Themen
Tipp des Monats
Machen Sie in nur zehn Minuten den IT-Sicherheitscheck von Deutschland sicher im Netz. Der Test liefert Handlungsempfehlungen, mit denen Sie die eigene IT-Sicherheitslage verbessern können.
Newsletter
Um neue Beiträge regelmäßig zu erhalten, können Sie hier unseren Newsletter abonnieren:
Wie sich ein Unternehmen auf ein Sicherheitsvorfall vorbereiten kann und muss!
Auf den Ernstfall vorbereitet sein
Der IT-Betrieb soll für geschäftskritische Anwendungen einen 24 x 365-Betrieb sicherstellen. Durch Redundanz, sichere Systeme und effiziente Prozesse. Doch was tun bei einem Sicherheitsvorfall?
Aufgaben des IT-Betriebs?
Laut offizieller Definition hat der IT-Betrieb die Aufgabe, die Systeme und die zum Betrieb der Hardware erforderliche Software in angemessenem Umfang zur Verfügung zu stellen und störungsfrei zu betreiben. Dafür muss der IT-Betrieb den Anwendungen das erforderliche technische Umfeld und die notwendigen Prozesse zuordnen. Im Störungsfall dient der IT-Betrieb als zentrale Ansprechstelle der Anwender, bei Ausfällen hat er die möglichst kurzfristige Wiederherstellung der Verfügbarkeit Sorge zu tragen.
Die Nutzenvorteile des IT-Betriebs sind hierbei:
• Kostenminimierter, effizienter IT-Betrieb
• Maßgeschneiderte Abläufe auf das jeweilige Unternehmen
• Zentrale Ansprechstelle für Anwender und Nutzer
Der originäre Fokus des IT-Betriebs ist hierbei nicht, sich um Sicherheitsvorfälle zu kümmern und den entsprechenden Ablauf zu initiieren.
Was ist ein Sicherheitsvorfall?
Zuerst einmal ist Sicherheitsvorfall auch eine Störung. Eine Störung ist dabei ein Umstand der dazu führt, dass ein System oder Anwendung nicht wie gewünscht funktioniert. Doch anders als bei einer „normalen“ Störung wie einem defektem Server, einem vollem Speichermedium oder einem Ausfall der Netzanbindung, können Sicherheitsvorfällen komplexer sein.
Das BSI (Bundesamt für Sicherheit in der Informationstechnik) definiert in seinem IT-Grundschutz einen Sicherheitsvorfall folgendermaßen:
„Als Sicherheitsvorfall wird ein Ereignis bezeichnet, das die Vertraulichkeit, Verfügbarkeit und Integrität von Informationen, Geschäftsprozesse, IT-Dienste, IT-Systeme oder IT-Anwendungen mit hohem oder sehr hohem Schutzbedarf derart beeinträchtigt, dass ein großer Schaden für das Unternehmen / Kunden / Geschäftspartner entstehen kann.“
Die folgende Aufzählung stellt einige Sicherheitsvorfälle dar:
• Verschlüsselung von Systemen durch einen Verschlüsselungstrojaner
• Abzug von Kundendaten aus einem zentralen System
• Ausfall der Netzanbindung durch einen gezielten Angriff auf die eigene Netzinfrastruktur bzw. zentraler Infrastrukturkomponenten
Das Ausmaß eines Sicherheitsvorfalls ist nicht pauschal anzugeben und hängt stark von technische und organisatorischen Maßnahmen ab, die bereits in einem Unternehmen vorhanden sind. Um das Beispiel des Verschlüsselungstrojaners heranzuziehen. Das Ausmaß ist gering, wenn man jederzeit das System wieder neu installieren kann und die produktiven Daten wieder einspielen kann. Wenn allerdings die letzten korrekten Daten mehrere Monate alt sind, weil die letzten Backups nicht funktionieren und man keine Rücksicherungstest vorgenommen hat, dann ist das Ausmaß nicht unerheblich. Die Möglichkeit auf die Erpressung einzugehen, muss dann eventuell doch geprüft werden.
Regeln um sich auf einen Sicherheitsvorfall vorzubereiten
Es ist nicht die Frage ob, sondern wann ein Unternehmen auf einen Sicherheitsvorfall reagieren muss. Ein planvolles Vorgehen ist dann unabdingbar:
1. Es muss definiert sein, was ein Sicherheitsvorfall ist und diese Definition muss an alle Beteiligten kommuniziert werden, damit ein solcher Vorfall als solcher auch erkannt wird und die entsprechenden Schritte eingeleitet werden.
2. Im Unternehmen muss ein Sicherheitsvorfallreaktionsplan definiert und umgesetzt werden. In diesem Plan sind die anzuwendenden Abläufe, Richtlinien, Rollen, Verantwortlichkeiten und nicht zuletzt auch Kommunikations- und Eskalationswege festgehalten.
3. Alle Beteiligten sollten zu diesem Plan geschult sein und es müssen in regelmäßigen Abständen Tests durchgeführt werden, damit die Abläufe im Ernstfall sitzen.
4. Wird ein Sicherheitsvorfall vermutet, so sollte als erste Maßnahme dafür gesorgt werden, dass das Problem keinen weiteren Schaden mehr anrichten kann.
a. Sobald sichergestellt ist, dass kein weiterer Schaden oder Verlust eintritt, gilt es den Vorfall zu analysieren, um genau verstehen zu können, was wirklich vorgefallen ist.
b. Ist die Analyse abgeschlossen so müssen die nächsten beiden Schritte gestartet werden. Das Beseitigen des Problems, dass zu dem Sicherheitsvorfall geführt hat sowie die Wiederherstellung des normalen Geschäftsbetriebs.
5. Parallel oder danach ist zu prüfen, welche Informationen man gegenüber Mitarbeiter/Kunden/Geschäftspartner/Lieferanten/Anteilseigner kommunizieren muss.
6. Zum Abschluss des Sicherheitsvorfalls sollte eine Überprüfung der Abläufe und vorhandenen Maßnahmen stattfinden. Ziel muss es sein herauszuarbeiten, ob durch andere Maßnahmen oder Abläufe der Vorfall hätte verhindert oder schneller beseitigt werden können?
Fazit
Die in der Gesellschaft zunehmende Digitalisierung erfasst die Produktionsprozesse in vielerlei Branchen. Angriffe auf solch digitalisierte Prozesse werden zunehmen, da diese zunehmend lukrativer werden. Wer es schafft diese Prozesse zum Erliegen zu bringen kann mit einfachen Mitteln Lösegeld erpressen. Laut Gothaer KMU Studie aus dem Jahre 2017 haben 20 % der KMUs in Deutschland nicht einmal einen Antivirenschutz im Einsatz. 25 % der KMUs sind ohne Firewall, 33 % fahren keine Backups, und 51 % arbeiten ohne Notfallplan. Solche Informationen sollten für jeden von uns ein Alarmzeichenzeichen sind.
Daher wird es zunehmend wichtiger werden, sich auf Sicherheitsvorfälle vorzubereiten. Digitale Prozesse wieder zum Laufen zu bringen, Systeme zu bereinigen und Daten zu rekonstruieren sind dabei die wesentlichen Unterscheidungskriterien, ob ein Unternehmen einen kleinen oder einen großen finanziellen Verlust erleidet. Wer sich vor einem Ernstfall mit solchen Sicherheitsvorfällen beschäftigt, definiert was zu tun ist und welche Daten mit welchen Stand vorzuhalten sind, investiert in die Sicherheit des Unternehmens. Auch regulatorische oder vertragliche Gründe sprechen für einen Sicherheitsvorfallreaktionsplan, doch ist die Investition in die eigene Sicherheit des Unternehmens das stichhaltigere Argument.
2 Kommentare zu Auf den Ernstfall vorbereitet sein
Schreiben Sie einen Kommentar
Seit 2003 bei der DATEV eG tätig. Zuerst als IT-Revisor, beschäftigt er sich nunmehr schwerpunktmäßig mit dem Informationssicherheits- und Notfallmanagement der DATEV eG. Daneben ist er noch als Referent für die ibs Schreiber GmbH zu unterschiedlichen Themen tätig.
Für DATEV sind Datenschutz und Datensicherheit seit Gründung des Unternehmens zentrale Elemente in der Geschäftspolitik. Daher engagiert sich DATEV mit dem Blog für mehr IT-Sicherheit im Mittelstand.
Sehr begrüßenswerter Artikel, eine Bitte: Abs. 4
wird ein Sicherheitsvorfall ” vermutet”, das Erkennen kommt erst später. Abs. 5 und 6 bedingen sich gegenseitig, evtl. parallel darstellen, Abs. 7 Satz 2 das Wort ” will” durch das Wort ” will” durch das Wort ” muss” ( DSG-VO ) ersetzen.
Besten Dank
Hallo Hr Westermann vielen Dank für Ihre Hinweise die wir sehr gerne berücksichtigen und den Artikel entsprechend anpassen. Mit freundlichen Grüßen J. Vogel ( Redaktion DsiN )