Ein wichtiger Bestandteil von Informationssicherheitsmanagementsystemen (ISMS) ist die Identifikation und Bewältigung von Informationssicherheitsereignissen.

Zum einen werden im Rahmen der Ereignisbearbeitung (“incident management”) alle Beeinträchtigungen des Managementsystems nachgehalten und strukturiert behandelt und zum anderen kann die Analyse von Ereignissen oftmals zu einer besseren Anpassung oder Verbesserung des Managementsystems dienen. Eine kontinuierliche Verbesserung des ISMS ist in der Regel ebenfalls eine Forderung von Managementsystemen an sich.

Insbesondere Ursachenanalysen der Ereignisse können in das Risikomanagement einfließen oder Anpassung von Richtlinien oder Prozessen zur Folge haben. Sobald ein ISMS einen gewissen Reifegrad erreicht hat oder auch unmittelbar externe Anforderungen erfüllt werden müssen, unterscheidet man verschiedene Typen von Ereignissen.

Versuch einer Klassifizierung

Es lassen sich verschiedene Klassen von Ereignissen definieren. Sobald eine gewisse Komplexität der Managementsysteme erreicht wird oder auch ein entsprechend hohes Aufkommen von Ereignissen besteht, sollten Ereignisse in Stufen oder “Kritikalitäten” eingeordnet werden. Denkbar ist beispielsweise eine Einteilung basierend auf der Auswirkungshöhe (“impact”). Bitte dabei bedenken, dass eine Klassifikation von Ereignissen an die jeweilige Organisation und deren individuellen Erfordernisse angepasst werden muss.

Ereignisse

Informationssicherheitereignisse sind oftmals die niederschwelligste Klasse an Ereignissen. Die Geschäftsprozesse werden vernachlässigbar oder nur sehr gering beeinträchtigt.

Vorfälle

Vorfälle sind Ereignisse, deren Auswirkung auf Geschäftsprozesse ein derartiges Ausmaß erreicht hat, dass eine strukturierte Behandlung und Analyse der Wurzelursache benötigt wird. Manche Vorfälle beinhalten eine zeitrelevante Komponente - ohne eine zeitnahe Behandlung können sie weiter eskalieren und gegebenenfalls zu einer Bedrohung für den Geschäftsbetrieb werden.

Vorfälle mit Meldepflicht

Meldepflichtige Vorfälle sind Vorfälle, deren Auswirkung bzw. Beeinträchtigung der Geschäftsprozesse derartig schwer und umfangreich ist, dass eine Meldepflicht ausgelöst wird. Diese Meldepflicht kann beispielsweise aus vertraglichen Vereinbarungen herrühren, wenn die eigene Organisation Teil einer Lieferkette ist. Außerdem kann eine Meldepflicht an eine übergeordnete Konzernstruktur oder auch gegenüber Aufsichtsbehörden bestehen. In Deutschland existiert aktuell beispielsweise im Rahmen der Kritischen Infrastrukturen eine Meldepflicht gegenüber der entsprechenden Stelle des Bundesamtes für Sicherheit in der Informationstechnik (BSI).

Notfälle

Es kann passieren, dass die Übergänge von schwerwiegenden Vorfällen zu Notfällen fließend sind. Daher bietet sich die Verknüpfung des Ereignis- und Vorfallmanagements aus dem ISMS mit dem BCMS (Business Continuity Managementsystem / Geschäftsfortführungsmanagementsystems) an. Mit einer guten Schnittstelle beider Managementsysteme lässt sich ein Übergang mit möglichst geringem Zeitverlust darstellen, um Notfallpläne möglichst zeitnah in Gang setzen zu können und Auswirkungen von Notfällen möglichst schnell einzudämmen. Notfälle bedeuten in der Regel, dass kritische Geschäftsprozesse auf katastrophale Weise gestört sind und der Geschäftsbetrieb zumindest in Teilen zum Erliegen gekommen ist.

Hinweise

Auch bei der Abstufung von Ereignissen macht es bei der Errichtung und dem Betrieb eines ISMS Sinn, die Erfordernisse der Organisation zu analysieren und das Management von Ereignissen im ISMS anzupassen. Wenn ein Management von IT-Ereignissen oder Datenschutz-Ereignissen in einer Organisation existiert, sollten diese beim Design des Informationssicherheits-Ereignismanagements analysiert werden.

Im Rahmen der kontinuierlichen Verbesserung sollten auch Veränderungen von Ereignis-Management-Prozessen von Organisationseinheiten im Laufe der Zeit fortwährend betrachtet und gegebenenfalls in das Ereignis-Management des ISMS integriert werden.