4.1 Aufgaben

4.1.1 Die Behördenleitung ist für den Umgang mit ISi-Vorfällen und schwerwiegenden ISi-Vorfällen sowie einem Verdacht auf solche Fälle im Rahmen ihrer Zuständigkeit verantwortlich. Dies gilt insbesondere für Behörden in der Rolle als Eigentümer oder Betreiber von Services und Fachverfahren.

4.1.2 Die Behördenleitung richtet in ihrer Sicherheitsdomäne eine Meldestelle ein, die mit der Entgegennahme von Meldungen über ISi-Vorfälle, mit deren fortlaufender Dokumentation und mit der anforderungsgerechten Auswertung betraut wird. Diese Meldestelle ist allen Beschäftigten bekannt zu geben.

4.1.3 Soweit eine andere öffentliche oder nicht öffentliche Stelle außerhalb der eigenen Sicherheitsdomäne mit der Bearbeitung von ISi-Vorfällen oder von einzelnen Arbeitsschritten (z. B. als Meldestelle gemäß Nummer 4.1.2) beauftragt werden soll, wird der Auftragnehmer vom Auftraggeber auf die Einhaltung der Sicherheitsanforderungen dieser Sicherheitsrichtlinie verpflichtet. Es ist insbesondere zu vereinbaren, in welchem Umfang und in welchen Zeitintervallen der Auftragnehmer über die ihm gemeldeten Sicherheitsvorfälle i. S. des Bezugserlasses zu b und dieser ISRL berichtet, damit die Sicherheitsdomäne ihren eigenen Meldeverpflichtungen nachkommen kann. Zudem sind Vereinbarungen zu treffen, dass und unter welchen Rahmenbedingungen der Auftragnehmer dem Auftraggeber Zugriffsberechtigungen auf die Verlaufsdokumentation erteilt. Die Beauftragung ist zu dokumentieren.

4.2 Meldung und Sensibilisierung

4.2.1 Die Beschäftigten sind über die Definition eines ISi-Vorfalls i. S. von Nummer 2.30 a des Bezugserlasses zu c zu unterrichten. Sie sind in regelmäßigen Abständen und anlassbezogen zu sensibilisieren, wie sie mutmaßliche ISi-Vorfälle erkennen und wie sie sich bei einem Verdacht auf einen ISi-Vorfall verhalten sollen. Beschäftigte von Service Desks sind hierbei besonders für das Erkennen von ISi-Vorfällen zu trainieren.

4.2.2 Jeder Verdacht auf einen ISi-Vorfall ist unverzüglich der Meldestelle gemäß Nummer 4.1.2 zu melden.

4.3 Verfahren bei ISi-Vorfällen und schwerwiegenden ISi-Vorfällen 3)

Die Behördenleitung veranlasst, wie mit ISi-Vorfällen und schwerwiegenden ISi-Vorfällen zu verfahren ist. Sie legt einen strukturierten Ablauf fest, der insbesondere die nachfolgenden Schritte für die Sicherheitsdomäne näher spezifiziert.

4.3.1 Analyse

4.3.1.1 Zur Steuerung des weiteren Vorgehens wird das gemeldete Ereignis analysiert und initial bewertet. Die Behördenleitung der betroffenen Dienststelle stellt sicher, dass die Analyse durch eine von ihr zu benennende Stelle koordiniert und überwacht wird. Bei ISi-Vorfällen, die durch den Einsatz von IT in der Sicherheitsdomäne ausgelöst wurden, ist die Unterstützung in der Analyse und initialen Bewertung durch den jeweils betroffenen IT-Dienstleister sicherzustellen. Dies kann zur Folge haben, dass das Ereignis dort ebenfalls als ISi-Vorfall zu behandeln ist.

4.3.1.2 Die Behördenleitung legt anhand eines sicherheitsdomänenspezifischen Ereigniskatalogs Kriterien für eine Bewertung und Klassifizierung der gemeldeten möglichen ISi-Vorfälle fest. Der sicherheitsdomänenspezifische Ereigniskatalog umfasst mindestens die in der Anlage aufgeführten Ereignisse.

4.3.1.3 Die Behördenleitung legt fest, dass durch eine von ihr zu benennende Stelle eine initiale Bewertung der ISi-Vorfälle erfolgt, bei der anhand der eingetretenen oder erwarteten Auswirkungen entschieden wird, ob ein "schwerwiegender ISi-Vorfall" vorliegt.

4.3.2 Behandlung

4.3.2.1 Es werden strukturierte und sachgerechte Abläufe definiert, um angemessen auf einen ISi-Vorfall, einen schwerwiegenden ISi-Vorfall oder einen Verdacht auf solche zu reagieren und unverzüglich den Normalzustand wiederherzustellen. Diese umfassen insbesondere Arbeitsschritte für die Schadensbegrenzung, die Umsetzung einer vorläufigen Lösung, die Ursachenforschung, die Schadensanalyse, die dauerhafte Problemlösung und die Tatsachenfeststellung einschließlich der Störerermittlung sowie die Prüfung rechtlicher Schritte.

4.3.2.2 Die Behördenleitung stellt sicher, dass die Einhaltung der Arbeitsschritte zur Behandlung von ISi-Vorfällen und schwerwiegenden ISi-Vorfällen durch eine von ihr zu benennende Stelle überwacht wird.

4.3.3 Meldepflichten bei schwerwiegenden ISi-Vorfällen

4.3.3.1 Meldepflicht

Der Verdacht auf einen schwerwiegenden ISi-Vorfall sowie festgestellte schwerwiegende ISi-Vorfälle sind durch die Kontaktstelle der Sicherheitsdomäne über die Kommunikationsschnittstelle nach Nummer 2.4 der Zentralstelle für Informationssicherheit zu melden.

4.3.3.2 Erstmeldung

Unverzüglich, spätestens jedoch innerhalb von 24 Stunden nach Kenntnisnahme eines Verdachts auf einen schwerwiegenden ISi-Vorfall oder nach Feststellung eines schwerwiegenden ISi-Vorfalls, ist eine frühe Erstmeldung abzugeben. Die Zentralstelle für Informationssicherheit bestätigt den Eingang der Meldung unverzüglich. Sofern ihr bereits Meldungen aus anderen Sicherheitsdomänen vorliegen, die mit der Erstmeldung im Zusammenhang stehen könnten, teilt sie dies mit der Eingangsbestätigung mit.

4.3.3.3 Entwarnungsmeldung

Sofern sich der Verdacht auf einen schwerwiegenden ISi-Vorfall nicht bestätigt oder sich die Annahmen für einen festgestellten schwerwiegenden ISi-Vorfall nachträglich ändern, ist gegenüber der Zentralstelle für Informationssicherheit unverzüglich eine Entwarnungsmeldung abzugeben. Die Zentralstelle für Informationssicherheit bestätigt den Eingang der Meldung unverzüglich und informiert andere Sicherheitsdomänen, an die die Meldung weitergegeben wurde.

4.3.3.4 Folgemeldung

Innerhalb von 72 Stunden nach Verdacht auf einen schwerwiegenden ISi-Vorfall oder nach Feststellung eines schwerwiegenden ISi-Vorfalls, ist eine Folgemeldung über diesen abzugeben, in der die in der Erstmeldung nach Nummer 4.3.3.2 gemachten Informationen bestätigt oder aktualisiert werden und eine erste Bewertung des schwerwiegenden ISi-Vorfalls, einschließlich seines vermuteten Schweregrads, seiner bekannten Auswirkungen und ggf. mögliche Ursachen angegeben werden. Die Zentralstelle für Informationssicherheit bestätigt den Eingang der Meldung unverzüglich und gibt die Informationen gemäß Nummer 2.3 Satz 3 weiter.

4.3.3.5 Zwischenmeldung

Auf Ersuchen der Zentralstelle für Informationssicherheit ist eine Zwischenmeldung über relevante Statusaktualisierungen abzugeben. Die Zentralstelle für Informationssicherheit bestätigt den Eingang der Meldung unverzüglich und gibt die Informationen gemäß Nummer 2.3 Satz 3 weiter.

4.3.3.6 Fortschrittsmeldung/Abschlussmeldung

Konnte einen Monat nach Übermittlung der Erstmeldung der Verdacht auf einen schwerwiegenden ISi-Vorfall noch nicht bestätigt werden oder dauert der festgestellt schwerwiegende ISi-Vorfall noch an, gibt die Kontaktstelle der Sicherheitsdomäne eine Fortschrittsmeldung ab.

Ist einen Monat nach Übermittlung der Erstmeldung eines schwerwiegenden ISi-Vorfalls die Bearbeitung abgeschlossen, ist eine Abschlussmeldung abzugeben. Diese enthält:

• eine ausführliche Beschreibung des schwerwiegenden ISi-Vorfalls, einschließlich seines Schweregrads und seiner Auswirkungen,

• soweit bekannt, Angaben zur Art der Bedrohung oder der zugrunde liegenden Ursache, die den schwerwiegenden ISi-Vorfall ausgelöst hat,

• Angaben zu den getroffenen und laufenden Abhilfemaßnahmen,

• gegebenenfalls die domänenübergreifenden Auswirkungen des schwerwiegenden ISi-Vorfalls.

In den Fällen des Satzes 1 erfolgt die Abschlussmeldung einen Monat nach Abschluss der Bearbeitung des schwerwiegenden ISi-Vorfalls. Die Zentralstelle für Informationssicherheit bestätigt den Eingang der Meldung unverzüglich und gibt die Informationen gemäß Nummer 2.3 Satz 3 weiter.

4.3.4 Nachbereitung und Weiterentwicklung

4.3.4.1 Die Behördenleitung erlässt Regelungen zur Nachbereitung von ISi-Vorfällen und schwerwiegenden ISi-Vorfällen, die gewährleisten sollen, dass anhand der Erfahrungen aus den eingetretenen ISi-Vorfällen und schwerwiegenden ISi-Vorfällen künftige Vorfälle gleicher oder ähnlicher Ausprägung möglichst vermieden werden.

4.3.4.2 Die Nachbereitung umfasst insbesondere die Auswertung der Dokumentation. Darüber hinaus sind insbesondere die erlassenen Regelungen und getroffenen Abwehrmaßnahmen auf ihre Wirksamkeit zu prüfen und die daraus gewonnenen Erkenntnisse in der Aktualisierung der Sicherheitskonzepte, Risikoanalysen sowie der Weiterentwicklung der Geschäftsprozesse zu berücksichtigen.

4.3.4.3 Die Behördenleitung stellt sicher, dass die Nachbereitung durch eine von ihr zu benennende Stelle überwacht wird.

4.4 Kommunikation und Dokumentation

4.4.1 Die Behördenleitung regelt die Informationsweitergabe über ISi-Vorfälle und schwerwiegende ISi-Vorfälle an die zuständigen Stellen betroffener Behörden und trifft Festlegungen für die weitere Kommunikation.

4.4.2 Behörden in der Rolle als Eigentümer von Services und Fachverfahren vereinbaren mit den Leistungsempfängern 4), wie diese über ISi-Vorfälle und schwerwiegende ISi-Vorfälle zu den genutzten Services und eingesetzten Fachverfahren sowie über die dadurch möglicherweise eingetretene Erhöhung des Servicerisikos und des Fachverfahrensrisikos informiert werden. Gleiches gilt, sofern aus der Sicherheitsdomäne weitere Leistungen auch gegenüber weiteren externen Stellen angeboten werden.

4.4.3 Die Behördenleitung stellt sicher, dass sie durch eine von ihr zu benennende Stelle regelmäßig, wenigstens jedoch einmal jährlich, im Rahmen eines Berichts über aufgetretene ISi-Vorfälle und schwerwiegende ISi-Vorfälle informiert wird. Es ist zu regeln, dass alle betroffenen Stellen und Funktionen bei der Berichtserstellung ausreichend beteiligt werden.

4.4.4 Die Behördenleitung legt eine Kommunikations- und Kontaktstrategie fest. Hierin ist insbesondere zu regeln, in welcher Art und welchem Umfang Mitarbeiterinnen und Mitarbeiter sowie betroffene Vereinbarungs- oder Vertragspartner zu informieren sind. In Abstimmung mit dem Business Continuity Management (BCM) sollte eine Eskalationsstrategie festgelegt werden.

4.4.5 Ergänzend zu der Meldepflicht nach Nummer 4.3.3 sind der Zentralstelle für Informationssicherheit im Rahmen eines Monatsberichts mittels eines von dort zur Verfügung gestellten Meldeformulars bis zum zweiten Dienstag des Folgemonats alle weiteren neu bekannt gewordenen ISi-Vorfälle zur Kenntnis zu geben.

4.4.6 Jeder ISi-Vorfall, schwerwiegende ISi-Vorfall oder ein Verdacht auf solche ist mit allen Aktivitäten zeitnah und vollständig zu dokumentieren.