====== Prozessbeschreibung: Sicherheitsvorfälle ======

===== Hintergrundinformationen =====
Ziel und Zweck: 
  * Diese Prozessbeschreibung regelt die Meldung von Sicherheitsvorfällen und die entsprechende Reaktion im Unternehmen 

2. Geltungsbereich
  * Der Prozess gilt für alle Mitarbeitenden des Unternehmens

3. Rollen und Verantwortlichkeiten
  * Mitarbeitende: Erste Melder – verantwortlich für schnelle, vollständige Meldung.
  * IT: Erste Reaktion, technische Eindämmung, Weiterleitung an ISB.
  * ISB: Risikobewertung, Eskalation, Dokumentation, Lessons Learned.
  * GF: Entscheidungsträger bei kritischen Vorfällen, Genehmigung von Ressourcen und Kommunikation.


4. Mitgeltende Regelungen
  * [[komponenten:leitlinie:start|IT‑Sicherheitsleitlinie]]
  * FIXME 

5. Inkrafttreten und Überprüfung
  * Diese Prozessbeschreibung tritt mit Veröffentlichung in Kraft und wird mindestens einmal jährlich überprüft und bei Bedarf angepasst.


===== Prozessablauf =====
{{ :komponenten:prozesse:sicherheitsvorfaelle.svg |}}

  * **Meldung durch Mitarbeiter**
    * Jeder Mitarbeiter meldet Verdachtsfälle (z. B. Phishing, Malware, Datenverlust, unautorisierte Zugriffe) unverzüglich an die IT oder direkt an das ISB.
    * Meldung erfolgt über definierten Kanal (z. B. E-Mail an security@unternehmen.de, Ticket-System, Notfalltelefon).
    * Enthält: Beschreibung des Vorfalls, Zeitpunkt, betroffene Systeme/Nutzer, ggf. Screenshots oder Log-Auszüge.
  * **Erste Bewertung & Eskalation (IT)**
    * IT nimmt Meldung entgegen und prüft:  
      * Dringlichkeit (z. B. aktive Bedrohung, Datenleck)  
      * Betroffene Systeme und Nutzer  
      * Erste Maßnahmen (z. B. Isolierung, Zugriffssperre)  
    * Bei sicherheitsrelevantem Vorfall: Meldung an ISB innerhalb von 30 Minuten.
  * **Sicherheitsbewertung & Eskalation (ISB)**
    * ISB bewertet Risiko (gemäß ISO 27001 oder internem Risikomatrix):  
      * Schweregrad (gering, mittel, hoch, kritisch)  
      * Auswirkung auf Geschäft, Daten, Reputation  
    * Bei mittlerem bis hohem Risiko: Eskalation an Geschäftsführung (GF) innerhalb von 1 Stunde.
    * Leitet ggf. Notfallmaßnahmen ein (z. B. Systemstilllegung, externe Experten, Behördenkontakt).
  * **Entscheidung & Maßnahmen (GF)**
    * GF entscheidet über:  
      * Weitere Ressourcen (z. B. externe Forensik, PR-Team)  
      * Öffentlichkeitskommunikation (falls erforderlich)  
      * Genehmigung von Kosten oder Ausfallzeiten  
    * GF bestätigt Maßnahmen schriftlich (E-Mail oder Dokument) und delegiert ggf. Verantwortlichkeiten.
  * **Maßnahmenumsetzung & Dokumentation (IT & ISB)**
    * IT führt technische Maßnahmen aus (z. B. Systemwiederherstellung, Patching, Zugriffskontrolle).
    * ISB dokumentiert:  
      * Zeitpunkt der Meldung, Bewertung, Entscheidung  
      * Durchgeführte Maßnahmen  
      * Beteiligte Personen und Rollen  
    * IT und ISB halten den meldenden Mitarbeiter über Status auf dem Laufenden (sofern sinnvoll und sicher).
  * **Abschluss & Lessons Learned (ISB)**
    * ISB erstellt Abschlussbericht mit:  
      * Ursachenanalyse  
      * Wirksamkeit der Maßnahmen  
      * Empfehlungen zur Vermeidung (z. B. Schulung, Policy-Anpassung)  
    * Bericht wird an GF und IT weitergeleitet.
    * GF genehmigt ggf. Umsetzung der Empfehlungen.

Prozess abgeschlossen mit Dokumentation, Lessons Learned und ggf. Umsetzung von Verbesserungsmaßnahmen.


[[start|Zurück zu Prozesse & Abläufe]]