Planung und Einsatz von Sicherheitsmaßnahmen erfolgen mit dem Ziel einer Minimierung des verbleibenden Risikos für die Organisation. Dabei bleiben jedoch in der Praxis Risiken bestehen, oder es werden sogar neue Risiken geschaffen, da:

• auch Sicherheitsmaßnahmen überwunden oder umgangen werden können bzw. fehlerhaft entwickelt sind und selbst Sicherheitslücken enthalten,
• auch Fehler bei der Auswahl und dem Einsatz von Sicherheitsmaßnahmen geschehen,
• neue Angriffsmöglichkeiten bzw. neue Risiken für Benutzer und Organisationen durch den Einsatz von Sicherheitsmaßnahmen entstehen,
• die Notwendigkeit von Sicherheitsmaßnahmen gar nicht erkannt wird, und damit auch keine Maßnahmen eingesetzt werden,
• Risiken auch durch Abwälzung z. B. auf Versicherungen abgedeckt und verringert werden können, allerdings dabei nicht alle Auswirkungen und Folgeschäden bedacht wurden,
• Risiken aus betriebswirtschaftlichem Kalkül teilweise bewusst in Kauf genommen werden (müssen).

Hierbei wird oft übersehen, dass gerade die bewusst in Kauf genommenen Risiken ein teilweise sehr hohes Schadenpotential beinhalten können. Da jedoch für diese Risiken gleichzeitig meist eine sehr geringe Eintrittshäufigkeit vorausgesetzt / angenommen wird, erscheint das Risiko insgesamt beherrschbar zu sein. Jedoch muss sich jede Organisation auch darauf einstellen, dass solche Ereignisse mit sehr hohem Schadenpotential ungeachtet einer noch so niedrigen Eintrittswahrscheinlichkeit eintreten können, wobei dann keine Sicherheitsmaßnahmen greifen, da diese Risiken - wie oben ausgeführt - billigend in Kauf genommen wurden. Üblicherweise kennzeichnet der Eintritt eines solchen Falles den Beginn des sogenannten Krisen-Managements, das im Prinzip auf eine adäquate Bewältigung solcher „Ausnahmesituationen“ - üblicherweise mit dem Ausfall eines Rechenzentrums aufgrund von Brand, etc. gleichgesetzt - abhebt. Traditionell geht das Krisen-Management von einer Situation aus, die das Überleben des Unternehmens in Frage stellt.

Die Erfahrungen gerade in öffentlichen Netzen seit Anfang der 90er Jahren hat allerdings gezeigt, dass auch relativ kleine Ereignisse das Potential haben, hohe direkte Schäden und nicht abzuwägende Folgeschäden zu verursachen. Dabei ist hier jedoch im Bereich der bösartigen Schadensprogramme wie Computer-Viren oder Computer-Würmer sowie Angriffen von Computer-Kriminellen keineswegs eine niedrige Eintrittswahrscheinlichkeit anzunehmen, vielmehr sind solche Angriffe heute immer vorauszusetzen, d. h. Sicherheitsmaßnahmen gehören zu den anerkannten Best Practices. Die weltweite Verbreitung von bestimmten Betriebssystemen bzw. Netzwerkprotokollen hat bei dem Bekannt werden neuer Sicherheitslücken Implikationen für alle Betroffenen, die im Wettlauf gegen die Zeit diese Lücken schließen müssen. Im tagtäglichen Betrieb haben sich daher sogenannte Computer-Notfallteams bzw. Sicherheitsteams, die die neuen Aufgaben der Angriffs- und Vorfallsbearbeitung übernehmen, etabliert. Parallel dazu bekommen unternehmensweite Verfahren zur Erkennung von Angriffen, insbesondere unter dem Stichwort Intrusion Detection, eine große Bedeutung zu, kann doch nur bei einer rechtzeitigen Erkennung eine wirksame Abwehr aufgenommen werden.

Aufgrund der oben genannten Gründe besteht immer das Risiko, das trotz getroffener Sicherheitsmaßnahmen ein Angriff erfolgreich ist und das betroffene Unternehmen kompromittiert wird. Da jedoch aufgrund der Schadenshöhe nicht in jedem Fall das Überleben des Unternehmens (jedenfalls nicht von vorne herein) gefährdet ist, greift das Krisen-Management nicht - und ist auch konzeptionell zunächst nicht geeignet, diese Probleme des tagtäglichen Betriebs angemessen in den Griff zu bekommen, da das Krisen-Management mit einem Eingriff in die Art und Weise, wie das Unternehmen geführt wird, verbunden ist.

Die Erkennung und Beherrschung solcher Situationen - egal, ob es sich um Risiken mit hoher oder niedriger Eintrittswahrscheinlichkeit handelt - ist Fokus dieser Fachgruppe, wobei der Schwerpunkt auf informationstechnische Fragestellungen gerichtet ist.

Die Themen der Fachgruppe lassen sich im einzelnen wie folgt charakterisieren:

• Erkennung und Meldung von Sicherheitsvorfällen (technischen, logischen und Informationsangriffen) z.B. durch Intrusion Detection Systeme aber auch durch andere Möglichkeiten
• Klassifikation, Entwurf, Implementierung und Evaluation von Erkennungsverfahren für bösartige Schadensprogramme, Sicherheitslücken, Angriffe und Vorfälle
• Spezifikation/Modellierung und Management von Mustern bei Angriffen, Vorfällen, bösartigen Schadensprogrammen und Sicherheitslücken
• Standardisierung von Verfahren zur Erkennung, insbesondere durch Intrusion Detection Systeme, und zur Meldung von Angriffen, Vorfällen, bösartigen Schadensprogrammen und Sicherheitslücken sowie zur Information bzw. Alarmierung von Anwendern und Betroffenen
• Anwendungsaspekte von Intrusion Detection Systemen und anderen Verfahren zur Erkennung von Angriffen, Vorfallen, bösartigen Schadensprogrammen, etc.
• Integration aller relevanten Verfahren sowie deren Managements mit anderen Sicherheitsmaßnahmen, z. B. der Einsatz von Intrusion Detection Systemen bei verschlüsselter Netzwerk-Kommunikation
• Wirkung von Vorsorgemaßnahmen zur verbesserten Erkennung und Eindämmung von Schäden
• Untersuchung und Bewertung von Angriffen, Vorfällen, bösartigen Programmen und Sicherheitslücken sowie in diesem Umfeld eingesetzten Tools, Vorgehensweisen und Techniken für eine juristisch verwertbare Beweiserhebung und -sicherung, Rückverfolgung von Angriffen und Urhebern
• Aufrechterhaltung bzw. Wiederherstellung eines sicheren IT-Betriebs nach Vorfällen, Business Continuity (Disaster Recovery, Survivability) bei Krisen und bei tagtäglichen Angriffen
• Notfallorganisation und Krisenmanagement, insbesondere die Organisation von Computer-Notfallteams (CERTs, Incident Response Teams) und Krisen-Managementteams
• Strategien für eine überlebensfähige IT-Organisation und die Beherrschbarkeit schwerwiegender Schadensfälle
• Auswirkungen von Angriffen, Vorfällen, bösartigen Programmen, Sicherheitslücken - und der Reaktion auf solche - auf andere Bereiche, insbesondere den Schutz kritischer Infrastrukturen und die gesellschaftliche Akzeptanz einer risiko-behafteten IT

Insbesondere für die Diskussion organisatorischer und rechtlicher Fragestellungen, z.B. die Notfallorganisation, Rechtmäßigkeit von eingesetzten Erkennungs- / Überwachungsverfahren, Schutz kritischer Infrastrukturen oder die Vorgehensweisen für eine juristisch verwertbare Beweissicherung bei Vorfällen, wird eine enge Zusammenarbeit mit anderen Fachgruppen gesucht. Gleichermaßen gilt dies für die Integration der behandelten Verfahren und Lösungen mit anderen Sicherheitsmaßnahmen sowie der Notwendigkeit eines übergreifenden Managements.