Incident Management
Wilhelm Dolle (erschienen in DuD - Datenschutz und Datensicherheit 07/2005)
Die Bezeichnung Incident (Vorfall) ist an sich wertneutral.
Primäres Anliegen bei der Reaktion auf solche Vorfälle sollte
es also sein zu klären, ob ein Sicherheitsverstoß –
beispielsweise ein Systemeinbruch – vorliegt oder ob es sich um
eine „normale“ Betriebsstörung handelt.
Betriebsstörungen
Nach dem recht allgemeinen Verständnis der ITIL (IT Infrastructure
Library) ist ein Incident (hier eine Störung) ein Ereignis, das
nicht zum standardmäßigen Betrieb eines Services gehört
und das tatsächlich oder potentiell eine Unterbrechung oder eine
Minderung der Service-Qualität verursacht. Ziel eines Incident
Managements ist es in diesem Zusammenhang, die schnellstmöglichste
Wiederherstellung des normalen Service-Betriebs bei minimaler
Störung des Geschäftsbetriebs zu garantieren sowie das
bestmögliche Niveau der Verfügbarkeit und Qualität des
Services aufrecht zu erhalten. Teilprozesse innerhalb des Incident
Managements sind dabei das Aufspüren und Klassifizieren von
Störungen, das Verfassen von Störungsberichten, die
Ermittlung der Ursache der Störung sowie deren Behebung und die
Wiederherstellung des Services.
Sicherheitsvorfälle
Betrachtet man Incident Management mit der Brille der IT-Sicherheit, so
findet man unter anderem bei der Fachgruppe „Security –
Intrusion Detection and Response“ (SIDAR) der
Gesellschaft für Informatik eine brauchbare Definition der
Aufgaben: Incident Management beschreibt hier den gesamten
organisatorischen und technischen Prozess der Reaktion auf erkannte und
vermutete Sicherheitsvorfälle in ITBereichen sowie hierzu
vorbereitende Maßnahmen und Prozesse. Dabei umfasst das Spektrum
möglicher Aufgaben für das Incident Management nicht nur
technische Probleme, Schwachstellen und konkrete Angriffe auf die
IT-Infrastruktur, sondern ebenso organisatorische und rechtliche
Fragestellungen.
Wird ein echter Sicherheitsvorfall diagnostiziert, müssen in der
Regel sofort die entsprechenden Reaktionen (Incident Response)
eingeleitet werden. Typischerweise bedient man sich dabei Methoden der
Computer-Forensik [1], um den angerichteten Schaden, den Angriffsvektor
[2] und die mögliche weitere Gefährdung der Organisation zu
ermitteln. Ein erfolgreich und ordnungsgemäß
durchgeführtes Incident-Response-Verfahren ist zudem die Grundlage
für eine eventuelle juristische Verfolgung, aber auch für die
Klärung von Streitfällen. Erfolgt das Vorgehen beispielsweise
nicht nach gängigen Best-Practice-Verfahren und wird nicht
hinreichend sorgfältig dokumentiert, so können bei einer
späteren Ermittlung oder bei einem Gerichtsverfahren Zweifel an
Herkunft, Besitztum oder Unversehrtheit der gefundenen Beweise bestehen.
Aufgabe des Incident Managements ist es dabei, den Verantwortlichen
einer Organisation die Planungswerkzeuge an die Hand zu geben, um die
nötige Vorarbeiten zu erkennen und durchzuführen, damit
im Falle des Incidents ohne zeitliche Verzögerung effektive und
effiziente Maßnahmen zum Schutz der Organisation ergriffen werden
können. Die organisatorischen Vorarbeiten umfassen unter anderem
die Erstellung einer Sicherheitsrichtlinie sowie eines Notfallsplans
nebst Entscheidungs- und Verantwortlichkeitsstrukturen, Schulungen, um
das Sicherheitsbewusstsein der Mitarbeiter zu schärfen, Regeln
für das Melden eines Incidents durch die Mitarbeiter,
Sicherheitsmonitoring- und Alarmierungskonzepte für das technische
Personal und die Bildung eines Computer Security Incident Response
Teams (CSIRT).
Auch wenn Incident-Response-Pläne das Eintreten eines Schadens
nicht unbedingt verhindern können, so ermöglichen sie in
vielen Krisensituationen, durch schriftlich fixierte Abläufe den
Überblick zu behalten, professionell und angemessen zu reagieren
und weiteren Schaden von der Organisation abzuwenden. Das Fehlen eines
solchen Plans ist ein bei Sicherheits-Audits häufig aufgedeckter
Fehler und ein deutlicher Hinweis auf unzureichendes Incident
Management.
Datenschutzaspekte
Da das Erkennen eines Sicherheitsvorfalls nicht ohne die Erfassung und
Auswertung von protokollierten Daten auskommt, muss man sich beim
Planen einer Incident-Response-Strategie auch zwangsläufig mit den
geltenden Grundsätzen des Datenschutzes auseinandersetzen. Das
Prinzip der Datenvermeidung gebietet es, weitestgehend auf das
Verarbeiten von personenbezogenen Daten zu verzichten bzw. – wo
ein vollständiger Verzicht nicht zu erreichen ist – den
Umfang der gespeicherten Daten möglichst gering zu halten. Sofern
sinnvoll realisierbar, sollten personenbezogene Daten, die für das
Incident Management erhoben werden, entweder anonymisiert oder
pseudonymisiert, also nur durch spezielle Zuordnungsregeln einer Person
zuordenbar, abgelegt werden. Das Protokollieren von Daten darf
außerdem nur in dem Umfang erfolgen, wie es für die
Erkennung von Sicherheitsvorfällen und deren eventuellen
Aufklärung erforderlich ist, und ist streng zweckgebunden. Die
Kontrolle des Datenschutzes und der Datensicherheit, und damit auch die
Auswertung der Protokolldaten, obliegt normalerweise dem betrieblichen
oder behördlichen Datenschutzbeauftragten. Er sollte nicht nur bei
einer Auswertung im Rahmen eines Incidents informiert, sondern
möglichst schon beim Erstellen der Incident-Response-Strategie
eingebunden werden.
Literatur
[1] Fox, Kelm, Gateway, DuD 8/2004, S. 491
[2] Weg, den der Eindringling bei seinem Einbruch in den fremden
Computer genommen hat, um dessen Sicherungsmaßnahmen zu umgehen.
Autor
Wilhelm Dolle ist Director Information Technology und Mitglied der
Geschäftsleitung, interActive Systems GmbH, Berlin sowie Mitglied
der GI-Fachgruppe SIDAR.