Ziel / Zweck
Um Schäden zu begrenzen und um weitere Schäden zu vermeiden, müssen erkannte Sicherheitsvorfälle schnell und effizient bearbeitet werden. Hierfür ist es notwendig innerhalb der Institution, ein vorgegebenes und erprobtes Verfahren zur Behandlung von Sicherheitsvorfällen zu etablieren (Security Incident Handling oder auch Security Incident Response).
Ein Sicherheitsvorfall kann sich extremst auf die Institution auswirken und große Schäden und Strafzahlungen nach sich ziehen. Solche Vorfälle sind beispielsweise Fehlkonfigurationen, die dazu führen, dass vertrauliche Informationen offengelegt werden, oder kriminelle Handlungen, wie z. B. das Hacking von Servern, der Diebstahl von vertraulichen Informationen sowie Sabotage oder Erpressung mit IT-Bezug.
Die Ursachen für Sicherheitsvorfälle sind vielfältig: So spielen unter anderem Malware, veraltete Systeminfrastrukturen oder Innentäter eine Rolle. Angreifer nutzen aber auch oft Zero-Day-Exploits aus, also Sicherheitslücken in Programmen, für die es noch keinen Patch gibt. Eine weitere ernstzunehmende Gefährdung sind sogenannte Advanced Persistent Threats (APT).
Außerdem könnten sich Benutzer, Administratoren oder externe Dienstleister falsch verhalten, sodass Systemparameter sicherheitskritisch geändert werden oder sie gegen interne Richtlinien verstoßen. Weiter ist als Ursache denkbar, dass Zugriffsrechte verletzt werden, dass Software und Hardware geändert oder schutzbedürftige Räume und Gebäude unzureichend gesichert werden.
Ziel dieser Sicherheitsrichtlinie ist es, einen systematischen Weg aufzuzeigen, wie ein Konzept zur Behandlung von Sicherheitsvorfällen erstellt werden kann. Für die Erstellung dieser Sicherheitsrichtlinie wurde auf die Vorgaben des BSI Bausteines DER.2.1 "Behandlung von Sicherheitsvorfällen" aus dem Kompendium 2020 zurückgegriffen.
Über den bereitgestellten Download-Link kann die Vorlage heruntergeladen werden.
