Zum Hauptinhalt springen
Informationssicherheit / NIS2

Sicherheitsvorfall (Security Incident)

Ein Ereignis, das die Vertraulichkeit, Integrität oder Verfügbarkeit von Informationen gefährdet oder beeinträchtigt.

Ein Sicherheitsvorfall (Security Incident) ist ein Ereignis, das die Sicherheitsziele einer Organisation – Vertraulichkeit, Integrität und Verfügbarkeit von Informationen und Systemen – tatsächlich beeinträchtigt oder ernsthaft gefährdet. Er unterscheidet sich von einem Sicherheitsereignis (Security Event), das lediglich ein beobachtetes Vorkommnis ist, das möglicherweise sicherheitsrelevant ist. Erst eine Bewertung und Klassifizierung macht aus einem Ereignis einen Vorfall.

Sicherheitsvorfälle können vielfältige Ursachen haben: Cyberangriffe (Ransomware, Phishing, DDoS), menschliche Fehler, technische Ausfälle oder physische Einbrüche. ISO 27035 definiert einen strukturierten Prozess für das Incident Management, der Erkennung, Meldung, Bewertung, Reaktion, Analyse und Nachbereitung umfasst. Für NIS2-betroffene Einrichtungen regelt Art. 23 der Richtlinie, welche Vorfälle als „erheblich" eingestuft werden müssen und welche Meldepflichten damit verbunden sind.

Ein gut etabliertes Incident-Management-Verfahren umfasst klare Eskalationswege, definierte Rollen (z. B. Incident Manager, CISO, Pressesprecher), technische Tools zur Erkennung und Analyse sowie vorgefertigte Kommunikationsvorlagen. Regelmäßige Incident-Response-Übungen sind essenziell, um sicherzustellen, dass das Team im Ernstfall schnell und koordiniert handeln kann. Nach jedem schwerwiegenden Vorfall sollte eine strukturierte Post-Incident-Analyse (Lessons Learned) durchgeführt werden.

Rechtliche Grundlage

ISO 27035, Art. 23 NIS-2-Richtlinie 2022/2555

Praxisbeispiel

Ein mittelständisches Produktionsunternehmen wird Opfer eines Ransomware-Angriffs, der die Produktionssteuerung für 18 Stunden außer Betrieb setzt. Das Unternehmen stellt fest, dass es als NIS2-wesentliche Einrichtung eingestuft ist, und aktiviert seinen Incident-Response-Plan. Innerhalb von 16 Stunden wird eine Erstmeldung an das BSI übermittelt, da die Störung als erheblicher Sicherheitsvorfall eingestuft wurde. Das IT-Team stellt die Systeme aus Backups wieder her, der Vorfall wird forensisch analysiert, und innerhalb eines Monats wird ein abschließender Bericht mit Maßnahmen zur Verhinderung ähnlicher Angriffe an das BSI übermittelt.

Häufige Fragen

Ein Sicherheitsvorfall ist ein Ereignis, das die Vertraulichkeit, Integrität oder Verfügbarkeit von Informationen oder IT-Systemen tatsächlich beeinträchtigt oder ernsthaft gefährdet. Typische Beispiele sind Ransomware-Angriffe, Datenlecks, unbefugte Zugriffe oder längere Systemausfälle.
Unter NIS2 müssen erhebliche Sicherheitsvorfälle innerhalb von 24 Stunden als Frühwarnung und innerhalb von 72 Stunden als Erstmeldung an die zuständige nationale Behörde (in Deutschland das BSI) gemeldet werden. Ein Vorfall gilt als erheblich, wenn er erhebliche Betriebsstörungen oder wirtschaftliche Schäden verursacht oder verursachen könnte.
Zunächst sollte der Vorfall erkannt, bewertet und klassifiziert werden. Dann folgen die Eindämmung des Schadens, die Benachrichtigung der zuständigen internen und externen Stellen sowie die forensische Analyse. Nach der Wiederherstellung des Normalbetriebs ist eine Post-Incident-Analyse (Lessons Learned) durchzuführen, um ähnliche Vorfälle künftig zu verhindern.

So unterstützt preeco Sie

Erfahren Sie, wie unsere Software Sie bei diesem Thema unterstützt.

Mehr erfahren

Verwandte Begriffe

Meldepflicht nach NIS2 Datenpanne / Data Breach Business Continuity Management (BCM) NIS-2-Richtlinie ISMS (Informationssicherheits-Managementsystem)
Zurück zum Glossar