Ziel / Zweck
Um IT-Systeme bzw. IT-Services schützen zu können, müssen sicherheitsrelevante Ereignisse rechtzeitig erkannt und behandelt werden. Dazu ist es notwendig, dass die Institution im Vorfeld geeignete organisatorische, personelle und technische Maßnahmen plant, implementiert und regelmäßig übt. Denn wenn auf ein vorgegebenes und erprobtes Verfahren aufgesetzt werden kann, lassen sich Reaktionszeiten verkürzen und vorhandene Prozesse optimieren.
Als sicherheitsrelevantes Ereignis wird ein Ereignis bezeichnet, das sich auf die Sicherheit von Informationen auswirkt und die Vertraulichkeit oder die Integrität oder die Verfügbarkeit oder eine Kombination dieser Werte beeinträchtigen kann. Typische Folgen solcher Ereignisse sind ausgespähte, manipulierte oder zerstörte Informationen. Die Ursachen hierfür sind dabei vielfältig: So spielen unter anderem Malware, veraltete Systeminfrastrukturen oder Innentäter eine Rolle. Angreifer nutzen aber auch oft Zero-Day-Exploits aus. Eine weitere erst zunehmende Gefährdung sind sogenannte Advanced Persistent Threats (APT). Dabei handelt es sich um zielgerichtete Cyber-Angriffe, bei denen sich ein Angreifer dauerhaften Zugriff zum Netz verschafft und diesen auf weitere IT-Systeme und deren Anwendungen ausweitet. Die Angriffe zeichnen sich durch einen sehr hohen Ressourceneinsatz und erhebliche technische Fähigkeiten aufseiten der Angreifer aus und sind oft schwer zu detektieren.
Das vorliegende Dokument definiert verbindliche Vorgaben für die Institution zur Detektion von sicherheitsrelevanten Ereignissen und beachtet die Anforderungen des BSI Bausteines DER.1 "Detektion von sicherheitsrelevanten Ereignissen" aus dem Kompendium 2020.
Über den bereitgestellten Download-Link kann die Vorlage heruntergeladen werden.
