Zum Hauptinhalt springen
CENEDRIL WIKI
EN
Annex A · Organisatorische Kontrolle

A.5.5 — Kontakt mit Behörden

Aktualisiert am 3 Min. Geprüft von: Cenedril-Redaktion
A.5.5 ISO 27001ISO 27002BSI DER.2.1

Ransomware hat den Datenbankserver verschlüsselt. Personenbezogene Daten sind betroffen. Die 72-Stunden-Frist für die DSGVO-Meldung an die Datenschutzbehörde läuft. Und niemand im Team weiß, welche Behörde zuständig ist oder wie die Meldung aussehen muss. A.5.5 fordert, dass Kontakte zu relevanten Behörden proaktiv gepflegt werden — bevor der Ernstfall eintritt.

Was verlangt die Norm?

  • Relevante Behörden identifizieren. Die Organisation ermittelt, welche gesetzlichen, regulatorischen und aufsichtsrechtlichen Behörden für sie relevant sind.
  • Kontaktdaten pflegen. Für jede relevante Behörde werden aktuelle Kontaktdaten, Meldewege und Ansprechpartner dokumentiert.
  • Meldepflichten kennen. Die Organisation weiß, welche Vorfälle wann an welche Behörde gemeldet werden müssen, und hat die Fristen dokumentiert.
  • Proaktiven Kontakt aufbauen. Die Organisation baut Beziehungen zu Behörden auf, bevor ein Vorfall eintritt — etwa durch Teilnahme an Informationsveranstaltungen oder Registrierung bei Warnmeldesystemen.

In der Praxis

Behördenkontaktliste erstellen. Eine zentrale Liste mit: Behördenname, Zuständigkeit, Kontaktdaten (Telefon, E-Mail, Meldeportal), Meldepflichten, Meldefristen, interner Ansprechpartner. Diese Liste gehört in den Incident-Response-Plan und muss an einem Ort liegen, der auch bei IT-Ausfall erreichbar ist.

Meldewege testen. Prüfe mindestens einmal jährlich, ob die Kontaktdaten noch stimmen und ob der Meldeweg funktioniert. Bei einigen Behörden (BSI, Datenschutzaufsicht) gibt es Online-Meldeportale — registriere dich dort vorab.

Warnmeldedienste abonnieren. Abonniere die Warnmeldungen des BSI (CERT-Bund), der Allianz für Cyber-Sicherheit und branchenspezifischer CERTs. Diese Informationen fließen in dein Bedrohungsintelligenz-Programm (A.5.7) ein.

Behördenkontakt in Übungen integrieren. Simuliere in Incident-Response-Übungen auch die Behördenmeldung. Das deckt Lücken auf: Wer ruft an? Was wird gemeldet? Wer genehmigt die Meldung? Welche Informationen sind sofort verfügbar?

Typische Audit-Nachweise

Auditoren erwarten bei A.5.5 typischerweise diese Nachweise:

  • Behördenkontaktliste — aktuelle Übersicht aller relevanten Behörden mit Kontaktdaten und Meldewegen
  • Meldepflichten-Übersicht — dokumentierte Aufstellung der Meldefristen und Meldeanlässe
  • Registrierungsbestätigungen — Nachweis der Registrierung bei Meldeportalen (BSI, Datenschutzaufsicht)
  • Abonnements — Nachweis, dass Warnmeldedienste abonniert sind
  • Übungsprotokolle — Nachweis, dass Behördenmeldungen in Incident-Response-Übungen geprobt wurden

KPI

Anzahl der relevanten Behörden mit dokumentierten und aktuellen Kontaktdaten

Dieser KPI ist ein absoluter Wert. Zähle die Behörden, die für deine Organisation relevant sind, und gleiche mit deiner Kontaktliste ab. Ziel: 100% Abdeckung. Aktuell heißt: innerhalb der letzten 12 Monate auf Richtigkeit geprüft.

Ergänzende KPIs:

  • Anteil der Meldepflichten, die im Incident-Response-Plan dokumentiert sind
  • Anzahl der Behördenmeldungen pro Jahr (mit Einhaltung der Meldefristen)
  • Anteil der Incident-Response-Übungen mit simulierter Behördenmeldung

BSI IT-Grundschutz

A.5.5 mappt auf die BSI-Anforderungen zum Vorfallmanagement:

  • DER.2.1.A4 (Festlegung der Schnittstellen zur Meldung) — verlangt definierte Schnittstellen zu externen Stellen wie Behörden, CERTs und Strafverfolgung.
  • DER.2.1.A9 (Eskalationsstrategie) — die Eskalation an Behörden muss Teil der Gesamtstrategie sein.
  • DER.2.1.A14 (Zusammenarbeit mit Strafverfolgung) — Zusammenarbeit mit Polizei und Staatsanwaltschaft bei strafrechtlich relevanten Vorfällen.

Verwandte Kontrollen

A.5.5 ergänzt das Netzwerk externer Kontakte:

Quellen

Häufig gestellte Fragen

Welche Behörden muss ich als Kontakt führen?

Das hängt von deiner Branche und deinem Standort ab. Typisch für Deutschland: BSI (KRITIS-Meldungen, Cyber-Sicherheitswarnungen), Landesdatenschutzbehörde (Datenschutzverletzungen nach Art. 33 DSGVO), BaFin (Finanzsektor), BNetzA (Telekommunikation/Energie). Ergänze lokale Polizeibehörden und die zuständige Feuerwehr.

Wann muss ich einen Vorfall an eine Behörde melden?

Bei Datenschutzverletzungen innerhalb von 72 Stunden an die Aufsichtsbehörde (DSGVO Art. 33). KRITIS-Betreiber müssen erhebliche IT-Störungen unverzüglich an das BSI melden (§ 8b BSIG). Strafrechtlich relevante Vorfälle (Hacking, Erpressung) solltest du bei der Polizei anzeigen. Halte die Meldefristen in deinen Incident-Response-Plänen fest.

Genügt eine einfache Kontaktliste?

Für den Audit ja, solange sie aktuell ist und die relevanten Behörden umfasst. In der Praxis sollte die Liste Ansprechpartner, Meldewege, Fristen und Eskalationsstufen enthalten. Bei KRITIS-Betreibern verlangt das BSI registrierte Kontaktstellen.