Incident-Response-Richtlinie (P30)

Die Incident-Response-Richtlinie (P30) formalisiert ein robustes Rahmenwerk, das sicherstellt, dass die Organisation ein breites Spektrum an Informationssicherheitsvorfällen wirksam verwalten und darauf reagieren kann. Hauptzweck der Richtlinie ist es, wiederholbare Prozesse zur Identifizierung, Vorfallsmeldung, Analyse, Eindämmung und Wiederherstellung nach Vorfällen festzulegen und zugleich durch Vorfallsnachbereitung eine kontinuierliche Verbesserung zu fördern. Durch die Einführung eines zentralen Incident-Response-Rahmenwerks, ausgerichtet an internationalen Normen wie ISO/IEC 27035, stellt die Richtlinie einen strukturierten Ansatz über alle Vorfallsphasen sicher: Vorbereitung, Erkennung und Analyse, Eindämmung/Beseitigung/Wiederherstellung sowie Vorfallsnachbereitung. Diese Richtlinie gilt organisationsweit und erstreckt ihre Anforderungen auf sämtliches Personal, einschließlich Auftragnehmer und Drittdienstleister, und umfasst alle Informationssysteme der Organisation, unabhängig davon, ob sie On-Premises, cloudbasiert oder hybrid betrieben werden. Sie gilt für ein umfassendes Set an Vorfalltypen: unbefugter Zugriff, Schutz vor Schadsoftware einschließlich Ransomware, Denial-of-Service-Angriffe, Datenleckage oder Datenexfiltration, Insider-Bedrohungen sowie physische Sicherheitsverletzungen, die digitale Vermögenswerte betreffen. Der Governance-Abschnitt schreibt vor, dass jeder Vorfall formal in einem Security Incident Management System (SIMS) protokolliert wird, mit detaillierten Metadaten einschließlich Zeitpunkt der Erkennung, Klassifizierung, betroffenen Systemen, ergriffenen Maßnahmen, erfassten Beweismitteln und Schwachstellenanalyse der Grundursache. Alle Vorfälle werden nach einem gestuften Schweregradmodell kategorisiert, um eine verhältnismäßige Reaktion und Eskalation sicherzustellen. Zentrale Rollen und Verantwortlichkeiten sind sorgfältig definiert, um Rechenschaftspflicht und einen schlanken Workflow während eines Vorfalls sicherzustellen. Der Chief Information Security Officer (CISO) behält die Gesamtverantwortung für das Reaktionsrahmenwerk und fungiert bei schwerwiegenden Vorfällen als Schnittstelle zur obersten Leitung und zu Aufsichtsbehörden. Der Incident-Response-Koordinator steuert funktionsübergreifende Teams, verfolgt jede Phase der Reaktion und stellt sicher, dass Korrekturmaßnahmen umgesetzt werden. Das Security Operations Center (SOC) und IT-Sicherheitsanalysten sind für Überwachung, Triage, Eskalation und initiale Eindämmungsmaßnahmen verantwortlich. Rollen aus Recht und der Datenschutzbeauftragte prüfen regulatorische Auswirkungen und stellen die Einhaltung von Meldefristen sicher, insbesondere bei Datenschutzverletzungen nach GDPR, NIS2 und DORA. Die oberste Leitung trifft strategische Entscheidungen bei Vorfällen mit hohem Schweregrad, einschließlich öffentlicher Kommunikation und der Genehmigung von Änderungen am Informationssicherheits-Managementsystem (ISMS). Die Richtlinie etabliert strenge Mechanismen für Meldungen zu Datenschutzverletzungen, digitale Forensik und den Umgang mit Beweismitteln und verlangt, dass Benachrichtigungen an Behörden und betroffene Interessenträger gemäß definierten rechtlichen und vertraglichen Meldefristen erfolgen. Digitale Forensik umfasst Verfahren wie Festplatten-Images mit Write-Blockern, Chain-of-Custody-Nachverfolgung und verschlüsselte Beweismittelspeicherung, einschließlich Koordination mit Strafverfolgungsbehörden, sofern erforderlich. Abweichungen von der Richtlinie, etwa bei Reaktionszeiten oder Beweismittelerhebung, müssen einem strikten risikobasierten Ausnahmemanagement folgen, einschließlich Dokumentation, Genehmigung durch den Chief Information Security Officer (CISO) und vierteljährlicher Risikoüberwachung. Zur Sicherstellung von Wirksamkeit und regulatorischer Compliance schreibt die Richtlinie jährliche Überprüfungen, regelmäßige Incident-Response-Übungen sowie klare Kennzahlen vor, darunter Mean Time to Detect (MTTD), Mean Time to Contain (MTTC) und der Anteil abgeschlossener Vorfallsnachbereitung. Audit und Compliance sowie kontinuierliche Überwachung der Einhaltung validieren die Auditbereitschaft und setzen die Einhaltung durch; bei Nichteinhaltung sind Konsequenzen vorgesehen, einschließlich Disziplinarmaßnahmen bis hin zur Vertragsbeendigung oder regulatorischen Vorfallsmeldung. Die Richtlinie ist eng mit unterstützenden Richtlinien zu Datenklassifizierung, Änderungsmanagement, Kryptografie, Datensicherungssystemen sowie der Protokollierungs- und Überwachungsrichtlinie integriert und stellt damit eine umfassende und belastbare Vorfallsbereitschaft sicher.