Vor dem Hintergrund der Planung eines IT-Sicherheitsgesetzes hatte die Koordinierungsstelle IT Sicherheit im DIN am 25. März 2014 zu einem Workshop „Meldung von Sicherheitsvorfällen“ eingeladen. Insgesamt 26 Teilnehmer aus Wirtschaft, Verwaltung uns Wissenschaft haben an dem Workshop teilgenommen.
Am Vormittag gab es folgende Impulsvorträge:

• Evangelos Ouzounis, ENISA, Incident Reporting in the Telecom Sector. Ein Erfahrungsbericht der Telekommunikations Branche und Ausblick auf die zuerwartende NIS Direktive der EU Kommission.
• Deborah Klein, BDI, Meldung von IT-Sicherheitsvorfällen – Sicht der Industrie
• Steffen Zimmermann, VDMA, Security aus Sicht des VDMA
• Dr. Dirk Häger, BSI, Meldenotwendigkeit, Operative Netzabwehr

In dem Workshop wurde diskutiert, wie mit Hilfe von Standardisierung die Meldung von Sicherheitsvorfällen gestaltet und durchgeführt werden kann. Die Vertreter von Wirtschaft, Behörden und Verbänden wurden aufgefordert ihre Sichtweisen und Vorstellungen zu äußern. Die grundlegenden Wirkmechanismen der Erhöhung der allgemeinen IT-Sicherheit durch eine Meldepflicht wurden erörtert. Eine diskutierte Vorgehensweise war die Erstellung eines fortlaufend aktualisierten Lagebildes auf Grundlage der eingegangenen Meldungen. Die Erstellung eines solchen IT-Sicherheitslageplans muss dabei zu einem Mehrwert auch der Meldenden führen und sollte nicht auf einen reinen Verwaltungsakt beschränkt bleiben. Die erwartete Datenmenge erfordert eine automatisierte Verarbeitung. An diesem Punkt wurden Normen und Standards als sinnvolle Unterstützung angesehen. Vor dem Hintergrund der Unterschiede zwischen den verschiedenen Branchen, wurde besprochen, dass die Verbände mit ihren Mitgliedern hierzu zunächst eine Branchensicht erarbeiten, die auf einem Folgeworkshop im Herbst vorgestellt und diskutiert wird. Die anwesenden Verbandsvertreter haben sich für eine dezentrale Meldung über Branchen-CERTs und einer anschließenden Verdichtung beim BSI ausgesprochen. Normungsbedarf wurde vor allem im Bereich der Definitionen und Terminologien gesehen. Dabei kann insbesondere auf vorhandene Normen wie der ISO/IEC 27000-er Reihe zugrückgegriffen bzw. referenziert werden.
Hinsichtlich der Meldungen von kritischen Vorfällen wurden u.a. die folgenden Punkte festgehalten:

• kritikalitätsabhängige Meldewege
• halbautomatisierte Verteilung/Verarbeitung
• Klassifizierung
• einheitliche Terminologie
• Formblatt mit Hinweisen (einheitliche neutrale Meldeform)
• vorgelagerte branchenbezogene CERT‘s

Die KITS wird den begonnenen Dialog zum Thema Meldung von IT-Sicherheitsvorfällen fortführen und auch in die Ausschussarbeit des Normenausschuss Informationstechnik und Anwendungen (NIA) einbringen. Interessierte sind eingeladen sich hierzu innerhalb der KITS oder des NIA zu beteiligen. Bei Interesse wenden Sie sich bitte an die Geschäftsstelle der KITS.