IT-Sicherheitsvorfall: Was tun bei einem IT-Sicherheitsvorfall?

IT-Sicherheitsvorfälle sind heutzutage allgegenwärtig. Aus diesem Grund sollten sich sämtliche Unternehmen auf einen möglichen IT-Sicherheitsvorfall rüsten, um im Ernstfall richtig agieren zu können. Aber wann spricht man tatsächlich von einem IT-Sicherheitsvorfall und welche wichtigen Handlungen und Maßnahmen sind vor, während und hinter einem IT-Sicherheitsvorfall entscheidend? Die Antworten erfahren Sie in den nachfolgenden Textabschnitten.

Egal ob IT-Schwachstelle, menschliches Versagen oder aber gezielter Hacker-Angriff: Mit fortschreitendem Digitalisierungsgrad sind IT-Sicherheitsvorfälle keine Seltenheit mehr – im Gegensatz. Sie stehen mittlerweile auf dem Tagesprogramm und kommen in nahezu allen inländischen Unternehmen vor.

Die Folgeschäden, welche hierdurch auftreten, sind oft beachtlich. Sie reichen heute deutlich über monetäre Verluste hinaus und tangieren nicht nur die attackierten Unternehmen, sondern zunehmend auch Drittparteien entlang der gesamten Wertschöpfungskette und mitunter sogar größere Teile der Bevölkerung, wie die IT-Sicherheitsvorfälle aus dem Jahr 2021 bei Colonial Pipeline, dem mächtigsten Benzin-Pipeline-Betreiber in den USA, wie auch den IT-Unternehmen Kaseya und SolarWinds beeindruckend bewiesen.

Aber was ist mit einem IT-Sicherheitsvorfall tatsächlich gemeint?

IT-Sicherheitsvorfall: Eine Definition!

Im Allgemeinen wird unter einem IT-Sicherheitsvorfall ein unerwünschtes Ereignis verstanden, welches die Vertraulichkeit, Nutzbarkeit sowie Integrität von Informationen, Geschäftsprozessen, IT-Systemen, IT-Anwendungen oder IT-Diensten derart beschädigt, dass ein enormer Schadensfall für die betroffenen Betriebe oder Personen entstehen kann.

Das Bundesamt für Sicherheit in der Informationstechnik, kurz BSI, definiert in seinem Baustein Sicherheitsvorfallmanagement einen IT-Sicherheitsvorfall.

Folglich handelt es sich insbesondere dann, um einen IT-Sicherheitsvorfall, sobald:

  • Leib und Leben in Gefahr sind.
  • relevante Geschäftsprozesse empfindlich gestört oder sogar zum Erliegen gebracht wurden.
  • Hardware, Software und geschäftskritische Daten betroffen sind und unrechtmäßig genutzt, manipuliert, formatiert, zerstört, oder behindert wurden.
  • Unternehmenswerte beschädigt wurden.
  • Der IT-Sicherheitsvorfall Einfluss auf Kunden, Lieferanten oder anderweitige Personen und Einheiten extern des Unternehmens hat.

Es kann jeden treffen!

In der heutigen Zeit muss ausnahmslos jedes Unternehmen damit planen, früher oder später Opfer eines sicherheitsrelevanten Vorfalls zu sein. Die Ursachen für das Auftreten eines IT-Sicherheitsvorfalls können dabei äußerst vielfältig sein. Beispielsweise können unter anderem komplizierte Internetangriffe mit Malware oder auch Ransomware, Fehlkonfigurationen, gesicherte IT-Systeme, Sicherheitslücken in der Computersoftware, sowie Verstöße gegen Sicherheitsrichtlinien und Befehle oder auch ein Verlust oder der Diebstahl von Geräten beispielsweise Laptops schwerwiegende IT-Sicherheitsvorfälle auslösen.

Mit dem Ziel, dass IT-Sicherheitsvorfälle möglichst schnell und angebracht behandelt wie auch behoben werden können, sind Betriebe aus diesem Grund bestens beraten, sich rechtzeitig mit dem Problem auseinanderzusetzen und eine durchdachte sowie umfassende Strategie zur Verfahrensweise von IT-Sicherheitsvorfällen zu entwickeln und zu implementieren.

Dazu gehört, dass diese neben dem Einsatz erprobter IT-Sicherheitsmaßnahmen sowie IT-Sicherheitslösungen, wie etwa SIEM-Lösungen (Security Information and Event Management), einen umfassenden Vorfallreaktionsplan, ebenfalls vertraut unter dem Ausdruck Incident Response Plan, implementieren.

In sechs Schritten zu mehr IT-Sicherheit!

In einem Incident Response Plan sind jegliche notwendigen und einzuleitenden Prozesse und Methoden festgelegt, die im Fall eines IT-Sicherheitsvorfalls zur Anwendung kommen.

In der Regel ist eine Vorfallreaktion in vier Hauptphasen aufgegliedert:

  1. Vorbereitung:
    Die sorgfältige Planung ist ein wichtiger Ablaufschritt in der Behandlung von IT-Sicherheitsvorfällen. Sie bildet den Grundstock für den kompletten Ablauf und bestimmt über Gelingen oder Versagen. In dieser Stufe sollte eine Incident-Response-Richtlinie, eine effektive Reaktionsstrategie und eine konkrete Ablauforganisation erstellt und integriert werden. Außerdem gilt es sicherzustellen, dass alle Arbeitnehmer*innen in Hinsicht auf deren Rollen und Zuständigkeiten bei der Erwiderung auf IT-Sicherheitsvorfälle angemessen geschult sind. Es empfiehlt sich darüber hinaus Übungsszenarien zu entwickeln, um den Vorfallreaktionsplan zu beurteilen und möglicherweise optimieren zu können.
  2. Vorfallerkennung:
    In dieser Stufe wird der Incident Response Plan in Bewegung gesetzt. An dieser Stelle gilt es zu prüfen, ob ein gemeldeter Vorfall wirklich sicherheitsrelevant ist. Zudem müssen die folgenden Angelegenheiten geklärt werden: Zu welchem Zeitpunkt fand der Angriff statt? Wer hat diesen entdeckt? Welche Geschäftsbereiche sind betroffen? Wurde die Ursache, die Schwäche oder der Einstiegspunkt bereits identifiziert? Welche Folgen hat der Vorfall auf den laufenden Betrieb?
  3. Eindämmung, Beseitigung und Wiederherstellung:
    Diese Phase konzentriert sich darauf, die Auswirkungen des Vorfalls so minimal wie nur möglich zu halten sowie Serviceunterbrechungen abzuschwächen.
  4. Aktivitäten nach dem sicherheitsrelevanten Ereignis:
    Nachdem der Wiederherstellungsprozess erledigt ist, sollte das Ereignis selbst und sämtliche Anstrengungen, die bei der Verfahrensweise des IT-Sicherheitsvorfalls vorkamen, analysiert werden. Angesichts dessen ist es im Sinne eines ständigen Verbesserungsprozesses entscheidend, aus dem ganzen Vorfall zu lernen und ähnliche IT-Sicherheitsvorfälle zukünftig zu unterbinden.

Verweis: Weitere Hilfestellungen und tiefergehende Informationen, wie IT-Sicherheitsvorfälle zu therapieren sind, finden Sie im IT-Grundschutzkompendium des Bundesamtes für Sicherheit in der Informationstechnik.

Fazit: Jede Minute zählt!

Fast nie ist die Abhängigkeit eines Unternehmens von einer funktionstüchtigen Informationstechnik so deutlich, wie in dem Augenblick eines schwerwiegenden IT-Sicherheitsvorfalls. Gehen geschäftskritische Daten verloren, fallen IT-Systeme oder gar ganze IT-Infrastrukturen aus, gehen die Konsequenzen vom kompletten Betriebsstillstand bis hin zu einem beträchtlichen Reputationsverlust.

In der Tat lässt sich der Schadensumfang von IT-Sicherheitsvorfällen durch den Gebrauch von ausgereiften Prozessen, Sicherheitsmaßnahmen sowie Sicherheitslösungen zur Therapie von sicherheitsrelevanten Vorfällen auf ein Minimum reduzieren.

Wollen auch Sie Ihr Unternehmen mit einer umfassenden Incident-Response-Strategie vor schweren IT-Sicherheitsvorfällen schützen? Oder haben Sie noch Fragen zum Thema?
Sprechen Sie uns gerne an!