IT-Security Incident: Prävention, Detektion und Reaktion!
IT-Sicherheitsvorfälle sind in der heutigen Zeit allgegenwärtig. Deshalb sollten sich sämtliche Unternehmen auf einen denkbaren IT-Sicherheitsvorfall rüsten, um im Ernstfall richtig reagieren zu können. Aber wann spricht man eigentlich von einem IT-Sicherheitsvorfall und welche wichtigen Schritte sowie Maßnahmen sind vor, während sowie hinter einem IT-Sicherheitsvorfall elementar? Die Antworten lesen Sie in den nachfolgenden Abschnitten.
Ob IT-Schwachstelle, menschliches Fehlverhalten oder aber gezielter Hacker-Angriff: Mit fortschreitendem Digitalisierungsgrad sind IT-Sicherheitsvorfälle keine Seltenheit mehr – im Gegenteil. Sie sind mittlerweile auf dem Tagesprogramm und kommen in fast jedem hiesigen Unternehmen vor.
Die Folgeschäden, welche dadurch auftreten, sind oft beachtlich. Sie reichen heute weit über monetäre Verlustgeschäfte hinaus und tangieren nicht bloß die attackierten Unternehmen, sondern zunehmend auch Drittparteien innerhalb der kompletten Wertschöpfungskette und gelegentlich sogar große Teile der Bevölkerung, wie etwa die IT-Sicherheitsvorfälle von 2021 bei Colonial Pipeline, dem mächtigsten Benzin-Pipeline-Anbieter in den USA wie auch den IT-Unternehmen Kaseya und SolarWinds eindrucksvoll bewiesen.
Doch was ist mit einem solchen IT-Sicherheitsvorfall tatsächlich gemeint?
IT-Sicherheitsvorfall: Eine Definition!
Im Allgemeinen wird unter einem IT-Sicherheitsvorfall ein unerwünschtes Geschehnis verstanden, das die Vertraulichkeit, Verfügbarkeit sowie Integrität von Informationen, Geschäftsprozessen, IT-Systemen, IT-Anwendungen oder IT-Diensten dermaßen beschädigt, dass ein großer Schaden für die betroffenen Unternehmen oder Personen entstehen kann.
Das Bundesamt für Sicherheit in der Informationstechnik, kurz BSI, definiert in dem Baustein Sicherheitsvorfallmanagement einen solchen IT-Sicherheitsvorfall.
Demnach handelt es sich insbesondere dann, um einen IT-Sicherheitsvorfall, wenn:
• Körper sowie Leben in Gefahr sind.
• zentrale Geschäftsprozesse drastisch beeinträchtigt oder zum Erliegen gebracht wurden.
• Hardware, Software und geschäftskritische Daten bedroht sind und unrechtmäßig benutzt, manipuliert, formatiert, zerstört, oder eingeschränkt wurden.
• Unternehmenswerte beschädigt wurden.
• Der IT-Sicherheitsvorfall Auswirkung auf Kunden, Zulieferer oder anderweitige Personen oder Einheiten außerhalb des Unternehmens hat.
Mit IT-Sicherheitsvorfällen muss jederzeit gerechnet werden!
Heutzutage muss ausnahmslos jedes Unternehmen damit planen, irgendwann Angriffsfläche eines sicherheitsrelevanten Ereignisses zu sein. Die Faktoren für das Auftreten eines IT-Sicherheitsvorfalls können dabei äußerst vielfältig sein. Beispielsweise können unter anderem komplizierte Internetangriffe mit Malware oder Ransomware, Fehlkonfigurationen, geschützte IT-Systeme, Sicherheitslücken in der Computersoftware, wie auch Verstöße gegen Sicherheitsrichtlinien und Befehle oder auch ein Verlust oder der Diebstahl von Geräten wie Notebooks schwerwiegende IT-Sicherheitsvorfälle auslösen.
Damit IT-Sicherheitsvorfälle maximal schnell sowie angebracht behandelt wie auch behoben werden können, sind Betriebe daher gut beraten, sich frühzeitig mit dem Problem zu beschäftigen und eine durchdachte sowie umfassende Strategie zur Behandlung von IT-Sicherheitsvorfällen zu entwickeln und zu implementieren.
Hierzu gehört, dass diese neben dem Einsatz erprobter IT-Sicherheitsmaßnahmen und IT-Sicherheitslösungen, wie etwa SIEM-Lösungen (Security Information and Event Management), einen umfangreichen Vorfallreaktionsplan, ebenfalls bekannt unter dem Begriff Incident Response Plan, einführen.
Eine gute Vorbereitung ist die halbe Miete!
In einem Incident Response Plan sind alle notwendigen und einzuleitenden Verfahren und Methoden definiert, die im Falle eines IT-Sicherheitsvorfalls zum Tragen kommen.
Üblicherweise ist eine Vorfallreaktion in vier Hauptphasen unterteilt:
1. Vorbereitung: Die sorgfältige Planung ist ein elementarer Ablaufschritt in der Behandlung von IT-Sicherheitsvorfällen. Sie bildet den Grundstock für den kompletten Ablauf und entscheidet über Gelingen oder Misserfolg. In dieser Stufe sollte eine Incident-Response-Leitlinie, eine effiziente Reaktionsstrategie und eine konkrete Ablauforganisation entwickelt und implementiert werden. Überdies gilt es zu erreichen, dass sämtliche Arbeitnehmer*innen im Hinblick auf deren Rollen wie auch Zuständigkeiten bei der Reaktion auf IT-Sicherheitsvorfälle angemessen geschult sind. Es ist ratsam auch Übungsszenarien zu entwickeln, um den Vorfallreaktionsplan zu beurteilen und möglicherweise optimieren zu können.
2. Vorfallerkennung: In dieser Stufe wird der Incident Response Plan in Gang gebracht. Hier gilt es zu kontrollieren, ob ein gemeldeter Vorfall wirklich sicherheitsrelevant ist. Zudem müssen die folgenden Angelegenheiten beantwortet werden: Zu welchem Zeitpunkt fand der Angriff statt? Wer hat ihn entdeckt? Welche Geschäftsbereiche sind betroffen? Wurde die Quelle, die Schwachstelle oder der Einstiegspunkt schon identifiziert? Welche Folgen hat der Vorfall auf den aktuellen Betrieb?
3. Eindämmung, Beseitigung sowie Wiederherstellung
Diese Phase fokussiert sich darauf, die Auswirkungen des Vorfalls so gering wie möglich zu halten sowie Serviceunterbrechungen abzuschwächen.
4. Aktivitäten nach dem sicherheitsrelevanten Ereignis
Sobald der Wiederherstellungsprozess abgeschlossen ist, sollte der Vorfall selbst sowie alle Anstrengungen, welche bei der Verfahrensweise des IT-Sicherheitsvorfalls vorkamen, versarbeitet werden. Angesichts dessen ist es im Sinne eines regelmäßigen Verbesserungsprozesses wichtig, aus dem gesamten Vorfall zu lernen sowie ähnliche IT-Sicherheitsvorfälle in Zukunft zu verhindern.
Hinweis: Weitere Hilfestellungen und tiefergehende Fakten, wie IT-Sicherheitsvorfälle zu therapieren sind, bekommen Sie im IT-Grundschutzkompendium des Bundesamtes für Sicherheit in der Informationstechnik.
Fazit: In allen Dingen hängt der Erfolg von den Vorbereitungen ab.
Selten ist die Dependenz eines Unternehmens von einer funktionstüchtigen Informationstechnik so deutlich, wie in dem Augenblick eines schweren IT-Sicherheitsvorfalls. Gehen geschäftskritische Daten abhanden, fallen IT-Systeme oder sogar komplette IT-Infrastrukturen aus, gehen die Konsequenzen vom kompletten Betriebsstillstand bis hin zu einem beträchtlichen Reputationsverlust.
Allerdings lässt sich der Schadensumfang von IT-Sicherheitsvorfällen durch den Gebrauch von ausgereiften Prozessen, Sicherheitsmaßnahmen sowie Sicherheitslösungen zur Therapie von sicherheitsrelevanten Vorfällen auf ein Minimum reduzieren.
Möchten auch Sie Ihr Unternehmen mit einer umfänglichen Incident-Response-Strategie vor schwerwiegenden IT-Sicherheitsvorfällen schützen? Oder haben Sie noch Unklarheiten zum Thema?
Kontaktieren Sie uns gerne auf https://netable.de/kontakt oder telefonisch unter 02234 688 39 80!