Strategien


Informationspflichten bei IT-Vorfällen

Wie Incident Report Tools helfen

Der Diplom-Physiker Oliver Schonschek ist freier IT-Fachjournalist und IT-Analyst in Bad Ems.

Unternehmen brauchen Unterstützung

Je nach geltender Vorgabe zur Meldepflicht müssen die betreffenden Organisationen einiges beachten, wie das Beispiel ein Blick in die Verordnung (EU) Nr. 611/2013 zeigt, die für Betreiber öffentlich zugänglicher elektronischer Kommunikationsdienste gilt.

Eine Vereinfachung hinsichtlich Informations- und Meldepflichten ist nicht zu erwarten. So wird zum Beispiel von der Zurich Versicherung eine Ausweitung der Meldepflichten gefordert, zudem steht die NIS-Richtlinie über Maßnahmen zur Gewährleistung einer hohen gemeinsamen Netz- und Informationssicherheit in der Union im Raum.

"Wenn jetzt auch noch direkt nach Einführung der Auflagen in Form einer Richtlinie die angekündigte europäische Richtlinie kommt, haben wir wie auch beim Vergaberecht ein heilloses Durcheinander an Berichts- und Meldepflichten", so der Bundesverband IT-Mittelstand anlässlich der Verabschiedung des IT-Sicherheitsgesetzes. Unterstützung bei der Einhaltung der um sich greifenden Meldepflichten tut also not.

Incident Report Tools: Bitte anpassen

Eine ganze Reihe von Tools hat sich dem Incident Management verschrieben oder bietet zumindest Funktionen für das Incident Reporting, darunter EnCase Cybersecurity Incident Response, PPM 2000 Perspective SOC, iTrak Incident Reporting & Risk Management System und Report Exec, teilweise lassen sich diese Tools auch für Berichte über kritische Vorfälle außerhalb der IT einsetzen.

Besonders hilfreich ist es für meldepflichtige Organisationen, wenn Lösungen bereits vorbereitete Berichtsvorlagen und Workflows enthalten, die individuell angepasst werden können. So enthält zum Beispiel die D3 Security Cyber Security Incident Response Software vorbereitete Workflows für verschiedene Typen von IT-Sicherheitsvorfällen wie DDoS-Attacken, Phishing oder Advanced Persistent Threats (APTs). RSA Archer Incident Management unterstützt die in verschiedenen Compliance-Vorgaben vorgesehene Möglichkeit zur anonymen Meldung von Vorfällen durch Whistleblower. Das Resilient Privacy Module bietet Incident Response Pläne auf Basis verschiedener Datenschutzgesetze zum Beispiel aus Europa, USA und Kanada.

Auch für Arztpraxen gibt es Meldepflichten bei IT-Sicherheitsvorfällen. Lösungen wie das Incident Management und Reporting Tool ViPNet StateWatcher helfen bei der Erkennung und Behandlung solcher Vorfälle.
Auch für Arztpraxen gibt es Meldepflichten bei IT-Sicherheitsvorfällen. Lösungen wie das Incident Management und Reporting Tool ViPNet StateWatcher helfen bei der Erkennung und Behandlung solcher Vorfälle.
Foto: Infotecs Internet Security Software GmbH

Da die meisten Tools internationaler Herkunft sind, kommen Unternehmen aus Deutschland kaum an einer Anpassung der Berichte und Meldewege an die nationalen bzw. europäischen Vorgaben vorbei. Entscheidend bei der Suche nach einem Incident Report Tool ist es deshalb, dass die Workflows, Berichte, Kommunikationswege und Berichtsempfänger auf die individuellen Anforderungen des Meldepflichten anpassbar sind. Was zum Beispiel im Fall von schwerwiegenden Zahlungssicherheitsvorfällen die Meldungen der Internet- Zahlungsdienstleister an BaFin enthalten sollen, zeigen entsprechende Vorlagen zur Erstmeldung und zur Abschlussmeldung.

Tools wie der Incident Tracker lassen sich für zahlreiche Arten von Vorfällen einsetzen, nicht nur für IT-Vorfälle. Nicht nur bei solchen, allgemeinen Reporting-Tools ist eine Anpassung an die individuellen Compliance-Vorgaben und Meldepflichten entscheidend.
Tools wie der Incident Tracker lassen sich für zahlreiche Arten von Vorfällen einsetzen, nicht nur für IT-Vorfälle. Nicht nur bei solchen, allgemeinen Reporting-Tools ist eine Anpassung an die individuellen Compliance-Vorgaben und Meldepflichten entscheidend.
Foto: McKula

Weitere Kriterien bei der Suche nach einer passenden Lösung zur Unterstützung bei der Umsetzung der Informations- und Meldepflichten sind neben den anpassbaren Berichtsvorlagen und Workflows Punkte wie die Verfügbarkeit und Ausfallsicherheit der Lösung, der Zugriffsschutz für Auswertungen und Berichte (besondere Zweckbindung der Daten), die grundsätzlich zu verschlüsselnde Übertragung und Speicherung der Daten über die Sicherheitsvorfälle sowie die Datensparsamkeit bzw. Anonymisierung hinsichtlich personenbezogener Daten in den Incident Reports. Schließlich soll die Meldung eines IT-Sicherheitsvorfalles nicht selbst eine neuen IT-Vorfall oder eine Datenpanne ermöglichen.

Auf der folgenden Seite sind betroffene Gesetze, Unternehmen sowie Art und Umfang der jeweils geltenden Meldepflichten übersichtlich aufgeführt.

Zur Startseite