(nach ISO/IEC 27001:2022 und ISO/IEC 27002:2022)

Informationssicherheitsvorfälle erfordern eine schnelle, koordinierte und wirksame Reaktion, um Schäden zu begrenzen und die Kontrolle über betroffene Informationen, Systeme und Prozesse wiederherzustellen. Eine unstrukturierte oder verspätete Reaktion kann die Auswirkungen eines Vorfalls erheblich verstärken. Dieses Control stellt sicher, dass Organisationen angemessen auf Informationssicherheitsvorfälle reagieren und festgelegte Verfahren konsequent anwenden.

Zweck des Controls

A 5.26 soll gewährleisten, dass Informationssicherheitsvorfälle gemäß definierten Prozessen behandelt werden. Ziel ist es, Vorfälle wirksam einzudämmen, Ursachen zu analysieren, Schäden zu minimieren und die Wiederherstellung betroffener Systeme und Prozesse sicherzustellen. Das Control unterstützt eine kontrollierte, nachvollziehbare und effektive Reaktion auf Sicherheitsvorfälle.

Anforderungen und Maßnahmen

1. Aktivierung des Incident-Management-Prozesses

Nach der Einstufung eines Ereignisses als Informationssicherheitsvorfall muss der Incident-Management-Prozess aktiviert werden:

• formale Übergabe an zuständige Rollen oder Incident-Teams
• Festlegung der Priorität und Dringlichkeit
• Einleitung definierter Reaktionsmaßnahmen
• Sicherstellung der Koordination aller beteiligten Stellen

Dies ermöglicht ein strukturiertes Vorgehen.

2. Eindämmung und Begrenzung der Auswirkungen

Organisationen müssen Maßnahmen zur Eindämmung des Vorfalls ergreifen, zum Beispiel:

• Isolierung betroffener Systeme oder Netzwerke
• Sperrung kompromittierter Zugänge oder Konten
• Unterbrechung schädlicher Aktivitäten
• Sicherung relevanter Informationen und Beweise

Ziel ist es, weitere Schäden zu verhindern.

3. Analyse und Ursachenfeststellung

Nach der Eindämmung muss der Vorfall analysiert werden:

• Untersuchung der Ursache und des Angriffsvektors
• Ermittlung betroffener Informationen, Systeme und Prozesse
• Bewertung des Umfangs und der Auswirkungen
• Sicherstellung der Nachvollziehbarkeit der Analyse

Die Analyse bildet die Grundlage für weitere Maßnahmen.

4. Behebung und Wiederherstellung

Die Organisation muss Maßnahmen zur Behebung und Wiederherstellung umsetzen:

• Beseitigung identifizierter Schwachstellen
• Wiederherstellung betroffener Systeme oder Dienste
• Überprüfung der Wirksamkeit der Maßnahmen
• Sicherstellung des sicheren Normalbetriebs

Die Wiederherstellung muss kontrolliert und dokumentiert erfolgen.

5. Kommunikation und Information

Während der Reaktion müssen geeignete Kommunikationsmaßnahmen umgesetzt werden:

• Information relevanter interner Stellen
• Abstimmung mit Management, Datenschutz und Recht
• externe Kommunikation, sofern erforderlich
• Einhaltung von Melde- und Informationspflichten

Die Kommunikation muss abgestimmt, korrekt und zeitnah erfolgen.

6. Dokumentation des Vorfalls

Die Behandlung des Vorfalls muss vollständig dokumentiert werden:

• Beschreibung des Vorfalls und seiner Ursachen
• durchgeführte Maßnahmen und Entscheidungen
• beteiligte Rollen und Zeitpunkte
• Auswirkungen und Ergebnisse

Diese Dokumentation ist wichtig für Nachvollziehbarkeit und Audits.

7. Bewertung der Wirksamkeit der Reaktion

Nach Abschluss der Reaktion muss die Wirksamkeit bewertet werden:

• Bewertung, ob die Maßnahmen angemessen waren
• Identifikation von Verbesserungspotenzialen
• Bewertung verbleibender Risiken
• Ableitung von Korrektur- oder Präventionsmaßnahmen

So wird kontinuierliche Verbesserung unterstützt.

8. Integration in weitere Prozesse

Erkenntnisse aus der Reaktion müssen in andere Prozesse einfließen:

• Übergabe an Lessons-Learned- oder Verbesserungsprozesse
• Anpassung von Richtlinien, Kontrollen oder Schulungen
• Aktualisierung von Risiko- und Bedrohungsbewertungen

Dies stärkt die Resilienz der Organisation.

Zusammenfassung

A 5.26 fordert, dass Organisationen Informationssicherheitsvorfälle strukturiert, koordiniert und wirksam behandeln. Durch klare Reaktionsprozesse, schnelle Eindämmung, fundierte Analyse, kontrollierte Wiederherstellung und umfassende Dokumentation wird sichergestellt, dass Schäden begrenzt und Ursachen nachhaltig beseitigt werden. Das Control ist ein zentraler Bestandteil eines belastbaren Incident-Managements und trägt wesentlich zur Resilienz und kontinuierlichen Verbesserung des Informationssicherheitsmanagementsystems bei.