Sicherheitsvorfälle

Sicherheitsvorfall melden

Jeder VASGARD/IAN Benutzer hat die Möglichkeit über den Button Sicherheitsvorfälle melden einen neuen Sicherheitsvorfall zu melden. Dabei öffnet sich ein Modal mit dem Asset-Editor wie in der CCDB. In dieser Maske wird die Erstbewertung des Vorfalls durchgeführt. Dabei ist es in dieser Maske möglich, sowohl unbedeutende als auch bedeutende bzw. schwerwiegende Sicherheitsvorfälle einzustufen. Die Erfassung von unbedeutenden Sicherheitsvorfällen (z.B. Verlust eines Endgeräts) soll für die Beteiligten mit geringem Aufwand möglich sein. Wiederum werden in dieser Phase aber auch Informationen für die Erkennung von schwerwiegenden Sicherheitsvorfällen erfasst, welche Meldeverpflichtungen nach sich ziehen oder Kriterien für den EZB ITQ abfragt.

Einzelansicht der Sicherheitsvorfälle

Die Einzelansichten der Sicherheitsvorfälle werden sowohl in den Kopfinformationen, als auch in den einzelnen Tabs angepasst.

In der Kopfmaske hat der Melder des Sicherheitsvorfalles folgende Felder auszufüllen:

(1) Name: Das Feld Name kommt von dem Namen, der von dem Erstmelder des Sicherheitsvorfalles bei der Neuerstellung des Sicherheitsvorfalles vergeben wird.

(2) Melder: Das System trägt automatisch den Namen des Erstmelders in dieses Feld ein. Im Nachgang ist es für die nächsten Bearbeiter des Sicherheitsvorfalls möglich, einen neuen Melder zu verlinken, falls dies nötig ist.

(3) Erreichbarkeit Melder: Das System entnimmt die Telefonnummer und die E-Mail-Adresse des Melders aus der CCDB im VASGARD/IAN und trägt sie automatisch in dieses Feld ein. Dieses Feld ist nicht aktiv zu befüllen.

(4) Betroffener: Der Bearbeiter muss manuell verlinken, wer von dem Sicherheitsvorfall betroffen ist. Das kann er tun, indem er auf den Button zum Bearbeiten klickt.

(5) Erreichbarkeit Betroffener: Das System entnimmt die Telefonnummer und die E-Mail-Adresse des Betroffenen aus der CCDB im VASGARD/IAN und trägt sie automatisch in dieses Feld ein. Dieses Feld ist nicht aktiv zu befüllen.

(6) Sammelvorfall: Wenn der Bearbeiter den Sicherheitsvorfall splittet, dann trägt das System den Sammelvorfall in diesem Feld für alle Splits und den Sammelvorfall selbst ein. Im Nachgang ist es für die weiteren Bearbeiter des Sicherheitsvorfalls möglich, einen neuen Sammelvorfall zu verlinken, falls dies nötig ist. Dieses Feld ist bei der Erstmeldung nicht aktiv zu befüllen.

(7) Bearbeiter: Wenn der ISB bzw. ein anderer Bearbeiter die weitere Bearbeitung des Sicherheitsvorfalls zuweist, dann trägt das System den Bearbeiter, der bei der Zuweisung verlinkt wurde, automatisch in dieses Feld ein.

(8) Einstufung: Das System trägt automatisch die Einstufung des Sicherheitsvorfalls ein, nachdem der Bearbeiter die folgenden Blöcke ausgefüllt hat:

• Kriterien für eine ZAG-Meldung

• Kriterien für eine EZB-Meldung

• Wie kritisch bewerten Sie den Vorfall auf Basis der vorliegenden Informationen?

• Welche Schutzziele sind durch den Vorfall betroffen?

• Auf welcher Kategorie kann der Vorfall bezogen werden?

• Fand der Vorfall über den Cyber-Raum statt?

(9) Status: Das System trägt die Phase, die aktuell in der App bearbeitet wird, automatisch im Feld Status ein.

(10) Involvierte Mitarbeiter: Mitarbeiter, die in den Sicherheitsvorfall involviert sind, können über den Button Bearbeiten hinzugefügt werden. Die grau unterlegten Felder werden automatisch vom System ausgefüllt, nachdem der Benutzer die übrigen Eingaben im Bearbeitungsbereich der Maske eingetragen hat. Die Informationen werden in jeder Bearbeitungsphase den Bearbeitern lesend angezeigt.

Erstmeldung Sicherheitsvorfall

Sobald der Erstmelder die Kopfmaske befüllt hat, kann dieser nun alle weiteren Attribute für die Erstmeldung des Sicherheitsvorfalls ausfüllen, muss aber mindestens die Pflichtattribute ausfüllen, um den Sicherheitsvorfall zu speichern. Diese sind:

• Ursachen und Auswirkungen des Ereignisses

• Details - Wann festgestellt?

• Auswirkungen

• Auf welche Kategorie kann der Vorfall bezogen werden?

• Fand der Vorfall über den Cyber-Raum statt?

• IT1 Helpdesk informiert?

Nach einem Klick auf Meldung abschließen wird der Sicherheitsvorfall angelegt erhält den Status Einstufung / Erstbewertung und wird an den ISB weitergeleitet. Sodann findet er sich unter dem Tab Aktuell (zu sehen für den ISB) wieder.

Einstufung bzw. Erstbewertung durch den ISB

Ein gemeldeter Sicherheitsvorfall wird durch die Sicherheitsorganisation einer Erstbewertung unterzogen. Als Mitglieder der Sicherheitsorganisation gelten alle Benutzer, die in der App die Rolle ISB zugewiesen haben.

Wird der Sicherheitsvorfall im Tab Aktuell von dem ISB ausgewählt, öffnet sich folgendes Modal:

Der ISB hat in die Möglichkeit die vorhandene Sicherheitsmeldung einzustufen bzw. zu bewerten und ggf. abzuändern. Änderbar sind:

• Ursachen und Auswirkungen des Ereignisses

• Art des Vorfalls

• Wie kritisch bewerten Sie den Vorfall auf Basis der vorliegenden Informationen?

• Details - Wann festgestellt?

• Welche Schutzziele sind durch den Vorfall betroffen?

• Auf welche Kategorie kann der Vorfall bezogen werden?

• Fand der Vorfall im Cyber-Raum statt?

• IT1 Helpdesk informiert?

Weiterhin stehen dem ISB folgende Möglichkeiten zur Verfügung:

Schließen: Das aktuell angezeigte Modal wird geschlossen.

Zuweisen: Der Sicherheitsvorfall kann einem oder mehreren Bearbeitern mit angefügter Nachricht durch Angabe des Bearbeiters zugewiesen werden.

Split: Der Sicherheitsvorfall kann durch die Angabe von mehreren Bearbeitern in mehrere Teil-Vorfälle aufgeteilt werden. Dabei wird pro angegebenen Bearbeiter ein Teil-Vorfall erstellt. Für die Anlage eines Teil-Vorfalls müssen der/die jeweiligen Bearbeiter, der Name des Unterfalls sowie eine Nachricht eingetragen werden.

Zwischenspeichern: Getätigte Änderungen werden zwischengespeichert.

Bewertung abschließen: Durch das Betätigen der Schaltfläche kann der ISB den Sicherheitsvorfall in die nächste Phase überführen. Handelt es sich dabei um einen als unbedeutend eingestuften Sicherheitsvorfall wird die nächste Phase (Analysephase) übersprungen und der Sicherheitsvorfall wird direkt in die Informations- und Behandlungsphase überführt. Dafür muss ein Bearbeiter ausgewählt und eine Nachricht verfasst werden. Handelt es sich um einen bedeutenden oder schwerwiegenden Fall, geht der Sicherheitsvorfall in die Analysephase über. Dazu muss ein Bearbeiter ausgewählt und eine Nachricht verfasst werden.

Schließt der ISB die Bewertung ab, geht der Sicherheitsvorfall in die Phase Analyse über und erhält den Status In Analyse.

Analyse

Analyse - Bearbeitung durch zuständigen Bearbeiter

In der Phase Analyse werden Informationen zu den Auswirkungen des Vorfalls erfasst.

Wird der Sicherheitsvorfall im Tab Aktuell mit dem Status In Analyse vom zuständigen Bearbeiter ausgewählt, öffnet sich folgendes Fenster:

Der zuständige Bearbeiter kann nun alle Attribute ausfüllen, muss aber mindestens die Pflichtattribute ausfüllen, um die Analyse abzuschließen.

Weiterhin stehen dem zuständigen Bearbeiter folgende Möglichkeiten zur Verfügung:

Schließen: Das aktuell angezeigte Fenster wird geschlossen.

Zuweisen: Der Sicherheitsvorfall kann einem oder mehreren Bearbeitern mit angefügter Nachricht durch Angabe des Bearbeiters zugewiesen werden.

Zwischenspeichern: Getätigte Änderungen werden zwischengespeichert.

Analyse abschließen: Durch das Betätigen der Schaltfläche kann der zuständige Bearbeiter den Sicherheitsvorfall in die nächste Phase Behandlung überführen. Dazu muss ein Bearbeiter ausgewählt und eine Nachricht verfasst werden.

Schließt der zuständige Bearbeiter die Analyse ab, geht der Sicherheitsvorfall in die Phase Behandlung über und erhält den Status In Behandlung. Der Abschluss der Analyse wird im Verlauf der Dokumentation erfasst.

Analyse - Eskalation durch ISB

Ab dieser Phase wird es dem ISB ermöglicht, aus dem System heraus Eskalationsnachrichten an den zuständigen Bearbeiter oder an den Vorgesetzten des aktuell zuständigen Bearbeiters versenden zu können, wenn Sicherheitsvorfälle nicht entsprechend bearbeitet werden.

Bei der Öffnung der Maske Analyse durch den ISB wird zusätzlich die Schaltfläche Eskalation freigeschaltet. Wird auf diese Schaltfläche geklickt, dann öffnet sich das Pop-Up-Fenster Eskalation.

(1) Vorgesetzter: Der Vorgesetzte wird automatisch vom System in dem Feld Vorgesetzter eingetragen.

(2) Bearbeiter: Der ISB kann den Bearbeiter, der für die Bearbeitung des Vorfalls verantwortlich ist, in dem Feld Bearbeiter verlinken. Dafür muss der ISB den Button Bearbeiten klicken und den Bearbeiter auswählen.

(3) Plus: Klickt der ISB auf das Icon, dann öffnen sich zwei weitere Eingabefelder Vorgesetzter und Bearbeiter. Der ISB kann so Eskalationen an mehrere Bearbeiter versenden.

(4) Nachricht: Darüber hinaus enthält das Eskalationsfenster ein Feld für Freitext Nachricht, in dem der ISB dem Bearbeiter eine Nachricht verfassen kann. Klickt der ISB auf die Schaltfläche Absenden, dann wird eine E-Mail an die angegebenen Personen versandt.

Behandlung

Meldung

In der Phase Behandlung werden unter Meldung Nutzende darüber informiert, ob der Vorfall, anhand der bis dahin zusammengetragenen Informationen, höheren Instanzen gemeldet werden muss. Es wird demnach erfasst, welche und zu welchem Zeitpunkt interne und externen Stellen von dem Sicherheitsvorfall informiert wurden. Diese Ansicht wird jedoch nur dem ISB angezeigt.

(1) Benachrichtigte interne Personen/Instututionen (ggf. mit Datum/Uhrzeit)

(2) Benachrichtigte externe Personen/Instututionen (ggf. mit Datum/Uhrzeit)

Behandlung

Unter Behandlung können sodann Tickets und Abweichungen erstellt und verknüpft werden, die bei der Nachverfolgung des Sicherheitsvorfalles helfen.

Abweichungen

Der Tab Abweichungen enthält im oberen Bereich der Maske eine Liste aller Abweichungen, die bis zu dem Zeitpunkt im Zusammenhang mit dem vorliegenden Vorfall erfasst worden sind. Diese können jederzeit vom ISB gelöscht werden. In dieser Liste wird die Bezeichnung der Abweichung des VASGARD/IAN gezeigt. Weiterhin können neue Abweichungen angelegt werden.

Tickets

Der Tab Tickets enthält auf der oberen Seite die Liste aller im Zusammenhang mit der Bearbeitung des vorliegenden Vorfalls erfassten Tickets (z.B. auf der Maske Einstufung / Erstbewertung die Tickets, die entweder vom Helpdesk oder selber erstellt wird). Diese können jederzeit ausschließlich vom ISB gelöscht werden. Auf der unteren Seite der Maske kann erneut ein vorhandenes Ticket zum vorliegenden Vorfall verlinkt werden. Daraufhin soll der Bearbeiter das Ticket auswählen. Ansonsten kann der Bearbeiter ein neues Ticket anlegen, indem er das Plus-Icon wählt. In diesem Fall öffnet sich das Fenster zur Erfassung eines neuen Tickets.

Es stehen folgende Möglichkeiten zur Verfügung:

(1) Schließen: Das aktuell angezeigte Fenster wird geschlossen.

(2) Zwischenspeichern: Getätigte Änderungen werden zwischengespeichert. Der Sicherheitsvorfall kann einem Bearbeiter oder mehreren Bearbeitern mit angefügter Nachricht durch Angabe des Bearbeiters und einer Nachricht zugewiesen werden.

(3) Zuweisen: Der Sicherheitsvorfall kann einem Bearbeiter oder mehreren Bearbeitern mit angefügter Nachricht durch Angabe des Bearbeiters und einer Nachricht zugewiesen werden.

(4) Ein/Rückstufung: Die Schaltfläche Ein/Rückstufung ist nur dem ISB sichtbar ist. Wenn der ISB auf diese Schaltfläche klickt, dann öffnet sich das Fenster Einstufung bzw. Rückstufung durch den ISB. Diese Schaltfläche kann die ISB-Rolle in allen Masken sehen – in der Einstufung / Erstbewertung, Analyse, Behandlung, Meldung und Abschluss. Dabei bleibt das Fenster Einstufung bzw. Rückstufung durch den ISB unverändert in allen Masken.

(5) Split: Der Sicherheitsvorfall kann durch die Angabe von mehreren Bearbeitern in mehrere Teil-Vorfälle aufgeteilt werden. Dabei wird pro angegebenen Bearbeiter ein Teil-Vorfall erstellt. Für die Anlage eines Teil-Vorfalls müssen der/die jeweiligen Bearbeiter, der Name des Unterfalls sowie eine Nachricht eingetragen werden.

(6) Bericht erstellen: Es ist möglich zu dem Sicherheitsvorfall einen Bericht für den Fall einer EZB-Meldung erstellen zu lassen. Wenn die Schaltfläche geklickt wird, öffnet sich ein Fenster, mit einer Auswahl von Berichten, die erstellt werden können. Wird einer dieser Berichte angeklickt, öffnet sich dieser in einem neuen Tab.

(7) Zum Abschluss: Durch das Betätigen der Schaltfläche kann der zuständige Bearbeiter den Sicherheitsvorfall in die nächste Phase Abschluss überführen, in dem der Sicherheitsvorfall an den Informationssicherheitsbeauftragten übergeben wird.

(8) Verlinkung: Über die Schaltfläche kann eine Verlinkung hinzugefügt werden.

(9) Plus: Es kann ein neues Ticket angelegt werden.

Schließt der zuständige Bearbeiter die Behandlung ab, geht der Sicherheitsvorfall in die Phase Abschluss über und erhält den Status In Abschluss. Der Abschluss der Behandlung wird im Verlauf der Dokumentation erfasst.

Abschluss

In der Phase Abschluss werden Aufwände und Erkenntnisse zur Bearbeitung des Sicherheitsvorfalles durch den ISB erfasst.

Der ISB kann nun alle Attribute ausfüllen, muss aber mindestens die Pflichtattribute ausfüllen, um die Bearbeitung des Sicherheitsvorfalles abzuschließen. Mindestens diese Pflichtattribute müssen ausgefüllt werden, damit der Sicherheitsvorfall abgeschlossen werden kann:

• Welcher Aufwand ist voraussichtlich zur Bearbeitung des Sicherheitsvorfalls erforderlich?

Weiterhin stehen folgenden dem ISB folgende Möglichkeiten zur Verfügung:

(1) Schließen: Das aktuell angezeigte Fenster wird geschlossen.

(2) Zwischenspeichern: Getätigte Änderungen werden zwischengespeichert. Der Sicherheitsvorfall kann einem Bearbeiter oder mehreren Bearbeitern mit angefügter Nachricht durch Angabe des Bearbeiters und einer Nachricht zugewiesen werden.

(3) Analyse: Der Sicherheitsvorfall kann durch diese Schaltfläche wieder in die Phase Analyse zurückgeführt und zur erneuten Analyse vorgelegt werden. Dazu muss ein Bearbeiter ausgewählt und eine Nachricht verfasst werden.

(4) Split: Der Sicherheitsvorfall kann durch die Angabe von mehreren Bearbeitern in mehrere Teil-Vorfälle aufgeteilt werden. Dabei wird pro angebebenen Bearbeiter ein Teil-Vorfall erstellt. Für die Anlage eines Teil-Vorfalls müssen der/die jeweiligen Bearbeiter, der Name des Unterfalls sowie eine Nachricht eingetragen werden.

(5) Bericht erstellen: Es ist möglich zu dem Sicherheitsvorfall einen Bericht für den Fall einer EZB-Meldung erstellen zu lassen. Wenn die Schaltfläche geklickt wird, öffnet sich ein Fenster, mit einer Auswahl von Berichten, die erstellt werden können. Wird einer dieser Berichte angeklickt, öffnet sich dieser in einem neuen Tab.

(6) Abschließen: Durch das Betätigen der Schaltfläche kann der ISB den Sicherheitsvorfall abschließen, der dann in den Tab Abgeschlossen überführt wird. Durch das Bestätigen des Abschlusses des Vorfalls ist es nicht mehr möglich, den Sicherheitsvorfall und das Bearbeiten von Angaben vorzunehmen.