Dein SIEM meldet 500 Ereignisse pro Tag. Fehlgeschlagene Logins, Port-Scans, verdächtige E-Mails, ungewöhnliche Datenmengen. Die Herausforderung: Welches dieser Ereignisse ist ein harmloser Fehlalarm und welches der Beginn eines echten Angriffs? A.5.25 fordert einen definierten Prozess, der Sicherheitsereignisse bewertet und entscheidet, ob sie als Vorfall behandelt werden müssen.
Was verlangt die Norm?
- Bewertungskriterien definieren. Die Organisation legt vorab fest, nach welchen Kriterien Ereignisse bewertet werden: Art, Umfang, betroffene Assets, potentielles Schadensausmass.
- Verantwortliche Person benennen. Eine definierte Person oder Stelle bewertet jedes Ereignis und trifft die Entscheidung: Vorfall oder kein Vorfall.
- Priorisierung nach Schweregrad. Bestätigte Vorfälle werden nach Schweregrad priorisiert, der die Reaktionsintensität und Eskalation bestimmt.
- Dokumentation sicherstellen. Jede Bewertung wird dokumentiert — einschließlich der Begründung, wenn ein Ereignis nicht als Vorfall eingestuft wird.
In der Praxis
Triage-Prozess formalisieren. Jedes gemeldete oder automatisch erkannte Ereignis durchläuft: Eingang → Erstbewertung (innerhalb definierter SLA) → Klassifizierung (Vorfall/kein Vorfall) → bei Vorfall: Schweregrad bestimmen → Eskalation gemäß Schweregrad.
Korrelation und Kontext nutzen. Ein einzelnes fehlgeschlagenes Login ist harmlos. 500 fehlgeschlagene Logins aus verschiedenen Ländern innerhalb von 10 Minuten sind ein Angriff. Korreliere Ereignisse: Zeitraum, Quelle, Ziel, Muster. SIEM-Systeme automatisieren diese Korrelation.
False-Positive-Rate messen und reduzieren. Eine hohe False-Positive-Rate führt zu Alert Fatigue — das Team ignoriert Warnungen, weil die meisten falsch sind. Messe die Rate, identifiziere die häufigsten Quellen und optimiere die Regeln. Ziel: unter 20% False Positives.
Lessons-Learned in die Bewertungskriterien einspeisen. Nach jedem realen Vorfall: Hätte die Triage schneller sein können? Waren die Kriterien ausreichend? Gab es Fehlklassifizierungen? Passe die Kriterien und den Entscheidungsbaum an.
Typische Audit-Nachweise
Auditoren erwarten bei A.5.25 typischerweise diese Nachweise:
- Bewertungskriterien — dokumentierte Kriterien für die Klassifizierung von Ereignissen
- Vorfallregister — Log aller bewerteten Ereignisse mit Einstufung und Begründung (→ Vorfallregister im Starter Kit)
- Entscheidungsbaum — dokumentiertes Verfahren für die Triage
- Eskalationsmatrix — wer wird bei welchem Schweregrad informiert
- SLA-Einhaltung — Nachweis der Bewertung innerhalb definierter Zeitrahmen
KPI
Durchschnittliche Zeit zur Klassifizierung und Eskalation von IS-Ereignissen (in Stunden)
Gemessen vom Eingang des Ereignisses bis zur abgeschlossenen Klassifizierung. Ziel hängt vom Schweregrad ab: kritisch unter 1 Stunde, hoch unter 4 Stunden, normal unter 24 Stunden. Messe den Durchschnitt und identifiziere Ausreißer.
Ergänzende KPIs:
- False-Positive-Rate (Anteil der Fehlalarme an allen bewerteten Ereignissen)
- Anzahl der Ereignisse pro Monat, aufgeschlüsselt nach Klassifizierung
- Anteil der Ereignisse, die innerhalb der SLA klassifiziert wurden
BSI IT-Grundschutz
A.5.25 mappt auf die BSI-Bausteine zur Detektion und Bewertung:
- DER.1 (Detektion von sicherheitsrelevanten Ereignissen) — technische Erkennung von Ereignissen als Grundlage für die Bewertung.
- DER.2.1 (Behandlung von Sicherheitsvorfällen) — der Bewertungsprozess als Teil des Gesamtprozesses der Vorfallbehandlung.
Verwandte Kontrollen
A.5.25 verknüpft Detektion mit Reaktion:
- A.5.24 — Planung des Vorfallmanagements: Der Rahmen, in den die Bewertung eingebettet ist.
- A.5.26 — Reaktion auf Vorfälle: Die Reaktion, die nach positiver Bewertung ausgelöst wird.
- A.5.7 — Bedrohungsintelligenz: Bedrohungsinformationen fließen in die Bewertungskriterien ein.
Quellen
- ISO/IEC 27001:2022 Annex A, Control A.5.25 — Bewertung von IS-Ereignissen
- ISO/IEC 27002:2022 Abschnitt 5.25 — Umsetzungshinweise
- BSI IT-Grundschutz, DER.1 — Detektion von sicherheitsrelevanten Ereignissen