DET.2.1 — Meldeverfahren
SOLLTE
Security level: normal-SdT
Effort 2
BSI-Stand-der-Technik-Kernel
Statement (Anforderung)
Detektion SOLLTE ein Meldeverfahren verankern.
Guidance (Erläuterung)
Ein Meldeverfahren bezeichnet in diesem Kontext einen nachvollziehbaren und definierten Ablauf zur Erfassung, Weiterleitung und Bearbeitung erkannter sicherheitsrelevanter Ereignisse oder Auffälligkeiten („Incident Reporting“ oder „Security Event Reporting“). Dazu gehört, welche Ereignisse als meldepflichtig gelten, über welche Kommunikationswege Meldungen erfolgen können, welche Stellen dabei informiert werden und innerhalb welcher Zeiträume eine Bearbeitung stattfindet. Die Anforderung zielt darauf ab, dass erkannte Sicherheitsereignisse nicht unbeachtet bleiben oder nur informell kommuniziert werden. Ohne ein geregeltes Vorgehen könnte ein Vorfall verspätet bearbeitet werden, wichtige Informationen könnten verloren gehen oder Warnhinweise könnten nicht die zuständigen Stellen erreichen. Ein etabliertes Meldeverfahren kann hingegen eine schnelle Reaktion, eine konsistente Bewertung von Ereignissen und eine koordinierte Behandlung erkannter Auffälligkeiten unterstützen. Die konkrete Ausgestaltung kann sich dabei an Größe, Struktur und Schutzbedarf der Institution orientieren. Geeignet sind etwa zentrale Meldestellen, Ticketsysteme, standardisierte Meldeformulare und abgestufte Eskalationsprozesse.
Statement properties
| Name | Value |
|---|---|
| documentation | Arbeitsanweisung |
| result | ein Meldeverfahren |
| action_word | verankern |
| modal_verb | SOLLTE |
Control properties
| Name | Value |
|---|---|
| alt-identifier | d1646dc3-5cdb-44a5-999a-d41785bdd34b |
| sec_level | normal-SdT |
| effort_level | 2 |
Raw OSCAL JSON (complete control)
{
"class": "BSI-Stand-der-Technik-Kernel",
"controls": [
{
"class": "BSI-Stand-der-Technik-Kernel",
"id": "DET.2.1.1",
"parts": [
{
"id": "DET.2.1.1_stm",
"name": "statement",
"props": [
{
"name": "documentation",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv",
"value": "Arbeitsanweisung"
},
{
"name": "result",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv",
"value": "Regelungen für Sofortmaßnahmen durch Nutzende"
},
{
"name": "action_word",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv",
"value": "verankern"
},
{
"name": "modal_verb",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv",
"value": "SOLLTE"
}
],
"prose": "Detektion SOLLTE Regelungen für Sofortmaßnahmen durch Nutzende verankern."
},
{
"id": "DET.2.1.1_gdn",
"name": "guidance",
"prose": "Beispiele für Sofortmaßnahmen sind der sofortige Stopp weiterer Tätigkeiten an betroffenen Systemen, die Dokumentation von Beobachtungen oder zu meldende Informationen (W-Fragen). Hierfür kann die IT-Notfallkarte „Verhalten bei IT-Notfällen“ des BSI genutzt werden."
}
],
"props": [
{
"name": "alt-identifier",
"value": "89191db5-45b5-4e35-91b6-eb277d2427ac"
},
{
"name": "sec_level",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv",
"value": "normal-SdT"
},
{
"name": "effort_level",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv",
"value": "2"
},
{
"name": "tags",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv",
"value": "Kompetenzmanagement"
}
],
"title": "Sofortmaßnahmen Nutzender"
},
{
"class": "BSI-Stand-der-Technik-Kernel",
"id": "DET.2.1.2",
"parts": [
{
"id": "DET.2.1.2_stm",
"name": "statement",
"props": [
{
"name": "documentation",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv",
"value": "Detektions-Konzept"
},
{
"name": "result",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv",
"value": "Meldeformulare"
},
{
"name": "result_specification",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv",
"value": "für Vorfallsmeldungen"
},
{
"name": "action_word",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv",
"value": "installieren"
},
{
"name": "modal_verb",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv",
"value": "SOLLTE"
}
],
"prose": "Detektion SOLLTE Meldeformulare für Vorfallsmeldungen installieren."
},
{
"id": "DET.2.1.2_gdn",
"name": "guidance",
"prose": "Die Angabe des Meldezeitpunktes oder der Name des Meldenden, kann auch durch ein Formular automatisch ausgefüllt werden."
}
],
"props": [
{
"name": "alt-identifier",
"value": "d6a025c2-5cca-49d0-ab04-54cd419e147e"
},
{
"name": "sec_level",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv",
"value": "normal-SdT"
},
{
"name": "effort_level",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv",
"value": "4"
}
],
"title": "Meldeformulare"
},
{
"class": "BSI-Stand-der-Technik-Kernel",
"id": "DET.2.1.3",
"parts": [
{
"id": "DET.2.1.3_stm",
"name": "statement",
"props": [
{
"name": "documentation",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv",
"value": "Detektions-Konzept"
},
{
"name": "result",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv",
"value": "ein Verfahren für Rückmeldungen"
},
{
"name": "action_word",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv",
"value": "verankern"
},
{
"name": "modal_verb",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv",
"value": "SOLLTE"
}
],
"prose": "Detektion SOLLTE ein Verfahren für Rückmeldungen verankern."
},
{
"id": "DET.2.1.3_gdn",
"name": "guidance",
"prose": "Rückmeldungen an Personen, die potenzielle Vorfälle gemeldet haben, sind hilfreich, da sie zum besseren Verständnis beitragen, worauf bei künftigen Meldungen zu achten ist und wie die Meldenden zur Bearbeitung des Vorfalls beitragen können. Ohne Rückmeldung könnte Unsicherheit entstehen, ob ein Vorfall überhaupt aufgenommen oder ernst genommen wurde, was zu Frustration oder einer sinkenden Bereitschaft zur Meldung künftiger Ereignisse führen könnte. Eine zeitnahe und angemessene Rückmeldung kann dagegen die Nutzenden in ihrem sicherheitsbewussten Verhalten bestärken, die Relevanz ihrer Meldung verdeutlichen und Missverständnisse vermeiden. So kann beispielsweise eine Rückmeldung nach einem gemeldeten Phishing-Versuch klarstellen, ob es sich um einen bekannten Angriff handelte oder ob zusätzliche Maßnahmen wie das Zurücksetzen eines Passworts empfohlen werden. Ebenso kann eine Rückmeldung nach einem gemeldeten Systemausfall erläutern, ob dieser sicherheitsrelevant war oder eine rein technische Störung vorlag. Ein Rückmeldeverfahren kann in diesem Kontext als ein strukturierter Ablauf definiert werden, über den die meldende Person nach Eingang ihrer Meldung eine Information über den Status, die Relevanz und – falls sinnvoll – empfohlene Folgeschritte erhält. Ein automatisiertes Ticketsystem kann beispielsweise sofortige Eingangsbestätigungen generieren und Statusänderungen kommunizieren. Ebenso kann eine abgestufte Rückmeldepflicht sinnvoll sein, bei der kritische Vorfälle eine priorisierte persönliche Rückmeldung durch Fachpersonal erhalten, während unkritische Meldungen standardisierte Mitteilungen bekommen. Technische Hilfsmittel wie Mail-Vorlagen, interne Chatbots oder Self-Service-Portale können die Effizienz erhöhen"
}
],
"props": [
{
"name": "alt-identifier",
"value": "c961b1c8-2f6a-4e6d-9126-e2005c44f728"
},
{
"name": "sec_level",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv",
"value": "normal-SdT"
},
{
"name": "effort_level",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv",
"value": "4"
}
],
"title": "Rückmeldungen"
}
],
"id": "DET.2.1",
"parts": [
{
"id": "DET.2.1_stm",
"name": "statement",
"props": [
{
"name": "documentation",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv",
"value": "Arbeitsanweisung"
},
{
"name": "result",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv",
"value": "ein Meldeverfahren"
},
{
"name": "action_word",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv",
"value": "verankern"
},
{
"name": "modal_verb",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv",
"value": "SOLLTE"
}
],
"prose": "Detektion SOLLTE ein Meldeverfahren verankern."
},
{
"id": "DET.2.1_gdn",
"name": "guidance",
"prose": "Ein Meldeverfahren bezeichnet in diesem Kontext einen nachvollziehbaren und definierten Ablauf zur Erfassung, Weiterleitung und Bearbeitung erkannter sicherheitsrelevanter Ereignisse oder Auffälligkeiten („Incident Reporting“ oder „Security Event Reporting“). Dazu gehört, welche Ereignisse als meldepflichtig gelten, über welche Kommunikationswege Meldungen erfolgen können, welche Stellen dabei informiert werden und innerhalb welcher Zeiträume eine Bearbeitung stattfindet. Die Anforderung zielt darauf ab, dass erkannte Sicherheitsereignisse nicht unbeachtet bleiben oder nur informell kommuniziert werden. Ohne ein geregeltes Vorgehen könnte ein Vorfall verspätet bearbeitet werden, wichtige Informationen könnten verloren gehen oder Warnhinweise könnten nicht die zuständigen Stellen erreichen. Ein etabliertes Meldeverfahren kann hingegen eine schnelle Reaktion, eine konsistente Bewertung von Ereignissen und eine koordinierte Behandlung erkannter Auffälligkeiten unterstützen. Die konkrete Ausgestaltung kann sich dabei an Größe, Struktur und Schutzbedarf der Institution orientieren. Geeignet sind etwa zentrale Meldestellen, Ticketsysteme, standardisierte Meldeformulare und abgestufte Eskalationsprozesse."
}
],
"props": [
{
"name": "alt-identifier",
"value": "d1646dc3-5cdb-44a5-999a-d41785bdd34b"
},
{
"name": "sec_level",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv",
"value": "normal-SdT"
},
{
"name": "effort_level",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv",
"value": "2"
}
],
"title": "Meldeverfahren"
}