(nach ISO/IEC 27001:2022 und ISO/IEC 27002:2022)

Informationssicherheitsvorfälle können erhebliche Auswirkungen auf Organisationen haben – von Datenverlust über Betriebsunterbrechungen bis zu rechtlichen oder regulatorischen Konsequenzen. Eine wirksame und vorbereitete Incident-Management-Struktur stellt sicher, dass Ereignisse schnell erkannt, bewertet, behandelt und nachbearbeitet werden. Das Control A 5.24 legt den Fokus auf die Planung, Vorbereitung und Etablierung der organisatorischen Grundlagen zur effektiven Handhabung von Sicherheitsvorfällen.

Zweck des Controls

Das Control stellt sicher, dass Organisationen angemessen auf Informationssicherheitsvorfälle vorbereitet sind. Dazu gehören die Definition von Rollen, Verantwortlichkeiten, Prozessen, Kommunikationswegen und technischen wie organisatorischen Unterstützungsmaßnahmen. Ziel ist es, die Auswirkungen von Sicherheitsvorfällen zu minimieren, eine schnelle Wiederherstellung zu ermöglichen und das Incident Management kontinuierlich zu verbessern.

Anforderungen und Maßnahmen

1. Etablierung eines Incident-Management-Konzepts

Organisationen müssen ein dokumentiertes Konzept zur Handhabung von Informationssicherheitsvorfällen einrichten. Dieses beinhaltet:

• Klare Definitionen von Sicherheitsereignissen und Sicherheitsvorfällen.
• Kriterien zur Einstufung von Vorfällen nach Schweregrad.
• Verantwortlichkeiten für Meldung, Bewertung, Analyse und Eskalation.
• Detaillierte Prozessabläufe für Erkennung, Reaktion, Eindämmung, Wiederherstellung und Lessons Learned.

Das Konzept bildet die Grundlage für ein kontrolliertes und strukturiertes Incident-Management.

2. Aufbau eines Incident-Response-Teams (IRT)

Für die Bearbeitung sicherheitsrelevanter Vorfälle muss ein fachlich kompetentes Team bereitstehen:

• Benennung klarer Rollen (Incident Manager, technische Analysten, Forensik, Kommunikation, Rechts- und Datenschutzexperten).
• Vertretungsregelungen für alle kritischen Rollen.
• Schulung und regelmäßige Auffrischung der Fähigkeiten.
• Sicherstellung der Erreichbarkeit des Teams (24/7, bei Bedarf).

Das IRT muss befähigt sein, Vorfälle effizient und rechtssicher zu bearbeiten.

3. Definition von Meldewegen und Eskalationsprozessen

Organisationen müssen festlegen, wie potenzielle Sicherheitsereignisse gemeldet werden:

• Niedrigschwellige Meldemechanismen für Mitarbeitende (z. B. Ticketsystem, Hotline, Notfalladresse).
• Automatische Meldung durch technische Systeme (SIEM, IDS/IPS, EDR).
• Kriterien für die Eskalation an Fachabteilungen, Management, Datenschutzbeauftragte oder Behörden.
• Transparente und nachvollziehbare Dokumentation der Meldungen und Eskalationen.

Ziel ist eine schnelle und zielgerichtete Informationsweitergabe.

4. Vorbereitung technischer und organisatorischer Ressourcen

Für ein wirksames Incident Management müssen technische Hilfsmittel bereitstehen:

• Werkzeuge für Log-Analyse, Forensik, Monitoring und Erkennung.
• Sichere Kommunikationskanäle für das Incident-Response-Team.
• Zugriffe auf relevante Systeme, Dokumentationen und Protokolldaten.
• Vorab definierte Checklisten, Incident-Runbooks oder Playbooks für bestimmte Vorfallarten.

Diese Ressourcen ermöglichen schnelles und qualifiziertes Handeln.

5. Kommunikations- und Informationsmanagement

Während eines Sicherheitsvorfalls müssen Kommunikationswege klar geregelt sein:

• Interne Kommunikation zwischen den beteiligten Rollen.
• Externe Kommunikation an Kunden, Partner oder ggf. Behörden.
• Umgang mit presserelevanten Vorfällen (Kommunikationsverantwortliche oder PR-Abteilung).
• Abstimmung mit Datenschutz, Rechtsabteilung und Management.
• Definition von Freigabeprozessen für alle sicherheitsrelevanten Informationen.

Eine klare Kommunikation verhindert Fehlinformationen und unterstützt die rechtliche Compliance.

6. Vorbereitung auf gesetzliche und regulatorische Anforderungen

Da Sicherheitsvorfälle oft meldepflichtig sind, muss die Organisation vorbereitet sein:

• Kenntnis geltender Vorschriften (z. B. DSGVO, NIS2, branchenspezifische Vorgaben).
• Definition erforderlicher Informationswege und Meldefristen.
• Vorbereitung standar­disierter Meldedokumente.
• Klare Verantwortlichkeiten für regulatorische Meldepflichten.

Damit wird gewährleistet, dass gesetzliche Anforderungen auch unter Zeitdruck erfüllt werden.

7. Durchführung von Tests, Übungen und Trainings

Ein Incident-Management-Konzept ist nur wirksam, wenn es regelmäßig überprüft wird:

• Durchführung technischer Tests (z. B. Simulation von Angriffen, Wiederherstellungstests).
• Organisatorische Übungen (Tabletop-Übungen, Notfallproben, Eskalationssimulationen).
• Schulung der Mitarbeitenden zur Meldung von Vorfällen und zur Erkennung von Angriffsmustern.
• Bewertung der Übungsergebnisse und Ableitung von Verbesserungen.

So wird die Einsatzfähigkeit in realen Vorfällen verbessert.

8. Integration in das Business Continuity Management (BCM)

Incident Management muss mit Notfall- und Wiederherstellungsprozessen verknüpft sein:

• Abgleich mit Notfallkonzepten, Wiederanlaufplänen und Business-Continuity-Strategien.
• Abstimmung der Wiederherstellungsziele (RTO, RPO) mit dem Incident-Management-Prozess.
• Gemeinsame Übungen und Reviews.
• Sicherstellung, dass IRT und BCM-Teams eng zusammenarbeiten.

Dies gewährleistet ein ganzheitliches Krisenreaktionsvermögen.

9. Kontinuierliche Verbesserung

Nach jedem Informationssicherheitsvorfall und nach größeren Übungen müssen Verbesserungen abgeleitet werden:

• Durchführung strukturierter Lessons-Learned-Prozesse.
• Analyse technischer und organisatorischer Schwachstellen.
• Anpassung von Prozessen, Richtlinien, technischen Systemen oder Schulungen.
• Dokumentation und Nachverfolgung aller Verbesserungsmaßnahmen.

Damit bleibt das Incident-Management anpassungsfähig und wirksam.

Zusammenfassung

A 5.24 fordert, dass Organisationen umfassend auf Informationssicherheitsvorfälle vorbereitet sind. Dazu gehören ein dokumentiertes Incident-Management-Konzept, klare Rollen und Meldewege, technische und organisatorische Ressourcen, Kommunikationsregelungen, regulatorische Vorbereitung sowie regelmäßige Tests und Übungen. Ein reifes Incident-Management ermöglicht eine schnelle und zielgerichtete Reaktion, reduziert Schäden und stärkt das gesamte Informationssicherheitsniveau der Organisation.