Montagmorgen, 9:15 Uhr. Eine Mitarbeiterin bemerkt, dass sie eine E-Mail mit einem verdächtigen Anhang geöffnet hat. Der Anhang enthielt ein Makro, das Daten an eine externe Adresse gesendet hat. Die Mitarbeiterin schließt den Laptop und ruft ihre Teamleitung an. Die Teamleitung weiß nicht, an wen sie sich wenden soll. 45 Minuten vergehen, bevor die IT informiert wird. A.6.8 fordert einen klaren Meldeprozess, den jede Person in der Organisation kennt und in Sekunden nutzen kann.
Die Kontrolle stellt sicher, dass IS-Ereignisse zeitnah, konsistent und effektiv gemeldet werden — durch alle Personen, die ein Ereignis beobachten oder vermuten.
Was verlangt die Norm?
- Meldemechanismus bereitstellen. Die Organisation stellt einen einfachen, zugänglichen Kanal bereit, über den jede Person IS-Ereignisse melden kann.
- Meldepflicht kommunizieren. Alle Beschäftigten und relevanten externen Parteien wissen, dass sie IS-Ereignisse zeitnah melden müssen — und wie.
- Niedrige Hemmschwelle. Der Prozess ist so gestaltet, dass die Meldung einfach und schnell erfolgen kann. Sanktionen für Fehlmeldungen gibt es nicht.
- Breites Meldespektrum. Gemeldet werden Sicherheitsverletzungen, Schwachstellen, Auffälligkeiten und ineffektive Kontrollen — alles, was auf ein Sicherheitsproblem hindeuten könnte.
- Keine Eigeninitiative bei Schwachstellen. Beschäftigte sollen vermutete Schwachstellen melden, aber nicht selbst testen oder beheben — das könnte Systeme beschädigen oder Beweise vernichten.
In der Praxis
Einen zentralen Meldekanal definieren. Ein Ticketsystem, eine dedizierte E-Mail-Adresse (z. B. sicherheit@firma.de) oder ein Webformular — der Kanal muss einfach erreichbar und rund um die Uhr verfügbar sein. Mehrere Kanäle parallel (E-Mail + Telefon + Formular) erhöhen die Erreichbarkeit, erfordern aber, dass alle in denselben Triage-Prozess münden.
Meldeformular schlank halten. Je mehr Felder ein Meldeformular hat, desto seltener wird es genutzt. Drei Felder reichen für die Erstmeldung: Was ist passiert? Wann? Kontaktdaten für Rückfragen. Die detaillierte Aufnahme erfolgt durch das Incident-Response-Team nach der Triage — die meldende Person muss keine forensische Analyse liefern.
Triage-Prozess definieren. Nach Eingang einer Meldung bewertet das IS-Team innerhalb einer definierten Frist (typisch: 4 Stunden während der Geschäftszeiten), ob ein Sicherheitsvorfall vorliegt. Auf Basis der Bewertung wird eskaliert, untersucht oder als Fehlalarm geschlossen. Jede Meldung erhält eine Rückmeldung an die meldende Person — das fördert die Meldekultur.
Meldekultur aktiv fördern. Eine Meldung ist eine gute Nachricht — sie bedeutet, dass jemand aufmerksam war. Diese Haltung muss von der Geschäftsführung vorgelebt und in Schulungen vermittelt werden. Konkret: Meldende Personen erhalten zeitnah Feedback. Fehlmeldungen werden als wertvoller Beitrag behandelt. In der jährlichen Schulung werden anonymisierte Beispiele erfolgreicher Meldungen vorgestellt.
Typische Audit-Nachweise
Auditoren erwarten bei A.6.8 typischerweise diese Nachweise:
- Security-Operations-Richtlinie — dokumentierter Meldeprozess mit Eskalationsstufen (→ Security-Operations-Richtlinie im Starter Kit)
- Meldekanal-Dokumentation — Beschreibung der verfügbaren Kanäle und ihrer Erreichbarkeit
- Meldungsprotokoll — Log aller eingegangenen Meldungen mit Triage-Ergebnis und Reaktionszeit
- Schulungsnachweis — Beleg, dass Beschäftigte den Meldeprozess kennen (z. B. Frage im jährlichen Awareness-Test)
- Rückmeldungsnachweise — Dokumentation, dass meldende Personen Feedback erhalten haben
KPI
% der Mitarbeitenden, die den IS-Ereignismeldeprozess kennen
Gemessen durch eine Frage im jährlichen Awareness-Test oder durch eine Stichprobe: Können die befragten Beschäftigten benennen, wie und an wen sie ein IS-Ereignis melden? Ziel: 100%. Der KPI misst die Bekanntheit des Prozesses — die tatsächliche Meldequote ist ein ergänzender Indikator.
Ergänzende KPIs:
- Anzahl der IS-Ereignismeldungen pro Quartal (steigender Trend deutet auf bessere Meldekultur hin)
- Mittlere Reaktionszeit zwischen Meldungseingang und erster Triage
- Anteil der Meldungen mit dokumentierter Rückmeldung an die meldende Person
BSI IT-Grundschutz
A.6.8 mappt auf den BSI-Baustein DER.1 (Detektion von sicherheitsrelevanten Ereignissen) und DER.2.1 (Behandlung von Sicherheitsvorfällen):
- DER.1.A3 (Festlegung von Meldewegen) — fordert dokumentierte Meldewege für Sicherheitsereignisse mit klaren Ansprechpersonen und Eskalationsstufen. Jede Person in der Organisation muss wissen, an wen sie sich wenden kann.
- DER.1.A4 (Sensibilisierung der Mitarbeitenden) — verlangt, dass Beschäftigte regelmäßig über die Erkennung und Meldung von Sicherheitsereignissen geschult werden.
- DER.2.1.A9 (Dokumentation der Vorfallsbearbeitung) — fordert die lückenlose Dokumentation aller Meldungen und der daraus resultierenden Maßnahmen.
- DER.2.1.A20 (Nachbereitung von Sicherheitsvorfällen) — verlangt eine systematische Auswertung von Vorfällen, um den Meldeprozess und die Reaktionsfähigkeit kontinuierlich zu verbessern.
Verwandte Kontrollen
- A.6.3 — IS-Bewusstsein, -Bildung und -Schulung: Die Schulung vermittelt, wie Sicherheitsereignisse erkannt und gemeldet werden. Ohne Schulung funktioniert kein Meldeprozess.
- A.6.4 — Disziplinarverfahren: Der Meldeprozess kann den Auslöser für ein Disziplinarverfahren liefern. Gleichzeitig darf die Angst vor Konsequenzen die Meldebereitschaft nicht hemmen — beides muss in Balance sein.
- A.5.24 — Planung und Vorbereitung des IS-Vorfallmanagements: A.6.8 regelt die Meldung, A.5.24 den gesamten Vorfallmanagement-Prozess danach — von der Triage über die Eindämmung bis zur Nachbereitung.
Quellen
- ISO/IEC 27001:2022 Annex A, Control A.6.8 — Meldung von Informationssicherheitsvorfällen
- ISO/IEC 27002:2022 Abschnitt 6.8 — Umsetzungshinweise zur Ereignismeldung
- BSI IT-Grundschutz, DER.1 — Detektion von sicherheitsrelevanten Ereignissen
- BSI IT-Grundschutz, DER.2.1 — Behandlung von Sicherheitsvorfällen