Der Vorfall ist behoben, die Systeme laufen wieder, die Geschäftsführung atmet auf. Und dann passiert — nichts. Der Vorfall wird abgehakt, die Ursache bleibt unanalysiert, die gleiche Schwachstelle wird in sechs Monaten erneut ausgenutzt. A.5.27 fordert, dass jeder Vorfall systematisch nachbereitet wird, um die Wahrscheinlichkeit oder die Folgen zukünftiger Vorfälle zu verringern.
Was verlangt die Norm?
- Nachanalyse durchführen. Jeder bestätigte Vorfall wird nach Abschluss analysiert: Was war die Ursache? Wie wirksam war die Reaktion? Welche Kontrollen haben versagt?
- Verbesserungsmaßnahmen ableiten. Aus der Analyse werden konkrete Maßnahmen abgeleitet — mit verantwortlicher Person, Frist und Nachverfolgung.
- Trends erkennen. Vorfälle werden aggregiert analysiert: Häufigkeit, Kategorien, betroffene Systeme, wiederkehrende Muster.
- Ergebnisse in das ISMS einspeisen. Lessons Learned fließen in Risikobewertungen, Richtlinien, Schulungen und Incident-Response-Pläne ein.
In der Praxis
Post-Incident-Review innerhalb von zwei Wochen. Setze das Review zeitnah nach Vorfallabschluss an. Teilnehmende: alle am Vorfall Beteiligten plus ISB. Agenda: Timeline durchgehen, Ursache identifizieren, Reaktion bewerten, Maßnahmen definieren. Das Ergebnis wird dokumentiert und verteilt.
Maßnahmentracking implementieren. Jede abgeleitete Maßnahme bekommt eine verantwortliche Person, eine Frist und einen Status. Verfolge den Fortschritt in einem zentralen System. Maßnahmen, die nicht umgesetzt werden, sind wertlos — und ein Audit-Befund.
Quartalsweise Trendanalyse erstellen. Aggregiere alle Vorfälle: Wie viele pro Kategorie? Welche Systeme sind am häufigsten betroffen? Gibt es wiederkehrende Ursachen? Diese Analyse fließt in den Management-Review (A.5.4) und in die Risikobewertung ein.
Lessons Learned operativ umsetzen. Aktualisiere nach jedem relevanten Vorfall: Risikobewertung (neue Szenarien?), Incident-Response-Plan (Lücken im Prozess?), Awareness-Material (neues Phishing-Muster?), technische Kontrollen (Regel ergänzen?).
Typische Audit-Nachweise
Auditoren erwarten bei A.5.27 typischerweise diese Nachweise:
- Post-Incident-Review-Berichte — Analyse, Ursache und abgeleitete Maßnahmen pro Vorfall
- Maßnahmenregister — Status aller Verbesserungsmaßnahmen aus Vorfällen
- Trendanalyse — quartalsweise oder jährliche Aggregation der Vorfälle
- ISMS-Updates — Nachweis, dass Lessons Learned in Risikobewertungen, Richtlinien und Pläne eingeflossen sind
- Management-Bericht — Nachweis, dass Vorfalltrends der Geschäftsführung berichtet werden
KPI
% der IS-Vorfälle mit abgeschlossener Nachanalyse und dokumentierten Verbesserungsmaßnahmen
Ziel: 100% für Vorfälle ab Schweregrad 2. Gemessen am Vorfallregister: Jeder abgeschlossene Vorfall ohne dokumentiertes Review senkt den Wert.
Ergänzende KPIs:
- Anteil der abgeleiteten Verbesserungsmaßnahmen, die innerhalb der Frist umgesetzt wurden
- Anzahl der wiederkehrenden Vorfälle mit identischer Ursache (Ziel: 0)
- Durchschnittliche Dauer von Vorfallabschluss bis Post-Incident-Review
BSI IT-Grundschutz
A.5.27 mappt auf die BSI-Anforderungen zur Nachbereitung:
- DER.2.1.A17 (Nachbereitung von Sicherheitsvorfällen) — verlangt eine systematische Nachanalyse mit Ursachenermittlung und Maßnahmenableitung.
- DER.2.1.A18 (Weiterentwicklung des Managements von Sicherheitsvorfällen) — die Ergebnisse fließen in die Verbesserung des gesamten Vorfallmanagements ein.
- DER.2.1.A22 (Überprüfung des Managementsystems) — regelmäßige Überprüfung der Wirksamkeit des Vorfallmanagements.
Verwandte Kontrollen
A.5.27 schließt den Vorfallmanagement-Zyklus:
- A.5.26 — Reaktion auf Vorfälle: Die Reaktion, deren Wirksamkeit A.5.27 analysiert.
- A.5.24 — Planung des Vorfallmanagements: Die Pläne, die A.5.27 verbessert.
- A.5.28 — Sammlung von Beweismitteln: Beweise, die in die Nachanalyse einfließen.
Quellen
- ISO/IEC 27001:2022 Annex A, Control A.5.27 — Lernen aus IS-Vorfällen
- ISO/IEC 27002:2022 Abschnitt 5.27 — Umsetzungshinweise
- BSI IT-Grundschutz, DER.2.1 — Behandlung von Sicherheitsvorfällen