Lesedauer ‘IT-Sicherheitsvorfall: Prävention, Erkennung und Aufklärung!’ 7 Minuten

IT-Sicherheitsvorfälle sind heutzutage allgegenwärtig. Aus diesem Grund sollten sich alle Unternehmen auf einen solchen IT-Sicherheitsvorfall vorbereiten, um im Ernstfall richtig reagieren zu können. Doch wann redet man eigentlich von einem IT-Sicherheitsvorfall? Welche wichtigen Maßnahmen sind vor, während und nach einem IT-Sicherheitsvorfall entscheidend? Antworten auf diese (und weitere) Fragen erhalten Sie im folgenden Artikel.

Egal ob IT-Schwachstelle, menschliches Fehlverhalten oder gezielter Hacker-Angriff: Mit wachsendem Digitalisierungsgrad sind IT-Sicherheitsvorfälle keine Seltenheit mehr – das Gegenteil ist der Fall: Mittlerweile Stehen solche Vorfälle auf der Tagesordnung und kommen in fast jedem deutschen Unternehmen vor.

Dadurch entstehende Folgeschäden sind oft beachtlich und reichen deutlich über das rein monetäre Verlustgeschäfte hinaus. Denn betroffen sind nicht mehr ausschließlich die attackierten Betriebe, sondern immer öfter auch Drittparteien innerhalb einer wirtschaftlichen Wertschöpfungskette. Und werden gar Behörden oder Versorger attackiert, beeinträchtigt dies sogar große Teile der Bevölkerung – als Beispiele seien hier IT-Sicherheitsvorfälle von 2021 bei Colonial Pipeline, dem Betreiber eines Benzin-Pipeline-Netzwerkes in den Vereinigten Staaten, wie auch bei den IT-Unternehmen Kaseya und SolarWinds genannt.

Doch was ist mit dem Begriff ‘IT-Sicherheitsvorfall’ tatsächlich gemeint?

Das versteht man unter einem IT-Sicherheitsvorfall

Im Allgemeinen definiert sich ein IT-Sicherheitsvorfall als unerwünschtes Geschehnis, welches die Vertraulichkeit, Verfügbarkeit und Integrität von Informationen, Geschäftsabläufen, IT-Systemen, IT-Anwendungen oder IT-Diensten derart beeinträchtigt, dass ein enormer Schadensfall für die entsprechenden Unternehmen oder Personen entstehen kann.

Das Bundesamt für Sicherheit in der Informationstechnik kategorisiert in seinem Baustein ‘Sicherheitsvorfallmanagement’ einen IT-Sicherheitsvorfall im Detail. Demnach handelt es sich insbesondere dann um einen IT-Sicherheitsvorfall, wenn:

    • Leib und Leben in Gefahr sind.
    • zentrale Unternehmensprozesse drastisch beeinträchtigt oder zum Stillstand gebracht wurden.
    • Hardware, Software oder geschäftskritische Daten bedroht sind und unrechtmäßig benutzt, manipuliert, gelöscht, zerstört oder eingeschränkt wurden.
    • Unternehmenswerte beschädigt wurden.
    • das Ereignis negativen Einfluss auf Kunden, Lieferanten oder andere Personen bzw. Instanzen außerhalb des betroffenen Unternehmens hat.

Ein IT-Sicherheitsvorfall ist heute wahrscheinlicher als je zuvor

Heutzutage muss ausnahmslos jedes Unternehmen damit rechnen, irgendwann Opfer eines sicherheitsrelevanten Ereignisses zu werden. Die Faktoren dafür, dass ein IT-Sicherheitsvorfall überhaupt entsteht, können dabei äußerst unterschiedlich sein. So sind etwa komplexe Internet-Angriffe mit Schadsoftware oder Ransomware, fehlkonfigurierte IT-Systeme, Sicherheitslücken in genutzter Software, Verstöße gegen Sicherheitsrichtlinien oder der Raub von mobilen Endgeräten (Notebooks etc.) Ursache für – mitunter weitreichende – IT-Sicherheitsvorfälle.

Mit dem Ziel, dass ein IT-Sicherheitsvorfall zeitnah und angemessen bearbeitet und beseitigt werden kann, sind Unternehmen daher bestens beraten, sich rechtzeitig mit dem Thema zu beschäftigen. Eine intelligente und umfassende Strategie zur Verfahrensweise bei IT-Sicherheitsvorfällen zu erstellen und einzuführen, sollte bei Entscheidern hoch priorisiert werden. Dazu gehört, dass sie neben dem Gebrauch erprobter IT-Sicherheitsmaßnahmen und -lösungen einen umfassenden Vorfallreaktionsplan (neudeutsch: Incident Response-Plan) einführen.

Richtig reagieren, leicht gemacht!

In einem Incident Response-Plan sind alle erforderlichen Maßnahmen festgelegt, die im Fall eines IT-Sicherheitsvorfalls zur Anwendung kommen. Üblicherweise ist eine Vorfallreaktion in vier Hauptphasen aufgegliedert:

Vorbereitung

Die sorgfältige Planung ist ein wichtiger Ablaufschritt in der Behandlung von IT-Sicherheitsvorfällen. Sie formt den Grundstock für den kompletten Prozess und bestimmt über Gelingen oder Versagen. In ebendieser Phase sollte eine Incident Response-Leitlinie, eine effiziente Reaktionsstrategie sowie eine feste Ablauforganisation erstellt und implementiert werden. Überdies gilt es sicherzustellen, dass alle Arbeitnehmer*innen im Hinblick auf deren Rollen und Verantwortlichkeiten bei der Reaktion auf IT-Sicherheitsvorfälle entsprechend geschult sind. Darüber hinaus ist es ratsam, Übungsszenarien zu entwickeln, um den Vorfallreaktionsplan zu beurteilen und bei Bedarf optimieren zu können.

Vorfallerkennung

In dieser Phase wird der Incident Response-Plan in Gang gesetzt. Hier gilt es zu prüfen, ob ein gemeldeter Vorfall tatsächlich sicherheitsrelevant ist. Zudem müssen die folgenden Fragen beantwortet bzw. geklärt werden: Wann fand der Angriff statt? Wer hat den Angriff entdeckt? Welche Bereiche sind durch den Angriff betroffen? Wurde die Quelle, der potenzielle Schwach- bzw. Einstiegspunkt bereits ermittelt? Welche Auswirkungen auf den aktuellen Betrieb hat der Vorfall? Welche (Langzeit-) Folgen sind möglich bzw. wahrscheinlich?

Eindämmung, Beseitigung und Wiederherstellung

Diese Phase fokussiert sich darauf, die zuvor ermittelten Auswirkungen des Sicherheitsvorfalls so gering wie möglich zu halten sowie etwaige Ablaufunterbrechungen abzuschwächen.

Folgeaktivitäten nach dem IT-Sicherheitsvorfall

Nachdem der Wiederherstellungsprozess abgeschlossen ist, sollte der Vorfall selbst und sämtliche Anstrengungen, die im Zuge der Behebung des IT-Sicherheitsvorfalls zum Tragen kamen, aufgearbeitet werden. Angesichts dessen ist es im Interesse eines ständigen Verbesserungsprozesses entscheidend, aus dem gesamten Vorfall zu lernen und derartige IT-Sicherheitsvorfälle in Zukunft präventiv zu unterbinden.

Weitere Empfehlungen sowie tiefergehende Informationen, wie IT-Sicherheitsvorfälle zu behandeln sind, finden Sie im IT-Grundschutzkompendium des Bundesamtes für Sicherheit in der IT.

Fazit: Bei einem IT-Sicherheitsvorfall zählt jede Minute

Fast nie ist die Abhängigkeit eines Unternehmens von einer funktionstüchtigen Informationstechnik so spürbar wie in dem Moment eines schwerwiegenden IT-Sicherheitsvorfalls. Gehen geschäftskritische Daten abhanden, fallen IT-Systeme oder gar komplette IT-Infrastrukturen aus, sind schwerwiegende Konsequenzen wie völliger Betriebsstillstand oder irreparabler Reputationsverlust wahrscheinlich.

Allerdings lässt sich das Schadensausmaß von IT-Sicherheitsvorfällen durch den Gebrauch einer strukturierten Vorgehensweise sowie fundierter Sicherheitsmaßnahmen und -lösungen zur Behandlung von sicherheitsrelevanten Ereignissen auf ein Mindestmaß reduzieren.

 

Wollen auch Sie Ihr Unternehmen mit einer umfänglichen Incident Response-Strategie vor schweren IT-Sicherheitsvorfällen schützen? Haben Sie weiterführende Fragen zum Thema? Kontaktieren Sie uns einfach kostenfrei telefonisch unter der nummer 0800 4883 338, wir helfen Ihnen gerne.

Foto © kat wilcox @ Pexels

Weiterführende Links

Hier finden Sie weiterführende Informationen zu IT-Sicherheitskonzepten im Allgemeinen sowie zum Thema Datensicherheit. Zu den Sicherheitsanalysen aus Angreifersicht unserer IT Security-Tochter CRISEC geht es hier.