IT-Sicherheitsvorfall: Der richtige Umgang mit einem IT-Sicherheitsvorfall!

IT-Sicherheitsvorfälle sind heutzutage omnipräsent. Deshalb sollten sich alle Unternehmen auf einen denkbaren IT-Sicherheitsvorfall rüsten, um im Notfall korrekt reagieren zu können. Doch wann redet man eigentlich von einem IT-Sicherheitsvorfall und welche wichtigen Schritte sowie Maßnahmen sind vor, während und hinter einem IT-Sicherheitsvorfall elementar? Die Lösungen lesen Sie in den folgenden Textabschnitten.

Egal ob IT-Schwachstelle, menschliches Fehlverhalten oder gezielter Hacker-Angriff: Mit wachsendem Digitalisierungsgrad sind IT-Sicherheitsvorfälle keine Rarität mehr – im Gegensatz. Sie sind inzwischen auf dem Tagesprogramm und kommen in fast jedem inländischen Unternehmen vor.

Die Folgeschäden, die hierdurch entstehen, sind meist immens. Sie reichen heute deutlich über monetäre Verlustgeschäfte hinaus und tangieren nicht bloß die attackierten Unternehmen, sondern zunehmend auch Drittparteien innerhalb der gesamten Wertkette und gelegentlich sogar große Teile der Bevölkerung, wie die IT-Sicherheitsvorfälle von 2021 bei Colonial Pipeline, dem größten Benzin-Pipeline-Anbieter in den Vereinigten Staaten wie auch den IT-Betrieben Kaseya sowie SolarWinds beeindruckend bewiesen.

Doch was ist mit einem solchen IT-Sicherheitsvorfall tatsächlich gemeint?

Wann wird von einem IT-Sicherheitsvorfall gesprochen?

Im Allgemeinen wird unter einem IT-Sicherheitsvorfall ein unerwünschtes Geschehnis begriffen, das die Vertraulichkeit, Nutzbarkeit und Integrität von Informationen, Geschäftsprozessen, IT-Systemen, IT-Anwendungen oder IT-Diensten derart beeinträchtigt, dass ein enormer Schaden für die entsprechenden Unternehmen oder Personen auftreten kann.

Das Bundesamt für Sicherheit in der IT, kurz BSI, definiert in seinem Baustein Sicherheitsvorfallmanagement einen IT-Sicherheitsvorfall.

Demnach handelt es sich hauptsächlich dann, um einen IT-Sicherheitsvorfall, sobald:

• Leib und Leben in Bedrohung sind.
• zentrale Unternehmensprozesse drastisch gestört oder zum Stillstand gebracht wurden.
• Hardware, Software oder geschäftskritische Daten betroffen sind plus unrechtmäßig benutzt, manipuliert, formatiert, zerstört, oder behindert wurden.
• Unternehmenswerte beeinträchtigt wurden.
• Der IT-Sicherheitsvorfall Einfluss auf Kunden, Lieferanten oder anderweitige Personen und Einheiten außerhalb des Unternehmens hat.

Vor IT-Sicherheitsvorfällen ist niemand gefeit!

In der heutigen Zeit muss ausnahmslos jedes Unternehmen hiermit rechnen, irgendwann Angriffsfläche eines sicherheitsrelevanten Ereignisses zu sein. Die Ursachen für das Auftreten eines IT-Sicherheitsvorfalls können dabei äußerst vielfältig sein. So können unter anderem komplexe Internetangriffe mit Malware oder auch Ransomware, Fehlkonfigurationen, gesicherte IT-Systeme, Sicherheitslücken in der Computersoftware, sowie Verstöße gegen Sicherheitsrichtlinien und Anweisungen oder auch ein Verlust oder der Raub von Geräten beispielsweise Laptops weitreichende IT-Sicherheitsvorfälle herbeiführen.

Mit dem Ziel, dass IT-Sicherheitsvorfälle möglichst zeitnah sowie angebracht bearbeitet und behoben werden können, sind Unternehmen daher bestens beraten, sich frühzeitig mit dem Thema zu beschäftigen und eine durchdachte sowie umfassende Vorgehensweise zur Behandlung von IT-Sicherheitsvorfällen zu erstellen und einzuführen.

Hierzu zählt, dass sie neben dem Gebrauch erprobter IT-Sicherheitsmaßnahmen sowie IT-Sicherheitslösungen, wie beispielsweise SIEM-Lösungen (Security Information and Event Management), einen umfassenden Vorfallreaktionsplan, auch vertraut unter dem Begriff Incident Response Plan, einführen.

In sechs Schritten zu mehr IT-Sicherheit!

In dem Incident Response Plan sind jegliche notwendigen und einzuleitenden Verfahren wie auch Maßnahmen festgelegt, die im Falle eines IT-Sicherheitsvorfalls zur Anwendung kommen.

In der Regel ist die Vorfallreaktion in vier Hauptphasen aufgegliedert:

1. Vorbereitung: Die gründliche Planung ist ein elementarer Ablaufschritt in der Verfahrensweise von IT-Sicherheitsvorfällen. Diese bildet den Grundstock für den kompletten Prozess und entscheidet über Gelingen oder Versagen. In ebendieser Phase sollte eine Incident-Response-Richtlinie, eine effiziente Reaktionsstrategie sowie eine konkrete Ablauforganisation erstellt und implementiert werden. Überdies gilt es sicherzustellen, dass alle Mitarbeiter*innen im Hinblick auf deren Rollen und Verantwortlichkeiten bei der Erwiderung auf IT-Sicherheitsvorfälle entsprechend geschult sind. Es empfiehlt sich darüber hinaus Übungsszenarien zu entwerfen, um den Vorfallreaktionsplan zu evaluieren und möglicherweise optimieren zu können.
2. Vorfallerkennung: In dieser Stufe wird der Incident Response Plan in Bewegung gesetzt. An dieser Stelle gilt es zu kontrollieren, ob ein gemeldeter Fall wirklich sicherheitsrelevant ist. Darüber hinaus müssen die folgenden Angelegenheiten geklärt werden: Wann fand der Angriff statt? Wer hat diesen erkannt? Welche Bereiche sind betroffen? Wurde die Quelle, die Schwäche oder der Einstiegspunkt bereits identifiziert? Welche Folgen hat der Vorfall auf den laufenden Betrieb?
3. Eindämmung, Beseitigung sowie Wiederherstellung
   Diese Stufe konzentriert sich darauf, die Auswirkungen des Vorfalls so gering wie möglich zu halten und Serviceunterbrechungen abzuschwächen.
4. Aktivitäten nach dem sicherheitsrelevanten Ereignis
   Nachdem der Wiederherstellungsprozess abgeschlossen ist, sollte der Vorfall selbst sowie sämtliche Bemühungen, welche bei der Verfahrensweise des IT-Sicherheitsvorfalls zum Tragen kamen, versarbeitet werden. Angesichts dessen ist es im Sinne eines ständigen Verbesserungsprozesses wichtig, aus dem ganzen Vorfall zu lernen und derartige IT-Sicherheitsvorfälle in Zukunft zu verhindern.

Verweis: Noch mehr Hilfestellungen und tiefergehende Informationen, wie IT-Sicherheitsvorfälle zu behandeln sind, finden Sie im IT-Grundschutzkompendium des Bundesamtes für Sicherheit in der Informationstechnik.

Fazit: Bei der Gegenreaktion zählt jede Minute!

Selten ist die Abhängigkeit eines Betriebs von einer funktionierenden Informationstechnik so deutlich, wie in dem Augenblick eines schwerwiegenden IT-Sicherheitsvorfalls. Gehen geschäftskritische Datenansammlungen abhanden, fallen IT-Systeme oder sogar komplette IT-Infrastrukturen aus, reichen die Folgen vom kompletten Betriebsstillstand bis hin zu einem erheblichen Reputationsverlust.

In der Tat lässt sich das Schadensausmaß von IT-Sicherheitsvorfällen durch den Gebrauch von ausgereiften Prozessen, Sicherheitsmaßnahmen sowie Sicherheitslösungen zur Therapie von sicherheitsrelevanten Ereignissen auf ein Mindestmaß senken.

Sie sind Endkunde: Möchten auch Sie Ihr Unternehmen mit einer umfänglichen Incident-Response-Strategie vor schweren IT-Sicherheitsvorfällen schützen? Oder haben Sie noch Unklarheiten zum Thema?