DsiN-Blog

Der IT-Sicher­heitsblog für den Mit­tel­stand

Themen

Tipp des Monats

Machen Sie in nur zehn Minuten den IT-Sicher­heits­check von Deutschland sicher im Netz. Der Test liefert Hand­lungs­emp­feh­lungen, mit denen Sie die eigene IT-Sicher­heitslage ver­bessern können.

News­letter

Um neue Bei­träge regel­mäßig zu erhalten, können Sie hier unseren News­letter abon­nieren:

Wie sich ein Unter­nehmen auf ein Sicher­heits­vorfall vor­be­reiten kann und muss!

Auf den Ernstfall vor­be­reitet sein

Der IT-Betrieb soll für geschäfts­kri­tische Anwen­dungen einen 24 x 365-Betrieb sicher­stellen. Durch Red­undanz, sichere Systeme und effi­ziente Pro­zesse. Doch was tun bei einem Sicher­heits­vorfall?

Auf­gaben des IT-Betriebs?

Laut offi­zi­eller Defi­nition hat der IT-Betrieb die Aufgabe, die Systeme und die zum Betrieb der Hardware erfor­der­liche Software in ange­mes­senem Umfang zur Ver­fügung zu stellen und stö­rungsfrei zu betreiben. Dafür muss der IT-Betrieb den Anwen­dungen das erfor­der­liche tech­nische Umfeld und die not­wen­digen Pro­zesse zuordnen. Im Stö­rungsfall dient der IT-Betrieb als zen­trale Ansprech­stelle der Anwender, bei Aus­fällen hat er die mög­lichst kurz­fristige Wie­der­her­stellung der Ver­füg­barkeit Sorge zu tragen.

Die Nut­zen­vor­teile des IT-Betriebs sind hierbei:

• Kos­ten­mi­ni­mierter, effi­zi­enter IT-Betrieb
• Maß­ge­schnei­derte Abläufe auf das jeweilige Unter­nehmen
• Zen­trale Ansprech­stelle für Anwender und Nutzer

Der ori­ginäre Fokus des IT-Betriebs ist hierbei nicht, sich um Sicher­heits­vor­fälle zu kümmern und den ent­spre­chenden Ablauf zu initi­ieren.

Was ist ein Sicher­heits­vorfall?

Zuerst einmal ist Sicher­heits­vorfall auch eine Störung. Eine Störung ist dabei ein Umstand der dazu führt, dass ein System oder Anwendung nicht wie gewünscht funk­tio­niert. Doch anders als bei einer „nor­malen“ Störung wie einem defektem Server, einem vollem Spei­cher­medium oder einem Ausfall der Netz­an­bindung, können Sicher­heits­vor­fällen kom­plexer sein.
Das BSI (Bun­desamt für Sicherheit in der Infor­ma­ti­ons­technik) defi­niert in seinem IT-Grun­d­­schutz einen Sicher­heits­vorfall fol­gen­der­maßen:
„Als Sicher­heits­vorfall wird ein Ereignis bezeichnet, das die Ver­trau­lichkeit, Ver­füg­barkeit und Inte­grität von Infor­ma­tionen, Geschäfts­pro­zesse, IT-Dienste, IT-Systeme oder IT-Anwen­­dungen mit hohem oder sehr hohem Schutz­bedarf derart beein­trächtigt, dass ein großer Schaden für das Unter­nehmen / Kunden / Geschäfts­partner ent­stehen kann.“

Die fol­gende Auf­zählung stellt einige Sicher­heits­vor­fälle dar:

• Ver­schlüs­selung von Sys­temen durch einen Ver­schlüs­se­lungs­tro­janer
• Abzug von Kun­den­daten aus einem zen­tralen System
• Ausfall der Netz­an­bindung durch einen gezielten Angriff auf die eigene Netz­in­fra­struktur bzw. zen­traler Infra­struk­tur­kom­po­nenten

Das Ausmaß eines Sicher­heits­vor­falls ist nicht pau­schal anzu­geben und hängt stark von tech­nische und orga­ni­sa­to­ri­schen Maß­nahmen ab, die bereits in einem Unter­nehmen vor­handen sind. Um das Bei­spiel des Ver­schlüs­se­lungs­tro­janers her­an­zu­ziehen. Das Ausmaß ist gering, wenn man jederzeit das System wieder neu instal­lieren kann und die pro­duk­tiven Daten wieder ein­spielen kann. Wenn aller­dings die letzten kor­rekten Daten mehrere Monate alt sind, weil die letzten Backups nicht funk­tio­nieren und man keine Rück­si­che­rungstest vor­ge­nommen hat, dann ist das Ausmaß nicht uner­heblich. Die Mög­lichkeit auf die Erpressung ein­zu­gehen, muss dann even­tuell doch geprüft werden.

Regeln um sich auf einen Sicher­heits­vorfall vor­zu­be­reiten
Es ist nicht die Frage ob, sondern wann ein Unter­nehmen auf einen Sicher­heits­vorfall reagieren muss. Ein plan­volles Vor­gehen ist dann unab­dingbar:

1. Es muss defi­niert sein, was ein Sicher­heits­vorfall ist und diese Defi­nition muss an alle Betei­ligten kom­mu­ni­ziert werden, damit ein solcher Vorfall als solcher auch erkannt wird und die ent­spre­chenden Schritte ein­ge­leitet werden.
2. Im Unter­nehmen muss ein Sicher­heits­vor­fall­re­ak­ti­onsplan defi­niert und umge­setzt werden. In diesem Plan sind die anzu­wen­denden Abläufe, Richt­linien, Rollen, Ver­ant­wort­lich­keiten und nicht zuletzt auch Kom­­mu­­ni­­ka­­tions- und Eska­la­ti­onswege fest­ge­halten.
3. Alle Betei­ligten sollten zu diesem Plan geschult sein und es müssen in regel­mä­ßigen Abständen Tests durch­ge­führt werden, damit die Abläufe im Ernstfall sitzen.
4. Wird ein Sicher­heits­vorfall ver­mutet, so sollte als erste Maß­nahme dafür gesorgt werden, dass das Problem keinen wei­teren Schaden mehr anrichten kann.
a. Sobald sicher­ge­stellt ist, dass kein wei­terer Schaden oder Verlust ein­tritt, gilt es den Vorfall zu ana­ly­sieren, um genau ver­stehen zu können, was wirklich vor­ge­fallen ist.
b. Ist die Analyse abge­schlossen so müssen die nächsten beiden Schritte gestartet werden. Das Besei­tigen des Pro­blems, dass zu dem Sicher­heits­vorfall geführt hat sowie die Wie­der­her­stellung des nor­malen Geschäfts­be­triebs.
5. Par­allel oder danach ist zu prüfen, welche Infor­ma­tionen man gegenüber Mitarbeiter/Kunden/Geschäftspartner/Lieferanten/Anteilseigner kom­mu­ni­zieren muss.
6. Zum Abschluss des Sicher­heits­vor­falls sollte eine Über­prüfung der Abläufe und vor­han­denen Maß­nahmen statt­finden. Ziel muss es sein her­aus­zu­ar­beiten, ob durch andere Maß­nahmen oder Abläufe der Vorfall hätte ver­hindert oder schneller beseitigt werden können?

Fazit
Die in der Gesell­schaft zuneh­mende Digi­ta­li­sierung erfasst die Pro­duk­ti­ons­pro­zesse in vie­lerlei Branchen. Angriffe auf solch digi­ta­li­sierte Pro­zesse werden zunehmen, da diese zunehmend lukra­tiver werden. Wer es schafft diese Pro­zesse zum Erliegen zu bringen kann mit ein­fachen Mitteln Lösegeld erpressen. Laut Gothaer KMU Studie aus dem Jahre 2017 haben 20 % der KMUs in Deutschland nicht einmal einen Anti­vi­ren­schutz im Einsatz. 25 % der KMUs sind ohne Firewall, 33 % fahren keine Backups, und 51 % arbeiten ohne Not­fallplan. Solche Infor­ma­tionen sollten für jeden von uns ein Alarm­zei­chen­zeichen sind.
Daher wird es zunehmend wich­tiger werden, sich auf Sicher­heits­vor­fälle vor­zu­be­reiten. Digitale Pro­zesse wieder zum Laufen zu bringen, Systeme zu berei­nigen und Daten zu rekon­stru­ieren sind dabei die wesent­lichen Unter­schei­dungs­kri­terien, ob ein Unter­nehmen einen kleinen oder einen großen finan­zi­ellen Verlust erleidet. Wer sich vor einem Ernstfall mit solchen Sicher­heits­vor­fällen beschäftigt, defi­niert was zu tun ist und welche Daten mit welchen Stand vor­zu­halten sind, inves­tiert in die Sicherheit des Unter­nehmens. Auch regu­la­to­rische oder ver­trag­liche Gründe sprechen für einen Sicher­heits­vor­fall­re­ak­ti­onsplan, doch ist die Inves­tition in die eigene Sicherheit des Unter­nehmens das stich­hal­tigere Argument.

2 Kommentare zu Auf den Ernstfall vorbereitet sein

  • Holger Westermann sagt:

    Sehr begrü­ßens­werter Artikel, eine Bitte: Abs. 4
    wird ein Sicher­heits­vorfall ” ver­mutet”, das Erkennen kommt erst später. Abs. 5 und 6 bedingen sich gegen­seitig, evtl. par­allel dar­stellen, Abs. 7 Satz 2 das Wort ” will” durch das Wort ” will” durch das Wort ” muss” ( DSG-VO ) ersetzen.
    Besten Dank

    • Joachim Vogel sagt:

      Hallo Hr Wes­termann vielen Dank für Ihre Hin­weise die wir sehr gerne berück­sich­tigen und den Artikel ent­spre­chend anpassen. Mit freund­lichen Grüßen J. Vogel ( Redaktion DsiN )

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Dr. Thomas Lohre, DATEV eG

Seit 2003 bei der DATEV eG tätig. Zuerst als IT-Revisor, beschäftigt er sich nunmehr schwer­punkt­mäßig mit dem Infor­ma­ti­ons­si­cher­heits- und Not­fall­ma­nagement der DATEV eG. Daneben ist er noch als Referent für die ibs Schreiber GmbH zu unter­schied­lichen Themen tätig.

 

Koope­ra­ti­ons­partner

Für DATEV sind Daten­schutz und Daten­si­cherheit seit Gründung des Unter­nehmens zen­trale Ele­mente in der Geschäfts­po­litik. Daher enga­giert sich DATEV mit dem Blog für mehr IT-Sicherheit im Mit­tel­stand.