Incident Management¶
Hier erfahren Sie, wie Sie Sicherheitsvorfälle in TCM365 erfassen, die NIS2-Meldefristen mit Countdown-Timer verfolgen und den Status eines Incidents dokumentieren.
Was ist ein Incident?¶
Ein Incident (Sicherheitsvorfall) ist ein Ereignis, das die Sicherheit, Verfügbarkeit oder Integritaet Ihrer IT-Systeme beeintraechtigt oder gefaehrdet. Beispiele:
- Ungewollte Konfigurationsänderungen (z.B. deaktivierte MFA-Policies)
- Kompromittierte Admin-Accounts
- Datenverlust oder -abfluss
- Ransomware-Angriffe
- Erfolgreiche Phishing-Angriffe
NIS2-Meldefristen¶
Die NIS2-Richtlinie definiert verbindliche Meldefristen für erhebliche Sicherheitsvorfälle:
| Frist | Zeitfenster | Inhalt |
|---|---|---|
| Erstmeldung | 24 Stunden | Erste Benachrichtigung der zustaendigen Behörde mit grundlegenden Informationen |
| Folgemeldung | 72 Stunden | Detaillierter Bericht mit Bewertung, Schweregrad und ersten Erkenntnissen |
| Abschlussbericht | 30 Tage | Vollständige Analyse, Ursachen, ergriffene Maßnahmen, Lessons Learned |
Achtung
Die Fristen beginnen ab dem Zeitpunkt, zu dem der Vorfall erkannt wird (nicht ab dem Zeitpunkt des tatsächlichen Eintritts). Erfassen Sie Incidents daher sofort in TCM365, um die Fristen korrekt zu verfolgen.
Incident erfassen¶
1. Neuen Incident anlegen¶
- Navigieren Sie in der Sidebar zu KRITIS/NIS2 > Incidents
- Klicken Sie auf Neuer Incident
2. Grunddaten eingeben¶
Füllen Sie die Pflichtfelder aus:
- Titel -- Kurze, praegnante Beschreibung des Vorfalls (z.B. "MFA-Policy global deaktiviert")
- Beschreibung -- Detaillierte Beschreibung, was passiert ist
- Schweregrad -- Kritisch, Hoch, Mittel oder Niedrig
- Kategorie -- Art des Vorfalls (z.B. Konfigurationsänderung, Datenverlust, Zugriffsverletzung)
- Erkennungszeitpunkt -- Wann wurde der Vorfall entdeckt?
- Betroffener Tenant -- Welcher Tenant ist betroffen?
3. NIS2-Meldepflicht bewerten¶
- Bewerten Sie, ob der Vorfall NIS2-meldepflichtig ist
- Wenn ja, aktivieren Sie die NIS2-Meldepflicht
- TCM365 startet automatisch die Countdown-Timer für alle drei Meldefristen
4. Incident speichern¶
- Klicken Sie auf Speichern
- Der Incident erscheint in der Incident-Liste mit den laufenden Countdown-Timern
NIS2-Countdown verfolgen¶
Für NIS2-meldepflichtige Incidents zeigt TCM365 Countdown-Timer an:
Countdown-Anzeige¶
- Grün: Genuegend Zeit bis zur Frist (mehr als 50% der Zeit verbleibend)
- Gelb: Zeit wird knapp (weniger als 50% verbleibend)
- Rot: Frist läuft bald ab oder ist bereits überschritten
Meldungen dokumentieren¶
Wenn Sie eine Meldung an die Behörde abgegeben haben:
- Öffnen Sie den Incident
- Klicken Sie bei der entsprechenden Frist auf Meldung dokumentieren
- Tragen Sie ein:
- Datum und Uhrzeit der Meldung
- Empfänger (zustaendige Behörde)
- Zusammenfassung des Meldeinhalts
- Der Countdown-Timer für diese Frist wird als erfüllt markiert
Incident-Status verfolgen¶
Ein Incident durchlaeuft typischerweise folgende Status:
| Status | Beschreibung |
|---|---|
| Neu | Vorfall wurde erfasst, Untersuchung hat noch nicht begonnen |
| In Bearbeitung | Vorfall wird aktiv untersucht und bearbeitet |
| Eingedaemmt | Sofortmassnahmen wurden ergriffen, weitere Auswirkungen verhindert |
| Behoben | Ursache wurde beseitigt, Normalbetrieb wiederhergestellt |
| Geschlossen | Abschlussanalyse durchgeführt, Lessons Learned dokumentiert |
Status ändern¶
- Öffnen Sie den Incident
- Ändern Sie den Status über die Dropdown-Auswahl
- Fügen Sie eine Statusnotiz hinzu, die die Änderung begruendet
- Klicken Sie auf Speichern
Incident mit Drift-Alert verknüpfen¶
Wenn ein Drift-Alert zu einem Sicherheitsvorfall führt:
- Öffnen Sie den Drift-Alert
- Klicken Sie auf Incident erstellen
- Die Informationen aus dem Alert werden automatisch in den Incident uebernommen
- Ergänzen Sie die fehlenden Angaben und speichern Sie
Tipp
Verknuepfen Sie Drift-Alerts mit Incidents, um eine lueckenlose Dokumentation zu erhalten -- vom ersten Hinweis (Alert) über die Untersuchung bis zur Behebung.
Best Practices¶
- Sofort erfassen: Dokumentieren Sie Vorfälle sofort, auch wenn noch nicht alle Details bekannt sind
- Schweregrad richtig einschaetzen: Nutzen Sie die Risikobewertung als Grundlage
- Fristen im Blick behalten: Prüfen Sie täglich die Countdown-Timer für offene NIS2-meldepflichtige Incidents
- Statusnotizen führen: Dokumentieren Sie jeden Bearbeitungsschritt
- Lessons Learned: Schliessen Sie jeden Incident mit einer Abschlussanalyse und Empfehlungen zur Verhinderung aehnlicher Vorfälle
Nächster Schritt¶
- Risikobewertung -- Bewerten Sie die mit dem Incident verbundenen Risiken
- Change Management -- Dokumentieren Sie die Maßnahmen als Change Request