IT-Sicherheitsvorfälle sind in der heutigen Zeit allgegenwärtig. Deshalb sollten sich alle Unternehmen auf einen möglichen IT-Sicherheitsvorfall rüsten, um im Notfall korrekt reagieren zu können. Doch wann redet man eigentlich von einem IT-Sicherheitsvorfall und welche wichtigen Schritte sowie Maßnahmen sind vor, während und hinter einem IT-Sicherheitsvorfall elementar? Die Antworten erfahren Sie in den nachfolgenden Textabschnitten.

Ob IT-Schwachstelle, menschliches Fehlverhalten oder gezielter Hacker-Angriff: Mit fortschreitendem Digitalisierungsgrad sind IT-Sicherheitsvorfälle gewiss keine Rarität mehr – im Gegenteil. Sie sind inzwischen an der Tagesordnung und kommen in fast allen hiesigen Unternehmen vor.

Die Folgeschäden, die dadurch entstehen, sind meist immens. Sie reichen inzwischen weit über monetäre Verlustgeschäfte hinaus und betreffen nicht nur die attackierten Betriebe, sondern zunehmend auch Drittparteien innerhalb der kompletten Wertschöpfungskette und mitunter sogar größere Teile der Bevölkerung, wie die IT-Sicherheitsvorfälle von 2021 bei Colonial Pipeline , dem mächtigsten Benzin-Pipeline-Anbieter in den Vereinigten Staatenwie auch den IT-Unternehmen Kaseya sowie SolarWinds eindrucksvoll bewiesen.

Aber was ist mit einem IT-Sicherheitsvorfall tatsächlich gemeint?

Was versteht man unter einem IT-Sicherheitsvorfall?

Im Allgemeinen wird unter einem IT-Sicherheitsvorfall ein unerwünschtes Geschehnis begriffen, das die Vertraulichkeit, Verfügbarkeit und Integrität von Informationen, Geschäftsprozessen, IT-Systemen, IT-Anwendungen oder IT-Diensten derart beeinträchtigt, dass ein enormer Schaden für die betroffenen Betriebe oder Personen entstehen kann.

Das Bundesamt für Sicherheit in der Informationstechnik , kurz BSI, beschreibt in dem Baustein Sicherheitsvorfallmanagement einen solchen IT-Sicherheitsvorfall.

Folglich handelt es sich hauptsächlich in diesem Fall, um einen IT-Sicherheitsvorfall, sobald:

• Leib sowie Leben in Bedrohung sind.
• zentrale Geschäftsprozesse drastisch beeinträchtigt oder sogar zum Erliegen gebracht wurden.
• Hardware, Software oder geschäftskritische Daten bedroht sind plus unrechtmäßig genutzt, manipuliert, gelöscht, zerstört, oder eingeschränkt wurden.
• Unternehmenswerte beeinträchtigt wurden.
• Der IT-Sicherheitsvorfall Einfluss auf Kunden, Zulieferer oder andere Personen oder Einheiten außerhalb des Unternehmens hat.

Vor IT-Sicherheitsvorfällen ist niemand gefeit!

Heutzutage muss ausnahmslos jedes Unternehmen hiermit planen, irgendwann Opfer eines sicherheitsrelevanten Ereignisses zu werden. Die Faktoren für das Entstehen eines IT-Sicherheitsvorfalls können dabei sehr vielfältig sein. Beispielsweise können etwa komplexe Internetangriffe mit Malware oder Ransomware, Fehlkonfigurationen, gesicherte IT-Systeme, Sicherheitslücken in der Computersoftware, sowie Verstöße gegen Sicherheitsrichtlinien und Anweisungen oder auch ein Verlust oder der Diebstahl von Geräten beispielsweise Laptops weitreichende IT-Sicherheitsvorfälle herbeiführen.

Damit IT-Sicherheitsvorfälle maximal schnell sowie angemessen bearbeitet und beseitigt werden können, sind Unternehmen aus diesem Grund gut beraten, sich rechtzeitig mit dem Thema zu beschäftigen und eine intelligente sowie umfassende Vorgehensweise zur Verfahrensweise von IT-Sicherheitsvorfällen zu entwickeln und einzuführen.

Hierzu gehört, dass sie neben dem Gebrauch erprobter IT-Sicherheitsmaßnahmen sowie IT-Sicherheitslösungen, wie beispielsweise SIEM-Lösungen (Security Information and Event Management), einen umfassenden Vorfallreaktionsplan, auch vertraut unter dem Ausdruck Incident Response Plan, implementieren.

Die wichtigsten Maßnahmen auf einem Blick!

In dem Incident Response Plan sind jegliche notwendigen sowie einzuleitenden Prozesse und Maßnahmen definiert, die im Fall eines IT-Sicherheitsvorfalls zum Tragen kommen.

In der Regel ist die Vorfallreaktion in vier Hauptphasen unterteilt:

1. Vorbereitung: Die gründliche Vorbereitung ist ein elementarer Ablaufschritt in der Behandlung von IT-Sicherheitsvorfällen. Sie bildet den Grundstock für den kompletten Prozess und entscheidet über Funktionieren oder Versagen. In dieser Phase sollte eine Incident-Response-Richtlinie, eine effektive Reaktionsstrategie sowie eine konkrete Ablauforganisation entwickelt und implementiert werden. Außerdem gilt es sicherzustellen, dass sämtliche Mitarbeiter*innen im Hinblick auf deren Rollen wie auch Verantwortlichkeiten bei der Reaktion auf IT-Sicherheitsvorfälle entsprechend ausgebildet sind. Es empfiehlt sich darüber hinaus Übungsszenarien zu entwickeln, um den Vorfallreaktionsplan zu evaluieren und möglicherweise besser machen zu können.

2. Vorfallerkennung: In dieser Stufe wird der Incident Response Plan in Bewegung gebracht. An dieser Stelle ist es zu prüfen, ob ein gemeldeter Fall wirklich sicherheitsrelevant ist. Zudem müssen die anschließenden Angelegenheiten beantwortet werden: Wann fand der Angriff statt? Wer hat diesen erkannt? Welche Geschäftsbereiche sind betroffen? Wurde die Ursache, die Schwäche oder der Einstiegspunkt bereits ermittelt? Welche Auswirkungen hat das Ereignis auf den aktuellen Betrieb?

3. Eindämmung, Beseitigung und Wiederherstellung

Diese Phase fokussiert sich hierauf, die Konsequenzen des Sicherheitsvorfalls so minimal wie möglich zu halten und Serviceunterbrechungen abzuschwächen.

4. Aktivitäten nach dem sicherheitsrelevanten Ereignis

Nachdem der Wiederherstellungsprozess abgeschlossen ist, sollte der Vorfall selbst sowie alle Bemühungen, welche bei der Verfahrensweise des IT-Sicherheitsvorfalls zum Tragen kamen, versarbeitet werden. Angesichts dessen ist es im Interesse eines regelmäßigen Verbesserungsprozesses wichtig, aus dem ganzen Vorfall zu lernen sowie ähnliche IT-Sicherheitsvorfälle in Zukunft zu verhindern.

Verweis: Weitere Hilfestellungen und tiefergehende Fakten, wie IT-Sicherheitsvorfälle zu behandeln sind, finden Sie im IT-Grundschutzkompendium des Bundesamtes für Sicherheit in der Informationstechnik .

Fazit: Vorausschauend denken und handeln, schützt!

Selten ist die Dependenz eines Betriebs von einer funktionierenden Informationstechnik so spürbar, wie in dem Augenblick eines schwerwiegenden IT-Sicherheitsvorfalls. Gehen geschäftskritische Daten abhanden, fallen IT-Systeme oder sogar ganze IT-Infrastrukturen aus, gehen die Folgen vom völligen Betriebsstillstand bis hin zu einem beträchtlichen Reputationsverlust.

In der Tat lässt sich der Schadensumfang von IT-Sicherheitsvorfällen durch den Gebrauch von ausgereiften Vorgehensweisen, Sicherheitsmaßnahmen sowie Sicherheitslösungen zur Behandlung von sicherheitsrelevanten Vorfällen auf ein Mindestmaß reduzieren.

Möchten auch Sie Ihr Unternehmen mit einer umfassenden Incident-Response-Strategie vor schweren IT-Sicherheitsvorfällen absichern? Oder haben Sie noch Fragen zum Thema? Kontaktieren Sie uns gerne!