(nach ISO/IEC 27001:2022 und ISO/IEC 27002:2022)

Die frühzeitige Meldung von Informationssicherheitsereignissen ist entscheidend, um Schäden zu begrenzen, Ursachen zu analysieren und geeignete Maßnahmen einzuleiten. Werden Ereignisse nicht oder verspätet gemeldet, können sich Sicherheitsvorfälle ausweiten oder unentdeckt bleiben. Dieses Control stellt sicher, dass Informationssicherheitsereignisse erkannt, gemeldet und angemessen behandelt werden.

Zweck des Controls

A 6.8 soll gewährleisten, dass alle Mitarbeitenden und relevanten externen Personen Informationssicherheitsereignisse unverzüglich melden. Ziel ist es, eine schnelle Reaktion zu ermöglichen, Risiken zu minimieren und die Grundlage für eine effektive Behandlung von Informationssicherheitsvorfällen zu schaffen.

Anforderungen und Maßnahmen

1. Definition von Informationssicherheitsereignissen

Organisationen müssen klar festlegen, was als Informationssicherheitsereignis gilt, zum Beispiel:

• ungewöhnliche oder verdächtige Systemaktivitäten
• Verlust oder Diebstahl von Geräten oder Datenträgern
• unbefugte Zugriffsversuche oder -erfolge
• Fehlbedienungen mit möglichen Sicherheitsauswirkungen
• Verstöße gegen Richtlinien oder Verfahren

Klare Definitionen fördern ein einheitliches Verständnis.

2. Festlegung von Meldewegen und Ansprechpartnern

Es müssen eindeutige Meldewege definiert sein:

• benannte Ansprechpartner oder Stellen
• klare Eskalationswege
• Verfügbarkeit der Meldewege
• alternative Meldewege bei Ausfällen

So wird sichergestellt, dass Meldungen schnell ankommen.

3. Verpflichtung zur Meldung

Mitarbeitende und externe Parteien müssen zur Meldung verpflichtet sein:

• Verankerung der Meldepflicht in Richtlinien oder Verträgen
• Kommunikation der Pflicht im Rahmen von Schulungen
• Hinweis auf die Bedeutung früher Meldungen
• Schutz vor negativen Konsequenzen bei gutgläubiger Meldung

Dies fördert eine offene Meldekultur.

4. Unterstützung der meldenden Personen

Die Organisation muss Meldungen unterstützen:

• einfache und verständliche Meldeverfahren
• Möglichkeit anonymer Meldungen, sofern sinnvoll
• Bereitstellung von Hilfestellungen oder Vorlagen
• Unterstützung bei Unsicherheiten

So wird die Hemmschwelle zur Meldung gesenkt.

5. Dokumentation von Meldungen

Gemeldete Ereignisse müssen dokumentiert werden:

• Zeitpunkt und Art der Meldung
• Beschreibung des Ereignisses
• betroffene Systeme oder Informationen
• erste Einschätzung und Maßnahmen

Die Dokumentation ist Grundlage für weitere Schritte.

6. Integration in Incident-Management-Prozesse

Die Meldung von Ereignissen muss in bestehende Prozesse eingebunden sein:

• Übergang von Ereignis zu Vorfall
• Abstimmung mit Incident-Response-Teams
• Weiterleitung an zuständige Stellen
• Einhaltung definierter Reaktionszeiten

So wird eine konsistente Behandlung sichergestellt.

7. Schulung und Sensibilisierung

Mitarbeitende müssen für die Meldung sensibilisiert werden:

• Schulungen zur Erkennung von Ereignissen
• Awareness-Kampagnen zur Meldepflicht
• praxisnahe Beispiele
• regelmäßige Auffrischungen

Bewusstsein ist entscheidend für frühe Erkennung.

8. Überprüfung und Verbesserung des Meldeprozesses

Der Meldeprozess muss regelmäßig überprüft werden:

• Bewertung von Anzahl und Qualität der Meldungen
• Identifikation von Hemmnissen oder Schwachstellen
• Anpassung der Meldewege oder Prozesse
• Integration von Erkenntnissen aus Vorfällen

So bleibt der Meldeprozess wirksam.

Zusammenfassung

A 6.8 fordert, dass Organisationen einen klaren und wirksamen Prozess zur Meldung von Informationssicherheitsereignissen etablieren. Durch eindeutige Definitionen, klare Meldewege, Verpflichtung zur Meldung, Unterstützung der meldenden Personen sowie Integration in Incident-Management-Prozesse wird sichergestellt, dass Ereignisse frühzeitig erkannt und behandelt werden. Das Control ist ein zentraler Baustein für Prävention, schnelle Reaktion und kontinuierliche Verbesserung im Informationssicherheitsmanagementsystem.