ITS Sicherheitsvorfall melden
Vorfallsarten
Als sicherheitsrelevantes Ereignis wird ein Ereignis bezeichnet, das die Grundwerte Vertraulichkeit, Integrität und Verfügbarkeit beeinträchtigen kann
Ereignisse sind die “kleinen” Sicherheitsvorfälle, die bei Ihnen auftreten. Dazu zählen Phishing-Mails, Virenmeldungen und Nachrichten, die durch Systeme automatisch erzeugt werden.
Ein Verdachtsfall liegt dann vor, wenn in der fachlichen Bewertung eines sicherheitsrelevanten Ereignisses festgestellt wird, dass die Möglichkeit eines Sicherheitsvorfalls besteht oder dieses Ereignis sich zu einem Sicherheitsvorfall entwickeln kann.
Beispiel: Zum jetzigen Zeitpunkt weiß der Bearbeiter noch nicht, ob es sich bei dem E-Mail-Anhang um eine echte Schadsoftware handelt. Im Nachhinein stellt sich heraus, dass das xls-Dokument mit Makrofunktion eine valides Dokument zum Abfragen von Daten ist.
Ein Sicherheitsvorfall ist jedes Ereignis, das die Informationssicherheit in mindestens einem ihrer Grundwerte Vertraulichkeit, Verfügbarkeit oder Integrität nicht nur unerheblich beeinträchtigt.
Die Unterscheidung, wann ein Sicherheitsvorfall und wann „nur“ ein sicherheitsrelevantes Ereignis vorliegen, ist eine der schwierigsten Fragen der Einstufung eines Incidents, auch für erfahrene IT-Sicherheitsanalysten!
Im CERT-Hessen hat sich folgende Faustregel bewährt:
- Sicherheitsvorfälle liegen immer vor, wenn die Behandlung des Falls dem ISB Arbeit bereitet hat, die über die Kenntnisnahme hinausgeht. So ist eine erkannte Phishing-Mail ohne weitere Behandlung ein sicherheitsrelevantes Ereignis.
- Wenn Ihnen eine Kollegin oder ein Kollege gemeldet hat, dass sie bei einer Phishing-Mail den schadhaften Anhang angeklickt haben, stufen Sie den Fall bitte als Sicherheitsvorfall ein, auch wenn kein Schaden entstanden ist.
Bei der Frage der Einstufung gibt es keine 100% gegeneinander abtrennbare Kriterien, letzten Endes ist immer eine Ermessenentscheidung des ISBs.