Vorfallmanagement (5.24–5.28)

Wenn doch etwas passiert

Keine Sicherheit ist perfekt. Die Maßnahmen 5.24–5.28 regeln das Management von Informationssicherheitsvorfällen (Incident Management) – damit aus einem Ereignis kein Desaster wird. Erst eine geübte Reaktion begrenzt den Schaden.

Ereignis vs. Vorfall

Ein wichtiger Begriffsunterschied:

5.24 Planung & Vorbereitung

Bevor etwas passiert: Prozesse, Rollen und Verantwortlichkeiten für die Vorfallbehandlung definieren, einführen und kommunizieren. Dazu gehören ein Incident-Response-Plan, Eskalationswege und Kontakte (auch zu Behörden, 5.5).

5.25 Beurteilung & Entscheidung

Eingehende Ereignisse werden beurteilt und es wird entschieden, ob sie als Vorfall eingestuft werden – inklusive einer Kategorisierung und Priorisierung (Schweregrad).

5.26 Reaktion auf Vorfälle

Auf Vorfälle wird gemäß dokumentierten Verfahren reagiert. Der typische Lebenszyklus:

Erkennen ─► Eindämmen ─► Beseitigen ─► Wiederherstellen ─► Nachbereiten
(detect)   (contain)    (eradicate)   (recover)          (lessons learned)

5.27 Erkenntnisse aus Vorfällen

Lessons Learned: Aus jedem Vorfall werden Erkenntnisse gezogen, um Maßnahmen zu stärken und Wiederholungen zu verhindern. Das verbindet sich direkt mit den Korrekturmaßnahmen (Klausel 10) – Symptom und Ursache angehen.

5.28 Sammeln von Beweismaterial

Verfahren für Ermittlung, Sammlung, Beschaffung und Aufbewahrung von Beweismaterial (digitale Forensik). Beweise müssen so gesichert werden, dass sie vor Gericht oder bei Versicherungen Bestand haben – Stichworte: Integrität (Hashing), lückenlose Beweiskette (Chain of Custody).

Bezug zu Meldepflichten

Bei Vorfällen mit personenbezogenen Daten können gesetzliche Meldefristen gelten (z. B. 72 Stunden nach DSGVO). Solche Pflichten gehören in den Plan aus 5.24 – Hand in Hand mit der Kommunikation (Klausel 7.4) und der Meldung durch Mitarbeitende (6.8).