Informationspflichten bei IT-Vorfällen
Wie Incident Report Tools helfen
Incident Report Tools: Bitte anpassen
Eine ganze Reihe von Tools hat sich dem Incident Management verschrieben oder bietet zumindest Funktionen für das Incident Reporting, darunter EnCase Cybersecurity Incident Response, PPM 2000 Perspective SOC, iTrak Incident Reporting & Risk Management System und Report Exec. Teilweise lassen sich diese Tools auch für Berichte über kritische Vorfälle außerhalb der IT einsetzen.
Besonders hilfreich ist es für meldepflichtige Organisationen, wenn Lösungen bereits vorbereitete Berichtsvorlagen und Workflows enthalten, die individuell angepasst werden können. So enthält zum Beispiel die D3 Security Cyber Security Incident Response Software vorbereitete Workflows für verschiedene Typen von IT-Sicherheits-Vorfällen wie DDoS-Attacken, Phishing oder Advanced Persistent Threats (APTs). RSA Archer Incident Management unterstützt die in verschiedenen Compliance-Vorgaben vorgesehene Möglichkeit zur anonymen Meldung von Vorfällen durch Whistleblower. Das Resilient Privacy Module bietet Incident-Response-Pläne auf Basis verschiedener Datenschutzgesetze zum Beispiel aus Europa, USA und Kanada.
Da die meisten Tools internationaler Herkunft sind, kommen Unternehmen aus Deutschland kaum an einer Anpassung der Berichte und Meldewege an die nationalen beziehungsweise europäischen Vorgaben vorbei. Entscheidend bei der Suche nach einem Incident Reporting Tool ist es deshalb, dass die Workflows, Berichte, Kommunikationswege und Berichtsempfänger auf die individuellen Anforderungen des Meldepflichten anpassbar sind. Was zum Beispiel im Fall von schwerwiegenden Zahlungssicherheitsvorfällen die Meldungen der Internet-Zahlungsdienstleister an BaFin enthalten sollen, zeigen entsprechende Vorlagen zur Erstmeldung und zur Abschlussmeldung.
Weitere Kriterien bei der Suche nach einer passenden Lösung zur Unterstützung bei der Umsetzung der Informations- und Meldepflichten sind neben den anpassbaren Berichtsvorlagen und Workflows Punkte wie die Verfügbarkeit und Ausfallsicherheit der Lösung, der Zugriffsschutz für Auswertungen und Berichte (besondere Zweckbindung der Daten), die grundsätzlich zu verschlüsselnde Übertragung und Speicherung der Daten über die Sicherheitsvorfälle sowie die Datensparsamkeit beziehungsweise Anonymisierung hinsichtlich personenbezogener Daten in den Incident Reports. Schließlich soll die Meldung eines IT-Sicherheits-Vorfalles nicht selbst einen neuen IT-Vorfall oder eine Datenpanne ermöglichen.
Auf der folgenden Seite sind betroffene Gesetze, Unternehmen sowie Art und Umfang der jeweils geltenden Meldepflichten übersichtlich aufgeführt.