(nach ISO/IEC 27001:2022 und ISO/IEC 27002:2022)

Informationssicherheitsereignisse treten in unterschiedlicher Form und Häufigkeit auf und reichen von harmlosen Auffälligkeiten bis hin zu schwerwiegenden Sicherheitsvorfällen. Nicht jedes Ereignis stellt automatisch einen Informationssicherheitsvorfall dar. Dieses Control stellt sicher, dass Informationssicherheitsereignisse systematisch bewertet werden und auf dieser Grundlage fundierte Entscheidungen über das weitere Vorgehen getroffen werden.

Zweck des Controls

A 5.25 soll gewährleisten, dass Informationssicherheitsereignisse strukturiert beurteilt werden, um zu entscheiden, ob sie als Informationssicherheitsvorfälle zu behandeln sind. Ziel ist es, eine konsistente, nachvollziehbare und risikoorientierte Entscheidungsgrundlage zu schaffen, um angemessene Maßnahmen einzuleiten und Ressourcen gezielt einzusetzen.

Anforderungen und Maßnahmen

1. Definition von Informationssicherheitsereignissen

Organisationen müssen klar definieren, was als Informationssicherheitsereignis gilt, insbesondere:

• ungewöhnliche oder verdächtige Aktivitäten
• Abweichungen von definierten Sicherheitsvorgaben
• technische Warnmeldungen oder Alarme
• Auffälligkeiten im Betrieb von Systemen oder Anwendungen
• Meldungen von Mitarbeitenden oder externen Parteien

Diese Definition dient als Grundlage für eine einheitliche Beurteilung.

2. Erfassung und Dokumentation von Ereignissen

Alle gemeldeten oder erkannten Informationssicherheitsereignisse müssen erfasst werden:

• Dokumentation von Zeitpunkt, Quelle und Art des Ereignisses
• Erfassung betroffener Systeme, Informationen oder Prozesse
• Beschreibung beobachteter Auswirkungen oder Auffälligkeiten
• Zuordnung zu einer verantwortlichen Stelle

Die Dokumentation muss zeitnah und nachvollziehbar erfolgen.

3. Bewertung der Relevanz und Schwere

Informationssicherheitsereignisse müssen bewertet werden, insbesondere im Hinblick auf:

• potenzielle Auswirkungen auf Vertraulichkeit, Integrität und Verfügbarkeit
• Umfang und Kritikalität betroffener Informationswerte
• Wahrscheinlichkeit eines tatsächlichen Sicherheitsvorfalls
• mögliche rechtliche, regulatorische oder geschäftliche Auswirkungen

Die Bewertung muss risikoorientiert und konsistent erfolgen.

4. Entscheidung über die Einstufung als Sicherheitsvorfall

Auf Basis der Bewertung muss entschieden werden, ob ein Ereignis:

• als Informationssicherheitsvorfall einzustufen ist
• weiter beobachtet oder analysiert werden muss
• ohne weitere Maßnahmen abgeschlossen werden kann

Die Entscheidung muss dokumentiert und begründet sein.

5. Festlegung des weiteren Vorgehens

Für eingestufte Ereignisse oder Vorfälle müssen geeignete Maßnahmen festgelegt werden:

• Eskalation an zuständige Rollen oder Gremien
• Übergabe an Incident-Management-Prozesse
• Einleitung technischer oder organisatorischer Maßnahmen
• Information relevanter interner oder externer Stellen

So wird ein strukturiertes und abgestimmtes Vorgehen sichergestellt.

6. Berücksichtigung von Melde- und Informationspflichten

Bei der Beurteilung muss geprüft werden, ob Meldepflichten bestehen:

• gesetzliche oder regulatorische Meldepflichten
• vertragliche Informationspflichten gegenüber Kunden oder Partnern
• interne Berichtspflichten an Management oder Gremien

Diese Anforderungen müssen in die Entscheidungsfindung einbezogen werden.

7. Dokumentation und Nachvollziehbarkeit der Entscheidungen

Die Beurteilung und getroffenen Entscheidungen müssen dokumentiert werden:

• Bewertungskriterien und -ergebnisse
• Entscheidungsgrundlagen und Verantwortlichkeiten
• festgelegte Maßnahmen und Eskalationen
• Abschluss oder Übergang in weitere Prozesse

Diese Dokumentation ist essenziell für Transparenz, Audits und Lessons Learned.

8. Überprüfung und Verbesserung des Bewertungsprozesses

Der Prozess zur Beurteilung von Ereignissen muss regelmäßig überprüft werden:

• Auswertung von Erfahrungen aus Vorfällen
• Überprüfung der Angemessenheit von Kriterien und Schwellenwerten
• Anpassung bei veränderter Bedrohungslage
• Integration von Erkenntnissen in Schulungen und Verfahren

So bleibt der Bewertungsprozess wirksam und aktuell.

Zusammenfassung

A 5.25 fordert, dass Informationssicherheitsereignisse systematisch erfasst, bewertet und auf dieser Basis fundierte Entscheidungen getroffen werden. Durch klare Definitionen, strukturierte Bewertung, dokumentierte Entscheidungen und die Berücksichtigung von Meldepflichten wird sichergestellt, dass relevante Ereignisse angemessen behandelt werden. Das Control bildet eine zentrale Schnittstelle zwischen Erkennung, Incident Management und kontinuierlicher Verbesserung des Informationssicherheitsmanagementsystems.