Inhalt
Dieser Artikel soll einen tieferen Einblick in das wichtige Thema Meldepflichten bei einem IT-Sicherheitsvorfall geben.
Neben der europaweit geltenden DSGVO gibt es noch das IT-Sicherheitsgesetz. Grundsätzlich gibt es für die Meldepflicht drei Fragen, die nachfolgend geklärt werden sollen.
Was muss gemeldet werden?
Bei der Frage was gemeldet werden muss, kann grob nach zwei Störungsarten unterschieden werden. Gewöhnliche und erhebliche Störungen.
Die gewöhnliche Störung bezeichnet Zwischenfälle, welche entweder durch kleinere technische Störungen bedingt sind oder als so harmlos eingestuft werden, dass Unternehmen und Daten nicht betroffen sind. Technisches Versagen kann bspw. ein harmloser Hardwareausfall sein, der keine sicherheitskritischen Komponenten betrifft. Harmlose Angriffe umfassen bspw. allgemeinen Spam oder Phishing ohne erkennbare gezielte Motivation oder auch durch Sicherheitstools erkannte Schadsoftware, die entfernt wurde.
Erhebliche Störungen hingegen unterliegen der Meldepflicht und können schwerwiegende Auswirkung auf Unternehmen und deren IT-Systeme haben. Zu den erheblichen Störungen gehört Malware, welche bisher unbekannt ist. Ein nachvollziehen des Zwecks und der Auswirkungen auf die Infrastruktur ist ebenfalls nicht möglich. Gezielte Phishing Attacken sind als erhebliche Störung zu bewerten. Diese können Maßgeschneidert und Teil eines größeren Angriffs auf das Unternehmen sein. Die verschiedenen Arten des Phishings betrachten wir in unserem Artikel (Digitale Bedrohungen: Phishing). Außerdem kann das Ausnutzen von bisher unbekannten Sicherheitslücken so genannten Zero-Days (siehe Exchange Artikel) Meldepflichtig sein.
Wann muss eine Störung gemeldet werden?
Tritt eine erhebliche Störung ein, muss diese unverzüglich gemeldet werden. Alle Informationen, die bis zum Zeitpunkt der Störung vorliegen, müssen an das BSI übermittelt werden. Dazu zählen:
– Angaben zur Art der Störung und Art der betroffenen Systeme
– Angaben zu der Ursache oder erste Annahmen
– Kontaktpersonen
Damit in der meist hektischen Phase nichts unter den Tisch fällt, bietet das BSI eine Vorlage für die korrekte Meldung. Können zu dem Zeitpunkt der Meldung noch nicht alle Angaben zu der vorliegenden Störung beantwortete werden, muss die Meldung als Erstmeldung gekennzeichnet werden. Hierbei gilt Schnelligkeit vor Vollständigkeit. Daraufhin können Folgemeldungen gemacht werden und sobald alle benötigten Informationen vorhanden sind, kann eine Abschlussmeldung erfolgen. Die Abschlussmeldung folgt nach der vollständigen Behebung des Störfalls und schließt die Meldepflicht des Betroffenen gegenüber des BSI ab.
Wer muss eine Störung melden?
Unternehmen der sieben KRITIS Sektoren:
- Energie,
- Informationstechnik,
- Telekommunikation,
- Wasser und Ernährung,
- Finanzen und Versicherung,
- Transport und Verkehr,
- Gesundheit
sowie Anbieter von digitalen Diensten.
Telekommunikationsunternehmen sind zudem verpflichtet, eine Meldung an die Bundesnetzagentur zu machen.
Sie sind von einem IT-Sicherheitsvorfall betroffen und benötigen die Unterstützung unseres Incident Response Teams? Kontaktieren Sie uns – wie stehen Ihnen umgehend zur Verfügung!