Incident Management

Überblick

Incident Management umfasst alle Prozesse und Maßnahmen zur Erkennung, Analyse, Behandlung und Nachbereitung von Sicherheitsvorfällen und IT-Störungen. Ein effektives Incident Management ist essentiell für die digitale operationelle Resilienz und erfüllt gleichzeitig Anforderungen aus DORA und anderen regulatorischen Vorgaben.

Incident-Kategorien

Cybersecurity Incidents

  • Malware-Infektionen
  • Ransomware-Angriffe
  • DDoS-Angriffe
  • Phishing-Kampagnen
  • Datenlecks

IT-Service Incidents

  • Systemausfälle
  • Netzwerkausfälle
  • Datenbankfehler
  • Anwendungsfehler
  • Performance-Probleme

Compliance Incidents

  • Verstöße gegen Datenschutz
  • Regulatorische Verstöße
  • Policy-Verletzungen
  • Zugriffsrechtsverletzungen

Physische Incidents

  • Brand
  • Wasserschäden
  • Diebstahl
  • Naturkatastrophen

Incident Management Lifecycle

1. Vorbereitung

Etablierung von Prozessen, Tools, Teams und Kommunikationsplänen

2. Erkennung

Frühzeitige Erkennung von Incidents durch Monitoring und Alerts

3. Analyse

Klassifizierung, Priorisierung und erste Einschätzung des Incidents

4. Eindämmung

Sofortmaßnahmen zur Begrenzung der Auswirkungen

5. Behandlung

Systematische Behebung des Problems und Wiederherstellung

6. Wiederherstellung

Rückkehr zum Normalbetrieb und Validierung

7. Nachbereitung

Post-Incident Review, Lessons Learned und Verbesserungen

Incident Response Team (IRT)

Incident Manager

Koordiniert die Incident Response Aktivitäten

Security Analyst

Analysiert Sicherheitsvorfälle und Bedrohungen

IT-Operations

Führt technische Maßnahmen zur Behebung durch

Legal & Compliance

Prüft rechtliche Aspekte und Meldepflichten

Kommunikation

Verwaltet interne und externe Kommunikation

Management

Trifft strategische Entscheidungen und Eskalationen

Incident-Klassifizierung

Kritisch

Unmittelbare Bedrohung für Geschäftsbetrieb, erhebliche Auswirkungen. Sofortige Reaktion erforderlich. Meldung innerhalb von 1 Stunde.

Hoch

Signifikante Auswirkungen auf Geschäftsprozesse. Reaktion innerhalb von 4 Stunden. Meldung innerhalb von 4 Stunden (DORA).

Mittel

Begrenzte Auswirkungen, beherrschbar. Reaktion innerhalb von 24 Stunden. Dokumentation erforderlich.

Niedrig

Minimale Auswirkungen, keine Geschäftskontinuität gefährdet. Reaktion innerhalb von 72 Stunden.

DORA-Anforderungen an Incident Management

1

Früherkennung

Etablierung von Mechanismen zur frühzeitigen Erkennung von IKT-Vorfällen durch kontinuierliches Monitoring

2

Meldepflicht

Meldung schwerwiegender IKT-Vorfälle an die zuständige Aufsichtsbehörde innerhalb von 4 Stunden nach Erkennung

3

Dokumentation

Umfassende Dokumentation aller Incidents, einschließlich Ursachenanalyse und ergriffener Maßnahmen

4

Kontinuierliche Verbesserung

Regelmäßige Überprüfung und Verbesserung der Incident Management Prozesse basierend auf Lessons Learned

Incident Management Tools

SIEM-Systeme

Security Information and Event Management für zentrale Überwachung und Erkennung

Incident Tracking

Ticket-Systeme für Nachverfolgung und Dokumentation von Incidents

Forensik-Tools

Tools zur Analyse und Untersuchung von Sicherheitsvorfällen

Kommunikation

Eskalations- und Kommunikationssysteme für Incident Response Teams

Zusammenhang mit anderen ISMS-Komponenten

  • Risikomanagement: Incidents sind Realisierungen identifizierter Risiken und liefern Input für Risikobewertungen
  • Assetmanagement: Incidents betreffen konkrete Assets, deren Schutzstatus überwacht werden muss
  • BCM: Kritische Incidents können Business Continuity Pläne auslösen
  • DORA: DORA definiert spezifische Anforderungen an Incident-Erkennung und -Meldung
  • Meldepflichten: Incident Management muss Meldepflichten erfüllen und dokumentieren
  • ISMS: Incident Management ist integraler Bestandteil des ISMS und liefert Daten für kontinuierliche Verbesserung