Die Triage (A.5.25) hat einen kritischen Vorfall bestätigt: Unbefugter Zugriff auf die Kundendatenbank über ein kompromittiertes Dienstkonto. Ab jetzt zählt jede Minute. A.5.26 fordert, dass die Organisation nach dokumentierten Verfahren reagiert — Eindämmung, Beweissicherung, Beseitigung, Wiederherstellung und Kommunikation.
Was verlangt die Norm?
- Dokumentierte Verfahren befolgen. Die Reaktion folgt den unter A.5.24 erstellten Plänen und Runbooks.
- Vorfall eindämmen. Die Ausbreitung des Schadens wird schnellstmöglich gestoppt — betroffene Systeme isolieren, kompromittierte Konten sperren.
- Beweise sichern. Vor jeder Veränderung am System werden forensische Beweise gesichert (A.5.28).
- Intern und extern kommunizieren. Betroffene Parteien, Geschäftsführung, Behörden (A.5.5) und gegebenenfalls Kunden werden informiert.
- Vorfall dokumentieren. Jede Handlung, Entscheidung und Beobachtung wird mit Zeitstempel dokumentiert.
In der Praxis
Sofortmaßnahmen nach Schweregrad. Definiere pro Schweregrad die Sofortmaßnahmen: Stufe 3 — betroffenes System isolieren, ISB informieren, Analyse starten. Stufe 4 — Krisenteam einberufen, Geschäftsführung informieren, externe Unterstützung aktivieren, Kommunikationsplan starten.
Eindämmung vor Analyse. Die natürliche Reaktion ist: erst verstehen, dann handeln. Bei aktiven Angriffen ist die richtige Reihenfolge umgekehrt: erst eindämmen (Netzwerksegment isolieren, Konto sperren), dann analysieren. Eine laufende Datenexfiltration verursacht pro Minute zusätzlichen Schaden.
Kommunikationsregeln einhalten. Im Vorfall gilt: Eine Person kommuniziert extern (Pressesprecher oder Geschäftsführung), eine Person koordiniert intern (ISB oder Incident Commander). Keine individuellen Aussagen an Medien oder Kunden. Textvorlagen aus dem Kommunikationsplan nutzen.
Wiederherstellung sicher gestalten. Vor der Wiederinbetriebnahme: Ist die Ursache beseitigt? Sind die Backdoors entfernt? Sind die Backups sauber? Ein zu früh wiederhergestelltes System kann sofort erneut kompromittiert werden.
Typische Audit-Nachweise
Auditoren erwarten bei A.5.26 typischerweise diese Nachweise:
- Vorfallberichte — vollständige Dokumentation behandelter Vorfälle mit Timeline (→ Vorfallregister im Starter Kit)
- Runbook-Nutzung — Nachweis, dass Runbooks bei der Reaktion verwendet wurden
- Kommunikationsprotokolle — Nachweis der internen und externen Kommunikation
- Eindämmungsmaßnahmen — Dokumentation der getroffenen Sofortmaßnahmen
- Wiederherstellungsprotokolle — Nachweis der sicheren Wiederinbetriebnahme
KPI
% der IS-Vorfälle, die innerhalb definierter Reaktionszeiten behoben wurden
Gemessen am Vorfallregister: Für jeden Vorfall wird die SLA-Einhaltung geprüft — von der Erkennung bis zur Behebung. Ziel: über 90%. Kritische Vorfälle mit SLA-Überschreitung erfordern eine Root-Cause-Analyse.
Ergänzende KPIs:
- Mittlere Zeit von Erkennung bis Eindämmung (MTTC)
- Mittlere Zeit von Erkennung bis Behebung (MTTR)
- Anzahl der Vorfälle pro Schweregrad und Quartal
BSI IT-Grundschutz
A.5.26 mappt auf den BSI-Kernbaustein zur Vorfallbehandlung:
- DER.2.1 (Behandlung von Sicherheitsvorfällen) — enthält detaillierte Anforderungen an die operative Vorfallreaktion, einschließlich Sofortmaßnahmen, Analyse, Eskalation und Dokumentation.
Verwandte Kontrollen
A.5.26 ist das Herzstück des Vorfallmanagement-Blocks:
- A.5.24 — Planung des Vorfallmanagements: Die Pläne, die A.5.26 in die Tat umsetzt.
- A.5.28 — Sammlung von Beweismitteln: Die forensische Beweissicherung während der Reaktion.
- A.5.27 — Lernen aus Vorfällen: Die Nachbereitung nach der Reaktion.
Quellen
- ISO/IEC 27001:2022 Annex A, Control A.5.26 — Reaktion auf IS-Vorfälle
- ISO/IEC 27002:2022 Abschnitt 5.26 — Umsetzungshinweise
- BSI IT-Grundschutz, DER.2.1 — Behandlung von Sicherheitsvorfällen