IT-Security Incident: Der richtige Umgang mit einem IT-Sicherheitsvorfall!

von | Nov 21, 2022 | Allgemein

IT-Security Incident: Der richtige Umgang mit einem IT-Sicherheitsvorfall!

IT-Sicherheitsvorfälle sind in der heutigen Zeit omnipräsent. Deshalb sollten sich alle Unternehmen auf einen möglichen IT-Sicherheitsvorfall vorbereiten, um im Ernstfall korrekt agieren zu können. Aber wann redet man tatsächlich von einem IT-Sicherheitsvorfall und welche nötigen Schritte sowie Mittel sind vor, während sowie hinter einem IT-Sicherheitsvorfall elementar? Die Lösungen lesen Sie in den folgenden Textabschnitten.

Ob IT-Schwachstelle, menschliches Fehlverhalten oder aber gezielter Hacker-Angriff: Mit fortschreitendem Digitalisierungsgrad sind IT-Sicherheitsvorfälle keine Rarität mehr – im Gegensatz. Sie stehen mittlerweile auf dem Tagesprogramm und kommen in fast jedem hiesigen Unternehmen vor.

Die Schäden, welche dadurch entstehen, sind oft beachtlich. Sie reichen inzwischen deutlich über monetäre Verlustgeschäfte hinaus und betreffen nicht bloß die attackierten Unternehmen, sondern immer mehr auch Drittparteien entlang der gesamten Wertkette und gelegentlich sogar größere Teile der Bevölkerung, wie die IT-Sicherheitsvorfälle aus dem Jahr 2021 bei Colonial Pipeline, dem größten Benzin-Pipeline-Anbieter in den Vereinigten Staaten wie auch den IT-Unternehmen Kaseya und SolarWinds eindrucksvoll bewiesen.

Doch was ist mit einem IT-Sicherheitsvorfall eigentlich gemeint?

IT-Sicherheitsvorfall: Eine Definition!

Im Allgemeinen wird unter einem IT-Sicherheitsvorfall ein unerwünschtes Ereignis verstanden, welches die Vertraulichkeit, Nutzbarkeit und Integrität von Informationen, Geschäftsabläufen, IT-Systemen, IT-Anwendungen oder IT-Diensten derart beschädigt, dass ein großer Schaden für die entsprechenden Betriebe oder Personen entstehen kann.

Das Bundesamt für Sicherheit in der IT, knapp BSI, definiert in seinem Baustein Sicherheitsvorfallmanagement einen IT-Sicherheitsvorfall.

Folglich handelt es sich hauptsächlich dann, um einen IT-Sicherheitsvorfall, sobald:

  • Körper und Leben in Gefahr sind.
  • relevante Geschäftsprozesse empfindlich beeinträchtigt oder sogar zum Erliegen gebracht wurden.
  • Hardware, Software oder geschäftskritische Daten bedroht sind und unrechtmäßig benutzt, manipuliert, formatiert, zerstört, oder behindert wurden.
  • Unternehmenswerte beschädigt wurden.
  • Der IT-Sicherheitsvorfall Einfluss auf Kunden, Zulieferer oder anderweitige Personen oder Einheiten außerhalb des Betriebs hat.

Ein IT-Sicherheitsvorfall ist heute wahrscheinlicher als je zuvor

Heutzutage muss ausnahmslos jedes Unternehmen hiermit rechnen, irgendwann Angriffsfläche eines sicherheitsrelevanten Ereignisses zu werden. Die Faktoren für das Auftreten eines IT-Sicherheitsvorfalls können dabei sehr vielfältig sein. Beispielsweise können unter anderem komplexe Internetangriffe mit Malware oder auch Ransomware, Fehlkonfigurationen, gesicherte IT-Systeme, Sicherheitslücken in der Computersoftware, wie auch Verstöße gegen Sicherheitsrichtlinien und Befehle oder auch ein Entfall oder der Diebstahl von Geräten wie Notebooks schwerwiegende IT-Sicherheitsvorfälle auslösen.

Damit IT-Sicherheitsvorfälle möglichst schnell sowie angebracht bearbeitet und behoben werden können, sind Betriebe aus diesem Grund gut beraten, sich frühzeitig mit dem Problem zu beschäftigen und eine intelligente sowie umfassende Strategie zur Behandlung von IT-Sicherheitsvorfällen zu entwickeln und einzuführen.

Dazu zählt, dass diese neben dem Einsatz erprobter IT-Sicherheitsmaßnahmen und IT-Sicherheitslösungen, wie etwa SIEM-Lösungen (Security Information and Event Management), einen umfangreichen Vorfallreaktionsplan, auch bekannt unter dem Begriff Incident Response Plan, implementieren.

Eine gute Vorbereitung ist die halbe Miete!

In dem Incident Response Plan sind alle erforderlichen sowie einzuleitenden Prozesse wie auch Maßnahmen definiert, die im Fall eines IT-Sicherheitsvorfalls zur Anwendung kommen.

In der Regel ist eine Vorfallreaktion in vier Hauptphasen aufgegliedert:

  1. Vorbereitung: Die sorgfältige Planung ist ein wichtiger Schritt in der Behandlung von IT-Sicherheitsvorfällen. Diese formt den Grundstock für den gesamten Ablauf und bestimmt über Funktionieren oder Misserfolg. In dieser Stufe sollte eine Incident-Response-Leitlinie, eine effektive Reaktionsstrategie sowie eine konkrete Ablauforganisation entwickelt und implementiert werden. Außerdem gilt es sicherzustellen, dass sämtliche Arbeitnehmer*innen in Hinsicht auf deren Rollen wie auch Verantwortlichkeiten bei der Erwiderung auf IT-Sicherheitsvorfälle entsprechend geschult sind. Es empfiehlt sich auch Übungsszenarien zu entwerfen, um den Vorfallreaktionsplan zu evaluieren und möglicherweise optimieren zu können.
  2. Vorfallerkennung: In dieser Stufe wird der Incident Response Plan in Gang gesetzt. An dieser Stelle gilt es zu kontrollieren, ob ein gemeldeter Vorfall tatsächlich sicherheitsrelevant ist. Darüber hinaus müssen die folgenden Angelegenheiten beantwortet werden: Zu welchem Zeitpunkt fand der Angriff statt? Wer hat diesen entdeckt? Welche Bereiche sind betroffen? Wurde die Quelle, die Schwachstelle oder der Einstiegspunkt bereits ermittelt? Welche Auswirkungen hat der Vorfall auf den laufenden Betrieb?
  3. Eindämmung, Beseitigung sowie Wiederherstellung
    Diese Phase fokussiert sich darauf, die Auswirkungen des Vorfalls so gering wie nur möglich zu halten und Serviceunterbrechungen abzuschwächen.
  4. Aktivitäten nach dem sicherheitsrelevanten Ereignis
    Sobald der Wiederherstellungsprozess erledigt ist, sollte der Vorfall selbst und sämtliche Bemühungen, welche bei der Verfahrensweise des IT-Sicherheitsvorfalls vorkamen, versarbeitet werden. Dabei ist es im Sinne eines regelmäßigen Verbesserungsprozesses wichtig, aus dem gesamten Vorfall zu lernen sowie ähnliche IT-Sicherheitsvorfälle zukünftig zu unterbinden.

Verweis: Noch mehr Hilfestellungen sowie tiefergehende Fakten, wie IT-Sicherheitsvorfälle zu behandeln sind, finden Sie im IT-Grundschutzkompendium des Bundesamtes für Sicherheit in der Informationstechnik.

Fazit: Jede Minute zählt!

Fast nie ist die Dependenz eines Betriebs von einer funktionstüchtigen Informationstechnik so deutlich, wie in dem Moment eines schwerwiegenden IT-Sicherheitsvorfalls. Gehen geschäftskritische Daten abhanden, fallen IT-Systeme oder sogar ganze IT-Infrastrukturen aus, reichen die Folgen vom kompletten Betriebsstillstand bis hin zu einem erheblichen Reputationsverlust.

In der Tat lässt sich das Schadensausmaß von IT-Sicherheitsvorfällen durch den Gebrauch von ausgeklügelten Prozessen, Sicherheitsmaßnahmen und Sicherheitslösungen zur Therapie von sicherheitsrelevanten Vorfällen auf ein Minimum senken.

Wollen auch Sie Ihr Unternehmen mit einer umfänglichen Incident-Response-Strategie vor schwerwiegenden IT-Sicherheitsvorfällen absichern? Oder haben Sie noch Fragen zum Thema?
Sprechen Sie uns gerne an!

sales@itmedata.de

Lesen Sie auch …