existenziell bedrohliches, katastrophales Ausmass erreichen.
Behandlungsverfahren
Der Empfänger der Incident-Meldung zu einer Sicherheitsschwachstelle oder einem Ereignis analysiert die Information, klärt allenfalls fehlende Punkte ab, stellt nach Möglichkeit die Ursache(n) fest und schlägt Vorbeugungs- und Korrektur-Massnahmen vor.
Diese Massnahmen können in vier Kategorien unterteilt werden:
Geringer Vorfall
Wenn ein geringer Vorfall gemeldet wird, müssen folgende Schritte durchgeführt:
Erheblicher Vorfall
Im Fall von erheblichen Vorfällen, die den Betrieb für eine inakzeptable Zeitperiode unterbrechen könnten, kommt ein Notfallplan als Teil des Business Continuity zum Tragen.
Datenschutzrelevanter Vorfall
Im Fall von datenschutzrelevanten Vorfällen muss eine umgehende Ist-Aufnahme durchgeführt werden.
Diese Aufnahme sollte durch den/die Datenschutzverantwortliche durchgeführt werden. Es muss unter allen Umständen verhindert werden, dass Daten verändert, manipuliert oder gar zerstört werden. Handelt es sich um elektronische «Spuren», wird zuerst überprüft, ob der Vorfall mit internen Ressourcen und Wissen abgedeckt werden kann. Falls nicht, wird eine spezialisierte, forensische Firma beigezogen. Die Behandlung der Incident-Massnahmen könnte gemäss folgendem Ablauf (Bild 2) durchgeführt werden. Die Prozess-Zustände sind wie folgt definiert:
Die Übergänge zwischen den Prozess-Zuständen sind wie folgt definiert:
Vor dem Schliessen eines Incident-Tickets soll die angewendete Lösung einer Qualitätskontrolle unterzogen werden. Damit wird sichergestellt, dass der Incident tatsächlich gelöst worden ist und dass alle Informationen zur Lösung ausreichend dokumentiert sind.
Lernen aus Vorfällen
Wichtig ist, dass regelmässig die Vorfälle untersucht werden. Der CIO und/oder CISO muss alle geringeren Vorfälle vierteljährlich prüfen und jene, die sich wiederholen (oder solche, die sich bei der nächsten Wiederholung zu einem erheblichen Vorfall steigern könnten) entsprechend vermerken. Geeignete Schritte sind abzuleiten, damit sich diese nicht mehr wiederholen.
Fazit
Incidents gehören zum Firmen-Alltag dazu. Sei dies durch Unachtsamkeit der eigenen Mitarbeitenden, eine Verletzung durch einen Partner oder Lieferanten, ein Naturereignis oder ein Hacker, der auf das eigene Unternehmen abgesehen hat. Daher ist es wichtig, im Vorfeld geeignete Prozesse zu etablieren. Incidents sind so schnell wie möglich zu melden. Nach einer Analyse des Vorfalls können entsprechende Schritte eingeleitet werden. Ist der Normalbetrieb wiederhergestellt, ist die Arbeit noch nicht abgeschlossen. Es gilt die Ursachen zu eruieren und die Umgebung oder die Prozesse so zu gestalten, dass diese Art von Incident nicht nochmals vorkommen kann. So ist das Unternehmen gerüstet, sollte erneut ein Vorfall eintreten.
INFOS | KONTAKT
goSecurity AG
Schulstrasse 11
CH-8542 Wiesendangen
T +41 (0)52 511 37 37
www.goSecurity.ch
wisler@gosecurity.ch
Internationale Fachmesse für Draht und Kabel
15. bis 19. April
www.wire.de
Internationale Rohr-Fachmesse
15. bis 19. April
www.tube.de
Der Treffpunkt der Mikrotechniken. Fachmesse für Automation, Werkzeugmaschinen und Zulieferung
16. bis 19. April
www.siams.ch
Weltleitmesse der Industrie mit dem Leitthema «Energizing a Sustainable Industry»
22. bis 26. April
www.hannovermesse.de
Österreichs Fachmesse für Fertigungstechnik
23. bis 26. April
www.intertool.at