IT-Sicherheitsvorfall: Wie sich Unternehmen auf IT-Sicherheitsvorfälle vorbereiten können und müssen!

IT-Sicherheitsvorfälle sind in der heutigen Zeit omnipräsent. Aus diesem Grund sollten sich alle Unternehmen auf einen denkbaren IT-Sicherheitsvorfall rüsten, um im Notfall richtig agieren zu können. Doch wann redet man eigentlich von einem IT-Sicherheitsvorfall und welche wichtigen Handlungen sowie Maßnahmen sind vor, während und hinter einem IT-Sicherheitsvorfall elementar? Die Lösungen lesen Sie in den nachfolgenden Textabschnitten.

Ob IT-Schwachstelle, menschliches Fehlverhalten oder aber gezielter Hacker-Angriff: Mit fortschreitendem Digitalisierungsgrad sind IT-Sicherheitsvorfälle keine Rarität mehr – im Gegensatz. Sie sind mittlerweile auf dem Tagesprogramm und kommen in nahezu allen hiesigen Unternehmen vor.

Die Schäden, die dadurch entstehen, sind oft immens. Sie reichen heute weit über monetäre Verluste hinaus und tangieren nicht nur die attackierten Betriebe, sondern immer mehr auch Drittparteien innerhalb der gesamten Wertkette und gelegentlich sogar große Teile der Bevölkerung, wie die IT-Sicherheitsvorfälle von 2021 bei Colonial Pipeline, dem mächtigsten Benzin-Pipeline-Anbieter in den Vereinigten Staaten wie auch den IT-Betrieben Kaseya sowie SolarWinds beeindruckend zeigten.

Doch was ist mit einem IT-Sicherheitsvorfall tatsächlich gemeint?

Wann wird von einem IT-Sicherheitsvorfall gesprochen?

Gemeinhin wird unter einem IT-Sicherheitsvorfall ein unerwünschtes Geschehnis verstanden, welches die Vertraulichkeit, Nutzbarkeit sowie Integrität von Informationen, Geschäftsabläufen, IT-Systemen, IT-Anwendungen oder IT-Diensten derart beeinträchtigt, dass ein enormer Schadensfall für die betroffenen Betriebe oder Personen auftreten kann.

Das Bundesamt für Sicherheit in der IT, kurz BSI, definiert in seinem Baustein Sicherheitsvorfallmanagement einen IT-Sicherheitsvorfall.

Demnach handelt es sich hauptsächlich dann, um einen IT-Sicherheitsvorfall, wenn:

• Leib sowie Leben in Gefahr sind.
• relevante Unternehmensprozesse empfindlich gestört oder sogar zum Stillstand gebracht wurden.
• Hardware, Software oder geschäftskritische Daten betroffen sind und unrechtmäßig genutzt, manipuliert, formatiert, zerstört, oder eingeschränkt wurden.
• Unternehmenswerte beeinträchtigt wurden.
• Der IT-Sicherheitsvorfall Einfluss auf Kunden, Lieferanten oder andere Personen und Einheiten extern des Unternehmens hat.

Es kann jeden treffen!

In der heutigen Zeit muss wirklich jedes Unternehmen damit planen, früher oder später Opfer eines sicherheitsrelevanten Vorfalls zu werden. Die Faktoren für das Auftreten eines IT-Sicherheitsvorfalls können hier äußerst unterschiedlich sein. So können etwa komplexe Internetangriffe mit Malware oder Ransomware, Fehlkonfigurationen, gesicherte IT-Systeme, Sicherheitslücken in der Computersoftware, wie auch Verstöße gegen Sicherheitsrichtlinien und Anweisungen oder auch ein Entfall oder der Diebstahl von Geräten beispielsweise Notebooks schwerwiegende IT-Sicherheitsvorfälle auslösen.

Damit IT-Sicherheitsvorfälle möglichst schnell und angebracht behandelt wie auch behoben werden können, sind Unternehmen daher bestens beraten, sich frühzeitig mit dem Thema zu beschäftigen und eine intelligente sowie umfassende Strategie zur Behandlung von IT-Sicherheitsvorfällen zu erstellen und einzuführen.

Hierzu zählt, dass sie neben dem Gebrauch erprobter IT-Sicherheitsmaßnahmen und IT-Sicherheitslösungen, wie etwa SIEM-Lösungen (Security Information and Event Management), einen umfangreichen Vorfallreaktionsplan, ebenfalls bekannt unter dem Begriff Incident Response Plan, implementieren.

Eine gute Vorbereitung ist die halbe Miete!

In einem Incident Response Plan sind alle notwendigen und einzuleitenden Verfahren und Maßnahmen festgelegt, die im Falle eines IT-Sicherheitsvorfalls zum Tragen kommen.

Üblicherweise ist eine Vorfallreaktion in vier Hauptphasen aufgegliedert:

1. Vorbereitung: Die sorgfältige Vorbereitung ist ein elementarer Schritt in der Behandlung von IT-Sicherheitsvorfällen. Diese bildet den Grundstock für den gesamten Ablauf und bestimmt über Gelingen oder Versagen. In dieser Phase sollte eine Incident-Response-Leitlinie, eine effiziente Reaktionsstrategie sowie eine feste Ablauforganisation entwickelt und implementiert werden. Überdies gilt es sicherzustellen, dass sämtliche Mitarbeiter*innen im Hinblick auf deren Rollen und Zuständigkeiten bei der Erwiderung auf IT-Sicherheitsvorfälle entsprechend ausgebildet sind. Es empfiehlt sich darüber hinaus Übungsszenarien zu entwerfen, um den Vorfallreaktionsplan zu beurteilen und möglicherweise optimieren zu können.
2. Vorfallerkennung: In dieser Phase wird der Incident Response Plan in Gang gebracht. An dieser Stelle gilt es zu kontrollieren, ob ein gemeldeter Vorfall tatsächlich sicherheitsrelevant ist. Darüber hinaus müssen die folgenden Angelegenheiten geklärt werden: Wann fand der Angriff statt? Wer hat diesen erkannt? Welche Geschäftsbereiche sind betroffen? Wurde die Ursache, die Schwachstelle oder der Einstiegspunkt bereits ermittelt? Welche Auswirkungen hat der Vorfall auf den aktuellen Betrieb?
3. Eindämmung, Beseitigung sowie Wiederherstellung
   Diese Stufe konzentriert sich darauf, die Auswirkungen des Vorfalls so gering wie möglich zu halten sowie Serviceunterbrechungen abzuschwächen.
4. Aktivitäten nach dem sicherheitsrelevanten Ereignis
   Sobald der Wiederherstellungsprozess erledigt ist, sollte das Ereignis selbst sowie alle Bemühungen, welche bei der Behandlung des IT-Sicherheitsvorfalls zum Tragen kamen, analysiert werden. Angesichts dessen ist es im Sinne eines regelmäßigen Verbesserungsprozesses wichtig, aus dem ganzen Vorfall zu lernen sowie ähnliche IT-Sicherheitsvorfälle in Zukunft zu unterbinden.

Hinweis: Weitere Hilfestellungen und tiefergehende Fakten, wie IT-Sicherheitsvorfälle zu behandeln sind, bekommen Sie im IT-Grundschutzkompendium des Bundesamtes für Sicherheit in der Informationstechnik.

Fazit: Jede Minute zählt!

Fast nie ist die Abhängigkeit eines Betriebs von einer funktionierenden Informationstechnik so deutlich, wie in dem Moment eines schweren IT-Sicherheitsvorfalls. Gehen geschäftskritische Datenansammlungen verloren, fallen IT-Systeme oder gar ganze IT-Infrastrukturen aus, gehen die Folgen vom kompletten Betriebsstillstand bis hin zu einem erheblichen Reputationsverlust.

In der Tat lässt sich der Schadensumfang von IT-Sicherheitsvorfällen durch den Einsatz von ausgereiften Vorgehensweisen, Sicherheitsmaßnahmen sowie Sicherheitslösungen zur Behandlung von sicherheitsrelevanten Ereignissen auf ein Mindestmaß senken.