Überblick: Anhang A.16 Management von Informationssicherheitsvorfällen

Mit jedem Tag steigt die Anzahl an Bedrohungen für die Cybersicherheit. Zum Schutz der Integrität, Verfügbarkeit und Vertraulichkeit Ihrer Daten ist daher ein regelmäßig aktualisiertes und ganzheitliches Konzept für das Management von Informationssicherheitsvorfällen erforderlich.

Die Umsetzung von Maßnahmen zur Vermeidung von Informationssicherheitsvorfällen (Hackerangriffen und Datenschutzlücken usw.) und zur Verringerung derer Auswirkungen ist ein wesentlicher Bestandteil der Einhaltung von ISO 27001. Ganz gleich, ob Sie eine ISO 27001-Zertifizierung anstreben oder nicht: Ein starkes Konzept für das Management von Informationssicherheitsvorfällen (das Incident-Management nach ISO 27001) sollte in Ihrer Organisation in jedem Fall Vorrang haben. 

In diesem Beitrag erfahren Sie, wie Anhang A.16 (Annex A.16) zur Entwicklung und Umsetzung von wirksamen Richtlinien für das Informationssicherheitsvorfallsmanagement beiträgt, weshalb das Vorfallsmanagement wichtig ist und welche einzelnen Anforderungen zur Verringerung der Auswirkungen und des Auftretens von Informationssicherheitsvorfällen A.16 enthält.

Was ist Anhang A.16 (Annex A.16)?

In Anhang A.16 werden die Anforderungen für das Management von Informationssicherheitsvorfällen aufgeführt. Organisationen jeder Art und Größe sollten sich mit den bewährten Vorgehensweisen für die Verhinderung von Sicherheitsvorfällen und die Reaktion darauf vertraut machen. Bevor wir auf die einzelnen Anforderungen eingehen, möchten wir zunächst den Begriff „Informationssicherheitsvorfall“ klären und verdeutlichen, warum das Vorfallsmanagement für Ihre Organisation wichtig ist.

Was ist ein Informationssicherheitsvorfall?

Jede Handlung, die die Sicherheit der Informationstechnologie bedroht oder gegen geltende Richtlinien für eine verantwortungsvolle Nutzung verstößt, gilt als Informationssicherheitsvorfall.

Dazu zählen vermutete, erfolgreiche und versuchte Bedrohungen. Sie bergen das Risiko unberechtigter Datenzugriffe, ‑freigaben, ‑nutzungen, ‑verluste, ‑beschädigungen, ‑lecks oder ‑veränderungen. Beispiele für Vorfälle dieser Art sind:

  • Unberechtigte Veränderungen an installierten Softwares
  • Beeinträchtigung der physischen und umgebungsbezogenen Sicherheit, z. B. die Beschädigung unternehmenseigener Geräte
  • Eindringen in Konten oder Offenlegung von Passwörtern und kryptografischen Schlüsseln

Obwohl Vorfälle, die nicht schwerwiegend sind (nicht das Potenzial haben, Schaden anzurichten), vermutlich nicht gemeldet werden, ist die Entwicklung eines hieb- und stichfesten Vorfallsmanagement-Konzepts aus den nachfolgenden Gründen wichtig:

Warum ist das Management von Informationssicherheitsvorfällen wichtig?

Informationssicherheitsvorfälle sind unvermeidbar, und Hacker und andere böswillige Dritte können davon profitieren. Durch ein gutes Vorfallsmanagement sollen die Auswirkungen der Vorfälle begrenzt und eine Wiederholung in der Zukunft verhindert werden.  

Wirksame Informationssicherheitskonzepte berücksichtigen alle Aspekte einer Organisation und zeigen auf, welche Schwächen vorhanden sind. Die Anforderungen an das Management von Informationssicherheitsvorfällen lassen sich in sieben Schlüsselbereiche untergliedern, die unten genauer ausgeführt sind.

 

 

Was sind die Maßnahmen (Controls) in Anhang A.16?

Anhang A.16 umfasst sieben Maßnahmen, bei denen das Management von Informationssicherheitsvorfällen im Mittelpunkt steht. Diese Maßnahmen beschreiben die Anforderungen für die Erkennung und Handhabung von Informationssicherheitsschwachstellen, ‑ereignissen und ‑vorfällen. 

Anhang A.16.1 Management von Informationssicherheitsvorfällen, ‑ereignissen und ‑schwachstellen

Ziel von A.16.1 ist es, sicherzustellen, dass Ihre Organisation ein tragfähiges Konzept bei der Handhabung und Meldung von Informationssicherheitsvorfällen verfolgt. Dieses umfasst u. a. Datenschutzlücken sowie die unberechtigte Offenlegung, Vernichtung und den Verlust von Daten. 

Anhang A.16.1.1 Zuständigkeiten und Verfahren

Im Falle eines Sicherheitsvorfalls müssen rasch wirksame Maßnahmen ergriffen werden. Um dies zu gewährleisten, sollten die Zuständigkeiten der Führungsebene und einschlägige Verfahren festgelegt sein. Bei der Festsetzung von Zuständigkeiten für die Führungsebene und der Ausarbeitung von Informationssicherheitsverfahren (auch Incident-Management-Prozesse genannt) sind die folgenden Aspekte zu berücksichtigen:

  • Planung von und Vorbereitung auf Vorfallsreaktionen
  • Überwachung, Erkennung, Analyse und Meldung von Informationssicherheitsereignissen
  • Protokollierung von Vorfallsmanagementmaßnahmen
  • Handhabung forensischen Beweismaterials
  • Bewertung von und Entscheidung über Informationssicherheitsereignisse und ‑schwachstellen
  • Reaktionen auf einen Sicherheitsvorfall, sowohl intern als auch extern

Dabei ist darauf zu achten, dass alle Verfahren gewährleisten, dass Informationssicherheitsvorfälle von kompetenten Beschäftigten behandelt werden und dass relevante externe und interne Kontakte für die Handhabung der Probleme mit der Informationssicherheit erfasst und aufgenommen werden.

Meldeverfahren sollten Folgendes enthalten:

  • Meldeformular für eine erleichterte Meldung und Protokollierung aller notwendigen Maßnahmen bei Auftreten eines Informationssicherheitsereignisses
  • Zu ergreifende Folgemaßnahmen bei Auftreten eines Informationssicherheitsereignisses
  • Formale Disziplinarmaßnahmen, die eingeleitet werden, wenn ein Mitarbeiter gegen die Sicherheitsbestimmungen verstößt
  • Strukturiertes Feedbackverfahren, um sicherzustellen, dass alle Betroffenen über den Fortschritt und die Ergebnisse gemeldeter Informationssicherheitsereignisse auf dem Laufenden gehalten werden

Alle Verantwortlichen für das Management von Informationssicherheitsvorfällen müssen diese Verfahren kennen, und alle Verfahren sind mit der Führungsebene abzustimmen.

Anhang A.16.1.2 Meldung von Informationssicherheitsereignissen

Informationssicherheitsereignisse sollten bei ihrem Auftreten oder frühestmöglich über die relevanten Managementkanäle gemeldet werden. Alle beteiligten Parteien sollten ihre Meldeverantwortung, die Meldeverfahren und die Kontaktstellen bei Auftreten eines Informationssicherheitsvorfalls kennen.

Anhang A.16.1.3 Meldung von Informationssicherheitsschwachstellen

Alle Parteien, die auf die Informationssysteme und -dienste der Organisation zugreifen können und diese nutzen, müssen festgestellte oder vermutete Schwachstellen und Vorfälle zur Kenntnis nehmen und melden. Das Meldeverfahren und der Meldemechanismus sollten leicht zugänglich sein, damit die Beteiligten der eingerichteten Kontaktstelle Schwachstellen schnellstmöglich melden können – mit dem Ziel, das Auftreten von Vorfällen zu verhindern.

Anhang A.16.1.4 Bewertung von und Entscheidung über Informationssicherheitsereignisse

Noch vor der Klassifizierung als „Vorfälle“ müssen Informationssicherheitsereignisse bewertet werden. Die eingerichteten Kontaktstellen müssen die Informationssicherheitsereignisse anhand einer vorher festgelegten Klassifizierung beurteilen, um die Auswirkungen und das Ausmaß des Ereignisses zu bewerten und festzustellen, ob es sich dabei um einen Sicherheitsvorfall handelt. Die Ergebnisse dieser Bewertung müssen zur späteren Verwendung und für Überprüfungszwecke aufgezeichnet werden. Zusammenfassend lässt sich dieses Verfahren in die folgenden Phasen einteilen:

  1. Erkennung, Priorisierung und Bewertung
  2. Eindämmung
  3. Untersuchung/Ursachenanalyse
  4. Reaktion
  5. Nachbereitung

Anhang A.16.1.5 Reaktion auf Informationssicherheitsvorfälle

Die Reaktion auf einen Informationssicherheitsvorfall hat im Einklang mit den dokumentierten Verfahren (dem Incident-Response-Management Ihrer Organisation) zu stehen. Eine ernannte Kontaktstelle sowie andere relevante interne oder externe Parteien sollten auf Informationssicherheitsvorfälle reagieren.

Folgende Aspekte sollten Teil der Reaktion sein:

  • Sofortiges Sammeln von Beweismaterial
  • Durchführung einer forensischen Informationssicherheitsanalyse
  • Eskalation der Vorfälle, wenn nötig
  • Protokollierung aller Reaktionsmaßnahmen für die künftige Analyse
  • Kommunikation aller Details des Informationssicherheitsvorfalls an relevante Parteien, sowohl intern als auch extern
  • Behebung aller Informationssicherheitsschwachstellen, die zu dem Vorfall beitrugen oder ihn verursachten
  • Offizielle Beendung und Aufzeichnung des Vorfalls, nachdem dessen Handhabung und die ergriffenen Maßnahmen vollständig abgeschlossen sind
  • Analyse des Vorfalls zur Ursachenerkennung

Anhang A.16.1.6 Erkenntnisse aus Informationssicherheitsvorfällen

Nach der Bewältigung von Vorfällen müssen alle damit verbundenen Kenntnisse für die Verhinderung künftiger Vorfälle verwendet werden. Die Art, der Umfang und die Kosten des Informationssicherheitsvorfalls sind zu quantifizieren und mit wirksamen Mechanismen zu überwachen. Die aus diesen Beurteilungen erlangten Ergebnisse sollten effektiv eingesetzt werden, um wiederholte oder kritische Vorfälle zu erkennen und zu verhindern.

Anhang A.16.1.7 Sammeln von Beweismaterial

Verfahren zur Erkennung, zum Sammeln, zur Beschaffung und zur Aufbewahrung von Informationen sind erforderlich. Dieses Beweismaterial kann für die Entscheidung über Disziplinar- oder Rechtsmaßnahmen verwendet werden. Bei internen Verfahren sollten dabei Folgendes beachtet werden:

  • Kontrollkette
  • Sicherheit des Beweismaterials
  • Sicherheit der Beschäftigten
  • Rollen und Zuständigkeiten der beteiligten Beschäftigten
  • Kompetenz der Beschäftigten
  • Dokumentation
  • Einweisung der Beschäftigten

Wenn möglich, sollte der Beweiswert des Materials durch Bestätigungen oder andere relevante unterstützende Unterlagen erhöht werden. 

Fazit

Die Anhang A-Maßnahmen umfassen 114 Einzelmaßnahmen, die nicht obligatorisch sind, sondern je nach den Zielsetzungen Ihrer Organisation in puncto Informationssicherheit ausgewählt werden können.  

Zusammenfassend befasst sich Anhang A.16 mit der Bedeutung des Informationssicherheitsvorfallsmanagements durch sieben Maßnahmen, die die Ausarbeitung von Verfahren, Meldemechanismen und Reaktionen aufzeigen. A.16 zielt darauf ab, das Vorfallsmanagement-Konzept Ihrer Organisation zu stärken, die Auswirkungen von Sicherheitsvorfällen einzudämmen sowie deren Auftreten in der Zukunft zu verhindern.

DataGuard unterstützt Unternehmen bei der Implementierung von ISO 27001-Maßnahmen und der Zertifizierung. Möchten Sie die Informationssicherheit in Ihrem Unternehmen verbessern? Vereinbaren Sie noch heute einen Termin und setzen Sie sich mit unseren Experten in Verbindung. 

 
ISo 27001 Roadmap

Roadmap zur ISO 27001 Zertifizierung

Mit unserem kostenlosen Leitfaden behalten Sie den Überblick auf dem Weg zur Zertifizierung Ihres ISMS nach ISO 27001. 

Jetzt kostenlos herunterladen

Über den Autor

Sprechen Sie unser Sales-Team an

Erfahren Sie, wie DataGuard Ihnen helfen kann.

Finden Sie heraus, wie unsere Datenschutz-, Informationssicherheits- und Compliance-Lösung Vertrauen stärkt, Risiken minimiert und Umsatz steigert.

  • bis heute 100% Erfolgsquote bei ISO 27001 Audits
  • 40% Reduzierung bei Gesamtbetriebskosten (TCO)
  • Eine skalierbare und einfach zu verstehende Web-Plattform
  • Praktisch umsetzbare Handlungsempfehlungen unserer Experten

Vertrauen von mehr als Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Lernen Sie DataGuard kennen

Fordern Sie noch heute Ihr Angebot an

Ihre Vorteile im Überblick

  • Benennung eines externen Datenschutzbeauftragten
  • Audit Ihrer Datenverarbeitungsvorgänge
  • Unterstützung rund um AV-Verträge, VVT, TOM, Schulung, u.v.m.
  • Personalisierte Betreuung durch Ihren Ansprechpartner 
  • Skalierbar für KMU und Konzerne
  • 100+ Experten aus den Bereichen Recht, Wirtschaft & IT

Vertrauen von mehr als Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Lernen Sie DataGuard kennen

Vereinfachung Ihrer Compliance-Prozesse

Ihre Vorteile im Überblick

  • Kontinuierliche Unterstützung auf Ihrem Weg zur Zertifizierung nach ISO 27001 und TISAX®️, sowie NIS2 Compliance
  • Profitieren Sie von persönlicher Beratung
  • Bauen Sie ein strukturiertes ISMS mit unserer InfoSec-Plattform auf
  • Automatische Erstellung verpflichtender Dokumente
Certified-Icon

100% Erfolgsquote unserer Kunden bei Audits nach ISO 27001

TISAX® ist eine eingetragene Marke der ENX Association. DataGuard steht in keiner geschäftlichen Verbindung zu ENX. Wir bieten lediglich Beratung und Unterstützung zur Vorbereitung auf das Assessment nach TISAX® an. Die ENX Association übernimmt keine Verantwortung für die auf der DataGuard-Website dargestellten Inhalte.

Vertrauen von mehr als Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Lernen Sie DataGuard kennen

Jetzt Angebot anfragen

  • Proaktive statt reaktive Unterstützung
  • Erstellung der wichtigsten Dokumente und Richtlinien
  • Umfassendes Compliance-Management
  • Mitarbeiterschulungen
  • Digitales Compliance-Management-System
  • Beratung durch erfahrene Branchenexperten

Vertrauen von mehr als Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Lernen Sie DataGuard kennen

Jetzt Angebot anfragen

  • Einhalten der EU-Whistleblower-Richtlinie
  • Digitales Whistleblowing-System
  • Einfache und schnelle Implementierung
  • Zentrale Datenquelle
  • Sicher und gesetzeskonform
  • Klares und transparentes Reporting

Vertrauen von mehr als Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Jetzt Termin vereinbaren