{ "class": "BSI-Stand-der-Technik-Kernel", "controls": [ { "class": "BSI-Stand-der-Technik-Kernel", "id": "REA.3.1.1", "parts": [ { "id": "REA.3.1.1_stm", "name": "statement", "props": [ { "name": "documentation", "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", "value": "Behandlung von Sicherheitsvorfällen" }, { "name": "result", "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", "value": "Erkenntnisse" }, { "name": "result_specification", "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", "value": "einschließlich Art, Umfang und Schäden des Vorfalls" }, { "name": "action_word", "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", "value": "dokumentieren" }, { "name": "modal_verb", "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", "value": "SOLLTE" } ], "prose": "Sicherheitsvorfallsbehandlung SOLLTE Erkenntnisse einschließlich Art, Umfang und Schäden des Vorfalls dokumentieren." }, { "id": "REA.3.1.1_gdn", "name": "guidance", "prose": "Die Erkenntnisse (findings) umfassen hier eine systematisch strukturierte Auswertung eines Informationssicherheitsvorfalls (security incident), wobei Art die konkrete Typisierung des Ereignisses meint (z.B. unbefugter Zugriff, Fehlkonfiguration, Manipulation), Umfang die tatsächlich betroffenen IT-Systeme, Daten oder Prozesse beschreibt (impact scope) und Schäden sowohl technische als auch betriebswirtschaftliche Beeinträchtigungen bezeichnet (damage bzw. loss). Solch strukturierte Informationen können helfen, wiederkehrende Angriffsmuster oder Probleme zu erkennen und so die Eintrittswahrscheinlichkeit oder das Schadensausmaß zukünftiger Vorfälle zu verringern, während unzureichend dokumentierte Erkenntnisse dazu führen könnte, dass Ursachen im Dunkeln bleiben oder Gegenmaßnahmen nicht auch auf zukünftige Vorfälle wirken können. In der praktischen Umsetzungbietet bietet es sich dazu an Incident-Reports zu erstellen, die sowohl eine quantiative Einordnung anhand von Klassifikationsschemata, als auch eine qualitative Beschreibung von Ursache und Gegenmaßnamen erfasst wird. Diese Berichte können beispielsweise in ein zentrales, revisionssicheres Register für Vorfallsdokumentationen oder herstellerneutralen Ticket- oder IR-Tools abgelegt werden." } ], "props": [ { "name": "alt-identifier", "value": "b2a6adf2-ffe3-4b9d-9678-e938e425cb58" }, { "name": "sec_level", "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", "value": "normal-SdT" }, { "name": "effort_level", "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", "value": "4" } ], "title": "Quantitative Analyse" } ], "id": "REA.3.1", "links": [ { "href": "#TEST.5.5", "rel": "related" }, { "href": "#DLS.3.1", "rel": "related" }, { "href": "#NOT.3.4", "rel": "related" } ], "params": [ { "id": "rea.3.1-prm1", "label": "regelmäßig", "props": [ { "name": "alt-identifier", "value": "eb3880e9-a0da-4372-84a7-7b0b69b8a852" } ] } ], "parts": [ { "id": "REA.3.1_stm", "name": "statement", "props": [ { "name": "documentation", "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", "value": "Behandlung von Sicherheitsvorfällen" }, { "name": "result", "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", "value": "bisherige Maßnahmen anhand von Erkenntnissen aus Informationssicherheitsvorfällen" }, { "name": "result_specification", "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", "value": "{{regelmäßig}}" }, { "name": "action_word", "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", "value": "überprüfen" }, { "name": "modal_verb", "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", "value": "SOLLTE" } ], "prose": "Sicherheitsvorfallsbehandlung SOLLTE bisherige Maßnahmen anhand von Erkenntnissen aus Informationssicherheitsvorfällen {{ insert: param, rea.3.1-prm1 }} überprüfen." }, { "id": "REA.3.1_gdn", "name": "guidance", "prose": "Erkenntnisse meint hier sowohl technische Aspekte („technical findings“), organisatorische Schwachstellen („process deficiencies“) als auch menschliche Faktoren („human factors“). Dabei ist es zielführend, sich nicht nur auf die unmittelbaren Ursachen zu beschränken (z.B. „Administrierende haben vergessen eine abhängige Komponente zu aktualisieren“), sondern nach den tieferen prozessualen oder technischen Ursachen zu suchen (sog. Root Cause Analyse), z.B. „Abhängigkeiten wurden bislang nicht dokumentiert“. Dabei kann es helfen, wenn alle Beteiligten verstehen, dass es nicht um Schuldzuweisungen geht, sondern um kontinuierliche Verbesserung der Informationssicherheit. Neben technischen Verbesserungen sind dabei auch organisatorische Maßnahmen sinnvoll. Beispielsweise können reale Beispiele in Schulungen verwendet werden, was die Bedeutung für die tägliche Arbeit der Teilnehmenden verdeutlicht und ähnliche Vorfälle in Zukunft vermeiden hilft. Ein regelmäßiger Überprüfungsrhythmus – regelmäßig kann hier je nach Kritikalität der Systeme etwa quartalsweise, halbjährlich oder nach jedem relevanten Vorfall bedeuten – dient dazu, bestehende sicherheitsrelevante Maßnahmen anhand der aus Vorfällen gewonnenen Erkenntnisse neu zu bewerten. Die regelmäßige Überprüfung kann verhindern, dass sich Schwachstellen verfestigen, die sonst unentdeckt bleiben könnten, beispielsweise unerkannte Fehlkonfigurationen oder wiederkehrende Bedienfehler, die bei zukünftigen Angriffen ausgenutzt werden könnten. Gleichzeitig kann sie dazu beitragen, dass eingeführte Verbesserungen nachhaltig wirken und im Alltag nicht wieder verwässern, was die Resilienz der Institution erhöhen kann. Mögliche Optionen reichen von strukturierten Lessons-Learned-Sitzungen über die Pflege eines Katalogs wiederkehrender Ursachen bis hin zur Integration von Anpassungen in technische Härtungsmaßnahmen oder Arbeitsanweisungen." } ], "props": [ { "name": "alt-identifier", "value": "eb3880e9-a0da-4372-84a7-7b0b69b8a852" }, { "name": "sec_level", "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", "value": "normal-SdT" }, { "name": "effort_level", "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", "value": "3" }, { "name": "tags", "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", "value": "Kompetenzmanagement" } ], "title": "Verbesserung durch Erkenntnisse" }