Erste Schritte nach einem Sicherheitsvorfall#Erste Schritte nach einem Sicherheitsvorfall

Auf einen Blick

Ein Sicherheitsvorfall beschreibt ein Ereignis, welches IT-Systeme bzw. Daten hinsichtlich deren Vertraulichkeit, der Verfügbarkeit oder der Integrität beeinträchtigt und gleichzeitig einen hohen Schaden für das Unternehmen und/oder seinen Steakholdern darstellt. Sicherheitsvorfälle können sowohl durch zufällige Ereignisse wie Brände und Stromausfälle entstehen oder auch bewusst bzw. unbewusst durch menschliche Eingriffe in die IT-Systeme herbeigeführt werden.

Wichtig ist, dass schon im Vorfeld eines möglichen Sicherheitsvorfalls organisatorische und technische Vorbereitungsmaßnahmen durchgeführt werden, um diesen zu erkennen und geeignete Maßnahmen zur Behebung zu initiieren.

Weiterhin sollten Sie sich darüber im Klaren sein, dass fast jedes Unternehmen, egal wie gut die IT-Sicherheit aufgestellt ist, mit Sicherheitsvorfällen konfrontiert ist.

Bedrohungs- bzw. Gefährdungslage

Sicherheitsvorfälle können intern und extern bzw. beabsichtigt und unbeabsichtigt auftreten. Neben einer recht konstanten Gefährdungslage durch Innentäter, Brände oder Umweltschäden, steigt die Bedrohungslage durch gezielte, externe Angriffe stetig an. Im Jahr 2022 war fast jedes zehnte KMU von einem solchen Fall betroffen.^[1]

Laut dem Bundesamt für Sicherheit in der Informationstechnik (BSI) steigt neben der Quantität auch die Qualität der Angriffe kontinuierlich an.^[2] Während in den Vorgängerjahren zwar viele Schadensvorfälle, z. B. durch Ransomware, registriert wurden, war die Durchführung dieser Angriffe eher auf Zufälle und Leichtsinn von IT-Nutzern ausgelegt.

Aktuell werden immer häufiger Angriffsketten genutzt, bei denen mehrere Angriffsvektoren ausgenutzt werden und ineinander übergehen. Häufig werden Sicherheitsvorfälle dabei zunächst durch eine Infektion von Clients über Social Engineering oder über eine Sicherheitslücke in Serversystemen eingeleitet. Häufig kommt es dabei zum Abfluss der Daten oder einem eingeschränkten Betrieb. Weiterhin breiten sich über diese Wege die Angriffe im gesamten Netzwerk aus, wodurch zusätzliche Systeme betroffen sind und der Angreifer sich Informationen über „lohnenswerte Ziele“ verschafft. Am Ende steht oftmals die Veröffentlichung von gestohlenen Unternehmens- bzw. Personendaten oder die Verschlüsselung ganzer Datenbestände. Häufig geht damit ein Erpressungsversuch einher.

Maßnahmen und Lösungsansätze

Sobald Sie sich über einen Sicherheitsvorfall bewusstwerden, sollten Sie rasch und zugleich besonnen handeln. Neben dem Verschaffen eines Überblicks sind auch Analysen des Vorfalls sowie Dokumentationshandlungen wichtig. Denn in solchen Stresssituationen kann es passieren, dass Panik und Hilflosigkeit aufkommen, obwohl z. B. ein Notfallplan im Unternehmen existiert.^[3]

Seit einiger Zeit existieren kostenfreie und kostenpflichtige Serviceangebote von öffentlichen bzw. freien Helfern.^[4] Das BSI spricht hierbei von der sogenannten digitalen Rettungskette. Neben einer zentralen Kontaktstelle können sich betroffene Unternehmen an regionale digitale Ersthelfer und Vorfalls-Experten wenden. Hierdurch wird ermöglicht, den Sicherheitsvorfall richtig einzuordnen und entsprechende Handlungsempfehlungen wahrzunehmen. Auch die regionalen, zentralen Anlaufstellen Cybercrime (ZAC) der Polizei in den Ländern könnten geeignete Partner im Falle eines Angriffes sein.^[5]

Zukünftig werden mit der Transferstelle Cybersicherheit im Mittelstand weitere Unterstützungsmöglichkeiten bei einem Sicherheitsvorfall zur Verfügung gestellt.^[6] Neben regionalen Partnern bzw. Anlaufstellen wird eine Plattform sowie Selbstchecks zur Detektion und Reaktion von Sicherheitsvorfällen aufgebaut. Diese Angebote sind für die Anwender kostenfrei.

Herausforderungen

Bei einem Sicherheitsvorfall sollte man besonnen und ruhig agieren, was sich in der Praxis jedoch oft anders darstellt. Häufig werden bei Bekanntwerden eines schwerwiegenden IT-Sicherheitsvorfalls sofort alle Systeme heruntergefahren und sämtliche Datenverbindungen getrennt. Während letzteres von den meisten IT-Fachexperten und -Forensikern so empfohlen wird, sollten die Systeme so lange angeschaltet bleiben, bis Abbilder vom Arbeitsspeicher und Log-Dateien erstellt werden konnten.^[7] Dies unterstützt die Ursachenfindung eines potenziellen Angriffs sowie unter Umständen auch die Schadensbeseitigung. Hierzu sollten Sie nach Möglichkeit auf externe Expertise zurückgreifen.

In diesem Zusammenhang ist die vertragliche Einbeziehung des IT-Dienstleisters erforderlich, denn oft sind Maßnahmen und Reaktionszeiten im Falle eines Sicherheitsvorfalls nicht geregelt. Orientieren Sie sich hierbei an den ergänzenden „Vertragsbedingungen für die Beschaffung von IT-Dienstleistungen“ und prüfen Sie, ob entsprechende Regeln in Ihren Verträgen hinterlegt sind.^[8]

Quellen und weiterführende Inhalte

• [1] TÜV Cybersecurity Studie 2023: https://www.tuev-verband.de/?tx_epxelo_file[id]=925194&cHash=11772152e3b993dd496a49e3e533076f
• [2] BSI – Managementabstract – Fortschrittliche Angriffe: https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Cyber-Sicherheit/Themen/Ransomware_Managementabstract-Angriffe.pdf
• [3] IT-Notfallplan: https://digitalzentrum-chemnitz.de/wissen/it-notfallplan/
• [4] BSI – Ich habe einen Vorfall – Was soll ich tun? https://www.bsi.bund.de/DE/IT-Sicherheitsvorfall/Unternehmen/unternehmen.html?nn=133680&cms_pos=1
• [5] Zentrale Ansprechstellen Cybercrime der Polizeien: https://www.polizei.de/Polizei/DE/Einrichtungen/ZAC/zac_node.html
• [6] Pressemitteilung Cybersicherheit im Mittelstand: https://www.presseportal.de/pm/51921/5571925
• [7] BSI – Erste Hilfe bei einem schweren IT-Sicherheitsvorfall: https://www.allianz-fuer-cybersicherheit.de/SharedDocs/Downloads/DE/BSI/Cyber-Sicherheit/Themen/Ransomware_Erste-Hilfe-IT-Sicherheitsvorfall.pdf
• [8] Beauftragte der Bundesregierung für Informationstechnik – Aktuelle EVB-IT: https://www.cio.bund.de/Webs/CIO/DE/digitale-loesungen/it-beschaffung/evb-it-und-bvb/evb-it/evb-it-node.html

Allgemeine Bedrohungslage

• Aktuelle Cyber-Sicherheitswarnungen: https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Cyber-Sicherheitslage/Technische-Sicherheitshinweise-und-Warnungen/Cyber-Sicherheitswarnungen/cyber-sicherheitswarnungen_node.html
• Die Lage der IT-Sicherheit in Deutschland: https://www.bsi.bund.de/DE/Service-Navi/Publikationen/Lagebericht/lagebericht_node.html

Selbsttests

• Selbsteinschätzung zum vorhandenen IT-Sicherheitsniveau: https://www.SiToM.de
• SiToM Quick-Check: https://www.check-it-sicherheit.de
• Feststellung des IT-Sicherheitsbedarfes: https://sec-o-mat.de

Verwandte Beiträge

• Künstliche Intelligenz und IT-Sicherheit
• NIS-2-Richtlinie – was Unternehmen wissen müssen
• NIS-2 Richtlinie – Was Unternehmen jetzt wissen müssen
• Schwachstellen in Netzwerken identifizieren
• Datenschutz und IT-Sicherheit von Beginn an mitdenken