Incident Management

Überblick

Incident Management umfasst alle Prozesse und Maßnahmen zur Erkennung, Analyse, Behandlung und Nachbereitung von Sicherheitsvorfällen und IT-Störungen. Ein effektives Incident Management ist essentiell für die digitale operationelle Resilienz und erfüllt gleichzeitig Anforderungen aus DORA, NIS-2 und anderen regulatorischen Vorgaben.

Incident-Kategorien

Cybersecurity Incidents

  • Malware-Infektionen
  • Ransomware-Angriffe
  • DDoS-Angriffe
  • Phishing-Kampagnen
  • Datenlecks

IT-Service Incidents

  • Systemausfälle
  • Netzwerkausfälle
  • Datenbankfehler
  • Anwendungsfehler
  • Performance-Probleme

Compliance Incidents

  • Verstöße gegen Datenschutz
  • Regulatorische Verstöße
  • Policy-Verletzungen
  • Zugriffsrechtsverletzungen

Physische Incidents

  • Brand
  • Wasserschäden
  • Diebstahl
  • Naturkatastrophen

Incident Management Lifecycle

1. Vorbereitung

Etablierung von Prozessen, Tools, Teams und Kommunikationsplänen

2. Erkennung

Frühzeitige Erkennung von Incidents durch Monitoring und Alerts

3. Analyse

Klassifizierung, Priorisierung und erste Einschätzung des Incidents

4. Eindämmung

Sofortmaßnahmen zur Begrenzung der Auswirkungen

5. Behandlung

Systematische Behebung des Problems und Wiederherstellung

6. Wiederherstellung

Rückkehr zum Normalbetrieb und Validierung

7. Nachbereitung

Post-Incident Review, Lessons Learned und Verbesserungen

Incident Response Team (IRT)

Incident Manager

Koordiniert die Incident Response Aktivitäten

Security Analyst

Analysiert Sicherheitsvorfälle und Bedrohungen

IT-Operations

Führt technische Maßnahmen zur Behebung durch

Legal & Compliance

Prüft rechtliche Aspekte und Meldepflichten

Kommunikation

Verwaltet interne und externe Kommunikation

Management

Trifft strategische Entscheidungen und Eskalationen

Incident-Klassifizierung

Kritisch

Unmittelbare Bedrohung für Geschäftsbetrieb, erhebliche Auswirkungen. Sofortige Reaktion erforderlich. Meldung innerhalb von 1 Stunde.

Hoch

Signifikante Auswirkungen auf Geschäftsprozesse. Reaktion innerhalb von 4 Stunden. Meldung innerhalb von 4 Stunden (DORA).

Mittel

Begrenzte Auswirkungen, beherrschbar. Reaktion innerhalb von 24 Stunden. Dokumentation erforderlich.

Niedrig

Minimale Auswirkungen, keine Geschäftskontinuität gefährdet. Reaktion innerhalb von 72 Stunden.

DORA-Anforderungen an Incident Management

1

Früherkennung

Etablierung von Mechanismen zur frühzeitigen Erkennung von IKT-Vorfällen durch kontinuierliches Monitoring

2

Meldepflicht

Meldung schwerwiegender IKT-Vorfälle an die zuständige Aufsichtsbehörde innerhalb von 4 Stunden nach Erkennung

3

Dokumentation

Umfassende Dokumentation aller Incidents, einschließlich Ursachenanalyse und ergriffener Maßnahmen

4

Kontinuierliche Verbesserung

Regelmäßige Überprüfung und Verbesserung der Incident Management Prozesse basierend auf Lessons Learned

NIS-2-Anforderungen an Incident Management

1

Früherkennung

Etablierung von Prozessen zur Erkennung von Cybersicherheitsvorfällen durch kontinuierliche Überwachung der Netz- und Informationssysteme

2

Frühmeldung

Meldung erheblicher Cybersicherheitsvorfälle innerhalb von 24 Stunden nach Erkennung an die zuständige Behörde (BSI in Deutschland)

3

Detaillierte Meldung

Nachmeldung mit detaillierten Informationen innerhalb von 72 Stunden nach der Frühmeldung, einschließlich Beschreibung, betroffene Systeme, Auswirkungen und ergriffene Maßnahmen

4

Incident-Behandlung

Systematische Behandlung von Cybersicherheitsvorfällen mit angemessenen Maßnahmen zur Eindämmung, Beseitigung und Wiederherstellung

5

Dokumentation

Umfassende Dokumentation aller Cybersicherheitsvorfälle, einschließlich Ursachenanalyse, ergriffener Maßnahmen und Lessons Learned

6

Abschlussmeldung

Finale Meldung nach Abschluss der Incident-Behandlung mit Zusammenfassung der Behandlungsergebnisse und implementierten Verbesserungen

Wichtige Hinweise zu NIS-2 Meldepflichten:

  • Erheblicher Vorfall: Ein Vorfall, der erhebliche Auswirkungen auf die Verfügbarkeit, Authentizität, Integrität oder Vertraulichkeit von Netz- und Informationssystemen hat
  • Meldungsfrist: 24 Stunden nach Erkennung (nicht nach Eintritt) des erheblichen Vorfalls
  • Zuständige Behörde: BSI (Bundesamt für Sicherheit in der Informationstechnik) in Deutschland
  • Meldeportal: Meldungen erfolgen über das BSI-Meldeportal
  • Sanktionen: Verstöße gegen Meldepflichten können mit bis zu 1,4% des Jahresumsatzes oder 7 Mio. € geahndet werden

Incident Management Tools

SIEM-Systeme

Security Information and Event Management für zentrale Überwachung und Erkennung

Incident Tracking

Ticket-Systeme für Nachverfolgung und Dokumentation von Incidents

Forensik-Tools

Tools zur Analyse und Untersuchung von Sicherheitsvorfällen

Kommunikation

Eskalations- und Kommunikationssysteme für Incident Response Teams

Zusammenhang mit anderen ISMS-Komponenten

  • Risikomanagement: Incidents sind Realisierungen identifizierter Risiken und liefern Input für Risikobewertungen
  • Assetmanagement: Incidents betreffen konkrete Assets, deren Schutzstatus überwacht werden muss
  • BCM: Kritische Incidents können Business Continuity Pläne auslösen
  • DORA: DORA definiert spezifische Anforderungen an Incident-Erkennung und -Meldung (4-Stunden-Frist)
  • NIS-2: NIS-2 verlangt Meldung erheblicher Cybersicherheitsvorfälle innerhalb von 24 Stunden (Frühmeldung) und 72 Stunden (detaillierte Meldung)
  • Meldepflichten: Incident Management muss Meldepflichten nach DORA, NIS-2 und DSGVO erfüllen und dokumentieren
  • ISMS: Incident Management ist integraler Bestandteil des ISMS und liefert Daten für kontinuierliche Verbesserung