(nach ISO/IEC 27001:2022 und ISO/IEC 27002:2022)

Informationssicherheitsvorfälle können jederzeit auftreten und erhebliche Auswirkungen auf Geschäftsprozesse, Informationen, Systeme und die Reputation einer Organisation haben. Ohne angemessene Planung und Vorbereitung besteht die Gefahr, dass Vorfälle verspätet erkannt, unkoordiniert behandelt oder unzureichend dokumentiert werden. Dieses Control stellt sicher, dass Organisationen strukturiert auf Informationssicherheitsvorfälle vorbereitet sind und im Ereignisfall schnell, koordiniert und wirksam reagieren können.

Zweck des Controls

A 5.24 soll gewährleisten, dass Organisationen geeignete organisatorische, technische und prozessuale Vorbereitungen für den Umgang mit Informationssicherheitsvorfällen treffen. Ziel ist es, sicherzustellen, dass Vorfälle erkannt, gemeldet, bewertet und behandelt werden können und dass Zuständigkeiten, Kommunikationswege und Entscheidungsprozesse im Vorfeld klar geregelt sind. Dadurch werden Auswirkungen von Vorfällen begrenzt und Folgeschäden reduziert.

Anforderungen und Maßnahmen

1. Definition eines Incident-Management-Rahmens

Organisationen müssen einen strukturierten Rahmen für den Umgang mit Informationssicherheitsvorfällen festlegen, insbesondere:

• Definition, was als Informationssicherheitsvorfall gilt
• Abgrenzung zu Störungen oder IT-Betriebsproblemen
• Festlegung von Zielen und Grundsätzen des Incident Managements
• Integration in das Informationssicherheitsmanagementsystem

Der Rahmen muss dokumentiert und organisationsweit bekannt sein.

2. Festlegung von Rollen und Verantwortlichkeiten

Für die Handhabung von Informationssicherheitsvorfällen müssen klare Zuständigkeiten definiert werden:

• Benennung verantwortlicher Rollen oder Incident-Teams
• Festlegung von Eskalations- und Entscheidungsbefugnissen
• Regelung von Vertretungen
• Abgrenzung zu anderen Funktionen (z. B. IT, Datenschutz, Recht, Kommunikation)

Klare Verantwortlichkeiten sind Voraussetzung für eine schnelle Reaktion.

3. Definition von Meldewegen und Kommunikationsprozessen

Organisationen müssen sicherstellen, dass Vorfälle gemeldet werden können:

• klare interne Meldewege für Mitarbeitende
• Definition von Ansprechpartnern und Kontaktmöglichkeiten
• Regelung der internen und externen Kommunikation
• Berücksichtigung von Meldepflichten gegenüber Behörden oder Kunden

Die Meldewege müssen einfach, bekannt und erreichbar sein.

4. Vorbereitung von Verfahren und Arbeitsanweisungen

Für die Behandlung von Vorfällen müssen geeignete Verfahren vorbereitet werden, zum Beispiel:

• Prozesse zur Erkennung und Meldung von Vorfällen
• Vorgehen zur Ersteinschätzung und Priorisierung
• Maßnahmen zur Eindämmung und Behebung
• Dokumentation und Nachverfolgung von Vorfällen

Diese Verfahren müssen dokumentiert und regelmäßig überprüft werden.

5. Bereitstellung von Ressourcen und Werkzeugen

Die Organisation muss sicherstellen, dass geeignete Ressourcen verfügbar sind:

• personelle Ressourcen mit geeigneter Qualifikation
• technische Werkzeuge zur Erkennung, Analyse und Dokumentation
• Zugriff auf relevante Informationen und Systeme
• Notfallkontakte und Kommunikationsmittel

Ohne geeignete Ressourcen kann ein Vorfall nicht wirksam behandelt werden.

6. Integration in bestehende Managementprozesse

Die Vorbereitung auf Vorfälle muss mit anderen Prozessen abgestimmt sein:

• Integration in Risiko-, Notfall- und Business-Continuity-Management
• Abstimmung mit Datenschutz- und Compliance-Prozessen
• Berücksichtigung in Lieferanten- und Cloud-Management
• Verknüpfung mit Management- und Eskalationsstrukturen

So wird eine konsistente Reaktion über alle Bereiche hinweg sichergestellt.

7. Schulung und Sensibilisierung

Mitarbeitende müssen auf den Umgang mit Vorfällen vorbereitet sein:

• Schulungen zur Erkennung und Meldung von Vorfällen
• Sensibilisierung für typische Angriffsmuster und Bedrohungen
• klare Anleitungen für das Verhalten im Vorfall
• regelmäßige Awareness-Maßnahmen

Dies erhöht die Wahrscheinlichkeit einer frühzeitigen Erkennung.

8. Tests, Übungen und kontinuierliche Verbesserung

Die Vorbereitung auf Informationssicherheitsvorfälle muss regelmäßig überprüft werden:

• Durchführung von Tests oder Übungen
• Überprüfung der Wirksamkeit von Rollen, Verfahren und Kommunikationswegen
• Auswertung von Lessons Learned aus Übungen oder realen Vorfällen
• Anpassung von Prozessen und Maßnahmen

So bleibt die Organisation dauerhaft handlungsfähig.

Zusammenfassung

A 5.24 fordert, dass Organisationen die Handhabung von Informationssicherheitsvorfällen systematisch planen und vorbereiten. Durch klare Definitionen, festgelegte Rollen und Meldewege, vorbereitete Verfahren, ausreichende Ressourcen sowie regelmäßige Schulungen und Übungen wird sichergestellt, dass Informationssicherheitsvorfälle wirksam erkannt und behandelt werden können. Das Control ist eine zentrale Voraussetzung für Resilienz, Schadensbegrenzung und kontinuierliche Verbesserung des Informationssicherheitsmanagementsystems.