ISO 27001:2005 – Zeitnah auf Bedrohungen reagieren

Richtiges Management und Reporting bei Security-Vorfällen

10.09.2007 | Autor / Redakteur: Frank Castro Lieberwirth / Stephan Augsten

ISO 27001:2005 dient zur Errichtung eines Managementsystems für Informationssicherheit (ISMS). Um Sicherzustellen, dass die IT-Sicherheit betreffende Ereignisse zeitnah kommuniziert und behoben werden können, stellt der neunte Überwachungsbereich der ISO-Norm geeignete Maßnahmen vor. Dieser Artikel beschreibt den Überwachungsbereich und gibt Hinweise auf den Einsatz in der Praxis.

ISO/IEC 27001:2005 besteht insgesamt aus elf Überwachungsbereichen. Das hier angesprochene Thema ist der neunte Überwachungsbereich aus dem Annex A (§13). Der Überwachungsbereich ist in zwei Kategorien und insgesamt fünf Kontrollzielen unterteilt.

Die Kontrollziele stellen die eigentlichen Aufgaben oder Maßnahmen dar. Wie bei den anderen Überwachungsbereichen, übernimmt die Norm die Vorgaben aus ISO 17799:2005.

Ein erfolgreiches ISMS erfordert einen präzisen Informationsfluss und eine schnelle Koordination der Gegenmaßnahmen. Folgende Kategorien sind daher in der Norm benannt, die nachfolgend beschrieben werden:

  • Berichterstattung von Informationssicherheits-Ereignissen und Schwachstellen
  • Management von Informationssicherheits-Vorfällen und Verbesserungen

Berichterstattung von Informationssicherheits-Ereignissen

Eine effiziente und lückenlose Berichterstattungskette ist für ein ISMS unerlässlich. Die Kette sollte sogar soweit gehen, dass ein IT-Sicherheitsbeauftragter oder Datenschutzbeauftragter zum Vorstand bzw. zu der Geschäftsleitung gehört. Von höchster Stelle kann dann eine Anweisung erfolgen. Wie eine IT-Sicherheitsorganisation auszusehen hat, ist bereits im Überwachungsbereich „Organisation der Informationssicherheit“ (Annex A, §6) beschrieben worden.

Wenn beispielsweise Fehlfunktionen von Hard- und Software, Einbrüche oder Zugriffsverletzungen vorliegen, sollte die Berichterstattungskette angestoßen werden. Hier liegt eine nicht zu unterschätzende Fehlerquelle! Ein Vertuschen von Vorfällen kommt leider immer mal wieder vor – denn wer möchte aufgrund individueller Fehlern schon Job oder Reputation verlieren.

Ähnlich sieht es bei den Schwachstellen aus. Diese sind den Mitarbeitern oft bekannt, aufgrund personeller Besetzung wird aber meist geschwiegen. Die Geschäftsleitung bleibt in Unkenntnis, der Schaden ist oft immens.

Mögliche Auswege aus dem Dilemma sind anonymisierte Formulare (obwohl aus dem Inhalt auch erkenntlich sein kann, wer der Absender ist) oder der direkte Schutz des Meldenden durch die Geschäftsführung durch den Posten des IT-Sicherheitsbeauftragten. Bei der Fehlerkorrektur hilft nur ein Umdenken in der Firmenphilosophie: Fehler sind dazu da, um daraus zu lernen.

Berichterstattung in der Praxis

Sollte ein Sicherheitsvorfall auftreten, können folgende Maßnahmen in der Praxis hilfreich sein:

  • Die Anwendung einer formbasierten Berichterstattung für Vorfälle und Feedback, z. B. über Microsoft Office InfoPath 2007 oder über Lotus Notes.
  • Die Verwendung einer Plattform zur Veröffentlichung und Verteilung von Berichten, z. B. mit Microsoft Office SharePoint 2007, öffentlichen Exchange-Ordnern oder über Lotus Notes.
  • Das Einrichten automatisierter Benachrichtigungen bei Vorfällen über SMS, E-Mail oder Telefon.

Management von Informationssicherheits-Vorfällen

Das ISMS hat den Anspruch, bei IT-Sicherheitsvorfällen schnell und angemessen zu handeln. In der Norm werden daher folgende Maßnahmen beschrieben:

  • Wenn eine Schutzverletzung bereits erfolgt ist, sollten Maßnahmen zur Handhabung der verschiedenen Typen von Informationssicherheits-Vorfällen eingeführt werden. Darunter fallen laut Norm Systemfehler, Verlust von Diensten, schadhafter Code, Denial of Service, Verletzungen der Datensicherheit und Fehlbedienungen.
  • Ein Störfallplan sollte die Ursache des Vorfalls analysieren, den Schaden eindämmen und wenn notwendig ein erneutes Auftreten verhindern.
  • Alle Überwachungsschritte sollten zur Analyse in einer Datenbank gesammelt werden. Liegt eine strafbare Handlung zugrunde, empfiehlt sich zur Spurensicherung das Speichern aller involvierten Daten (z. B. durch Bandsicherung).
  • Zur Wiederherstellung von Betriebssystemen oder Applikationen nach Sicherheitseinbrüchen sollte nur autorisiertes Personal zugelassen werden. Dies gilt insbesondere dann, wenn sensible Daten involviert sind. Da die Wiederherstellung möglichst schnell durchgeführt wird, sollte darauf geachtet werden, dass trotz einer gewissen Hektik die Dokumentation nicht zu kurz kommt.

Lernen vom Schadensfall

Dieses Kontrollziel hat erstens die Dokumentation der Informationssicherheitsrichtlinien und zweitens die Überprüfung der Inhalte der Richtlinie zur Aufgabe. Jeder Schadensfall wird nach Art, Umfang und Kosten dokumentiert.

Die Gegenmaßnahmen fließen in die Informationssicherheitsrichtlinien (siehe Annex A, §5) ein. Die Informationssicherheitsrichtlinien fließen anschließend in die „Organisation der Informationssicherheit“ (Annex A, §6) ein, wo sie in den jeweiligen Organisationsstrukturen Anwendung finden.

Indizien und Beweise sammeln

Die Beweissammlung bei einem Sicherheitsvorfall ist extrem wichtig – sei es zur Absicherung (der Unschuld) involvierter Personen oder Abteilungen oder zur Ermittlung eines schuldhaften Verhaltens. Da ein Mitarbeiter eine begrenzte Haftung vom Gesetzgeber zugesprochen bekommt, haftet er nur bei einer erwiesenen Fahrlässigkeit. Ebenfalls betroffen könnte die Geschäftsführung sein, die unter gewissen groben und fahrlässigen Gründen haftet.

Ein anderer Grund zur Beweissammlung ist die Überführung krimineller Elemente bzw. die Ermittlung einer Straftat. Bestehende Kontakte zu polizeilichen Organisationen beschleunigen die Ermittlungen und erhöhen die Erfolgswahrscheinlichkeit. Ob und wie weit Justiz und Organisationsleitung tatsächlich gegen Kriminelle oder staatlich sanktionierte Spione vorgehen können, sei an dieser Stelle ausgeklammert.

Eine Beweissammlung ist selbstverständlich nur dann möglich, wenn entsprechende Überwachungsfunktionen eingerichtet wurden. Weitere Informationen zum Thema sind dem Überwachungsbereich „Zugriffskontrolle“ (Annex A, § 11) zu entnehmen.

Fazit

Ziel des Überwachungsbereichs „Management bei Sicherheitsvorfällen“ ist eine zeitnahe Reaktion auf Sicherheitsvorfälle. Es werden Berichterstattungs-Vorgänge und Maßnahmen nach dem Auftreten eines Vorfalls beschrieben, wie zum Beispiel die Beweissammlung zur Klärung möglicher Straftaten.

Dieser neunte Überwachungsbereich ist kein isoliertes Kapitel. Er bezieht sich auf Informationen aus den Überwachungsbereichen „Informationssicherheitsrichtlinien“, „Organisation der Informationssicherheit“ und „Zugriffskontrolle“.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 2007504 / Standards)