Die Zahl der IT-Sicherheitsvorfälle steigt. Deshalb sollten Unternehmen gut vorbereitet sein, um im Ernstfall richtig reagieren zu können. Aber wann redet man eigentlich von einem IT-Sicherheitsvorfall und welche wichtigen Handlungen und Maßnahmen sind vor, während sowie nach einem IT-Sicherheitsvorfall elementar? Die Antworten lesen Sie in den folgenden Abschnitten.

Egal ob IT-Schwachstelle, menschliches Fehlverhalten oder aber gezielter Hacker-Angriff: Mit fortschreitendem Digitalisierungsgrad sind IT-Sicherheitsvorfälle gewiss keine Rarität mehr – im Gegensatz. Sie sind inzwischen auf dem Tagesprogramm und kommen in nahezu jedem hiesigen Unternehmen vor.

Die Schäden, welche dadurch auftreten, sind meist immens. Sie reichen heute weit über monetäre Verlustgeschäfte hinaus und tangieren nicht bloß die attackierten Unternehmen, sondern zunehmend auch Drittparteien entlang der gesamten Wertkette und gelegentlich sogar größere Teile der Bevölkerung, wie die IT-Sicherheitsvorfälle aus dem Jahr 2021 bei Colonial Pipeline, dem mächtigsten Benzin-Pipeline-Anbieter in den USA, wie auch den IT-Unternehmen Kaseya und SolarWinds eindrucksvoll zeigten.

Doch was ist mit einem IT-Sicherheitsvorfall tatsächlich gemeint?

Im Allgemeinen wird unter einem IT-Sicherheitsvorfall ein unerwünschtes Geschehnis verstanden, welches die Vertraulichkeit, Nutzbarkeit und Integrität von Informationen, Geschäftsprozessen, IT-Systemen, IT-Anwendungen oder IT-Diensten derart beschädigt, dass ein großer Schaden für die betroffenen Unternehmen oder Personen auftreten kann.

Das Bundesamt für Sicherheit in der IT (BSI) definiert in dem Baustein Sicherheitsvorfallmanagement einen IT-Sicherheitsvorfall.

Demnach dreht es sich hauptsächlich in diesem Fall, um einen IT-Sicherheitsvorfall, sobald:

• Körper und Leben in Bedrohung sind.
• zentrale Unternehmensprozesse empfindlich gestört oder sogar zum Stillstand gebracht wurden.
• Hardware, Software und geschäftskritische Daten betroffen sind plus unrechtmäßig benutzt, manipuliert, gelöscht, zerstört, oder behindert wurden.
• Unternehmenswerte beschädigt wurden.
• Der IT-Sicherheitsvorfall Einfluss auf Kunden, Lieferanten oder anderweitige Personen und Einheiten außerhalb des Unternehmens hat.

Es kann jeden treffen!

Heutzutage muss ausnahmslos jedes Unternehmen hiermit planen, irgendwann Angriffsfläche eines sicherheitsrelevanten Ereignisses zu sein. Die Ursachen für das Entstehen eines IT-Sicherheitsvorfalls können dabei sehr unterschiedlich sein. Beispielsweise können etwa komplexe Internetangriffe mit Schadsoftware oder Ransomware, Fehlkonfigurationen, geschützte IT-Systeme, Sicherheitslücken in der Software, wie auch Verstöße gegen Sicherheitsrichtlinien und Befehle oder aber ein Entfall oder der Diebstahl von Geräten beispielsweise Notebooks weitreichende IT-Sicherheitsvorfälle herbeiführen.

Mit dem Ziel, dass IT-Sicherheitsvorfälle möglichst schnell sowie angemessen bearbeitet wie auch behoben werden können, sind Unternehmen daher bestens beraten, sich rechtzeitig mit dem Problem zu beschäftigen und eine intelligente sowie umfangreiche Strategie zur Behandlung von IT-Sicherheitsvorfällen zu erstellen und einzuführen.

Dazu zählt, dass sie neben dem Gebrauch erprobter IT-Sicherheitsmaßnahmen und IT-Sicherheitslösungen, wie etwa SIEM-Lösungen (Security Information and Event Management), einen umfassenden Vorfallreaktionsplan, auch vertraut unter dem Ausdruck Incident Response Plan, einführen.

Best Practices für den Umgang mit IT-Sicherheitsvorfällen!

In einem Incident Response Plan sind alle erforderlichen sowie einzuleitenden Verfahren und Maßnahmen definiert, die im Falle eines IT-Sicherheitsvorfalls zum Tragen kommen.

Üblicherweise ist eine Vorfallreaktion in vier Hauptphasen aufgegliedert:

1. Vorbereitung: Die sorgfältige Planung ist ein elementarer Ablaufschritt in der Verfahrensweise von IT-Sicherheitsvorfällen. Diese bildet den Grundstock für den kompletten Ablauf und entscheidet über Gelingen oder Misserfolg. In dieser Stufe sollte eine Incident-Response-Leitlinie, eine effiziente Reaktionsstrategie sowie eine feste Ablauforganisation erstellt und integriert werden. Außerdem gilt es sicherzustellen, dass sämtliche Mitarbeiter*innen in Hinsicht auf deren Rollen und Zuständigkeiten bei der Erwiderung auf IT-Sicherheitsvorfälle entsprechend ausgebildet sind. Es empfiehlt sich auch Übungsszenarien zu entwerfen, um den Vorfallreaktionsplan zu evaluieren und möglicherweise optimieren zu können.
2. Vorfallerkennung: In dieser Phase wird der Incident Response Plan in Gang gebracht. An dieser Stelle gilt es zu prüfen, ob ein gemeldeter Vorfall tatsächlich sicherheitsrelevant ist. Zudem müssen die folgenden Fragen beantwortet werden: Zu welchem Zeitpunkt fand der Angriff statt? Wer hat diesen entdeckt? Welche Bereiche sind betroffen? Wurde die Quelle, die Schwäche oder der Einstiegspunkt bereits ermittelt? Welche Folgen hat das Ereignis auf den laufenden Betrieb?
3. Eindämmung, Beseitigung sowie Wiederherstellung: Diese Phase konzentriert sich hierauf, die Konsequenzen des Vorfalls so gering wie möglich zu halten und Serviceunterbrechungen abzuschwächen.
4. Aktivitäten nach dem sicherheitsrelevanten Geschehnis: Sobald der Wiederherstellungsprozess erledigt ist, sollte der Vorfall selbst sowie alle Bemühungen, welche bei der Verfahrensweise des IT-Sicherheitsvorfalls vorkamen, verarbeitet werden. Dabei ist es im Interesse eines ständigen Verbesserungsprozesses wichtig, aus dem gesamten Vorfall zu lernen sowie ähnliche IT-Sicherheitsvorfälle in Zukunft zu verhindern.

Hinweis: Weitere Hilfestellungen sowie tiefergehende Informationen, wie IT-Sicherheitsvorfälle zu therapieren sind, bekommen Sie im IT-Grundschutzkompendium des Bundesamtes für Sicherheit in der IT.

Fazit: Vorausschauend denken und handeln, schützt!

Fast nie ist die Dependenz eines Unternehmens von einer funktionstüchtigen Informationstechnik so spürbar, wie in dem Moment eines schweren IT-Sicherheitsvorfalls. Gehen geschäftskritische Daten abhanden, fallen IT-Systeme oder sogar komplette IT-Infrastrukturen aus, reichen die Konsequenzen vom völligen Betriebsstillstand bis hin zu einem beträchtlichen Reputationsverlust.

Allerdings lässt sich das Schadensausmaß von IT-Sicherheitsvorfällen durch den Gebrauch von ausgereiften Vorgehensweisen, Sicherheitsmaßnahmen und Sicherheitslösungen zur Therapie von sicherheitsrelevanten Vorfällen auf ein Mindestmaß reduzieren.

Wollen auch Sie Ihr Unternehmen mit einer umfassenden Incident-Response-Strategie vor schweren IT-Sicherheitsvorfällen absichern? Oder haben Sie noch Unklarheiten zum Thema?
Sprechen Sie uns gerne an!

Ihr Kontakt: Andre Bruns  +49 (421) 6 99 01-0

Oder senden Sie uns eine E-Mail an: info@12systems.de