Prozess für Sicherheitsvorfall-Management

Die BAIT (Bankaufsichtliche Anforderungen an die IT) verlangt ein Sicherheitsvorfall-Management.

Mögliche Vorfälle müssen im Vorfeld identifiziert, Auswirkungen auf die Informationssicherheit analysiert und Maßnahmen veranlasst werden. Doch zum Thema Sicherheitsvorfall fehlten in Sparkassen bislang meist ausformulierte Richtlinien, klar definierte Prozesse und ausreichend sensibilisierte Mitarbeiter. Mit den neuen BAIT ändert sich das: Sicherheitsrelevante Ereignisse müssen frühzeitig erkannt und behandelt werden (Detektion). Die damit notwendigen organisatorischen, technischen und personellen Maßnahmen erzeugen einen Mehraufwand, auch weil die Detektion umfassendes Protokollieren voraussetzt.

Beispiel Ransomware

Dem Informationssicherheits-Beauftragten (ISB) stellen sich nun viele Frage: Wie entstehen Sicherheitsvorfälle und was muss das Sicherheitsvorfallmanagement leisten, um diese zu verhindern? Die Sparkasse Hegau-Bodensee erläutert die Aufgaben anhand des Verschlüsselungstrojaners (Mail im Namen „Rolf Drescher“), der als fingierte elektronische Bewerbung via Schadcode massive Schäden bewirkt.„Das Vorgehen wie beim Beispiel Ransomware regeln geklärte Prozesse und Meldeketten“, bestätigt Maxim Sartison, Informationssicherheits- und Notfallbeauftragter der Sparkasse. Im Falle von verdächtigen Bewerber-E-Mails informiert ihn die Personalabteilung; er leitet dann die Meldung an die zentrale Mail-Datenbank in Lotus Notes weiter.

Anschließend prüft das Informationssicherheits-Team, inwieweit ein Ereignis vorliegt und definiert Sofortmaßnahmen – etwa auch sofortige Sensibilisierungsmaßnahmen. Anschließend checkt das Team eventuelle Meldepflichten und informiert die betroffenen Mitarbeiter und Abteilungen. Die nachfolgende Analyse und die Maßnahmenvorschläge basieren auf einer Risikoeinschätzung. Welche Maßnahmen können vergleichbare Ereignisse künftig verhindern? Wie muss das Rollen-Rechte-System auf Laufwerksebene zur potenziellen Schadensabdeckung angepasst werden? Und wie gestalten sich die Sensibilisierungsmaßnahmen im Detail? Zum Schluss erhält der Melder des Vorfalls eine Info mit den eingeleiteten Maßnahmen. Die geforderte Dokumentation umfasst ein Standardprotokoll für den Datenschutzbeauftragten, die Revision und den Vorstand.

Mitarbeiter sensibilisieren

„Das richtige Maß finden“: Diesem Prinzip folgt das Sensibilisierungskonzept der Sparkasse Hegau-Bodensee. Es definiert, in welchen Zeitfrequenzen welche Mitarbeiter wie sensibilisiert werden. Nicht zu vergessen: die Erfolgskontrolle.„Die Verbandsprüfer fragen, wie wir den Erfolg der Maßnahmen messen“, weiß Sartison. Hilfsmittel und Beratungsunterstützung erleichtern die Arbeit insgesamt. Davon profitiert die Sparkasse am Bodensee im Rahmen des Prozessunterstützungsvertrags mit dem Deutschen Sparkassenverlag (DSV). „Der frische Blick von außen hilft uns, die relevanten Prozesse und Schnittstellen im Haus zu klären“, ergänzt Sartison. Zusätzlich beachtet er die S-Cert-Meldungen vom SIZ, nutzt externe Informationsquellen wie Heise.de und nicht zuletzt die WBTs vom DSV zur Mitarbeitersensibilisierung. Hierzu ergänzend empfiehlt sich die neue interaktive Online-Broschüre.