Die dauerhafte Aufrechterhaltung eines angemessenen Sicherheitsniveaus macht es notwendig, dass sich Unternehmen oder Organisationen/Behörden intensiv mit der Aufarbeitung von IT-Sicherheitsvorfällen beschäftigen. Doch was ist zu tun, wenn es zu dem unerwünschten Ereignis kommt, das große Auswirkungen auf den IT-Betrieb haben kann und möglicherweise große Schäden für das Unternehmen nach sich zieht.
Was ist ein IT-Sicherheitsvorfall?
Ein IT-Sicherheitsvorfall ist ein negatives Ereignis, das die IT-Sicherheit (also Vertraulichkeit, Verfügbarkeit und/oder Integrität) von Daten, Informationen, Geschäftsprozessen, IT-Services, IT-Systemen und IT-Anwendungen beeinträchtigt. Es handelt sich insbesondere dann um einen IT-Sicherheitsvorfall, wenn:
- personenbezogene Daten, Geschäfts-/ Betriebsgeheimnisse oder Firmendaten betroffen sind
- Daten/Informationen unrechtmäßig manipuliert, gelöscht oder offengelegt wurden
- Systeme/Anwendungen/Infrastruktur unrechtmäßig manipuliert, gelöscht, zerstört, offengelegt oder eingeschränkt wurden
Sie sind unsicher, ob es sich um einen IT-Sicherheitsvorfall handelt, dann wenden Sie sich umgehend an den Verantwortlichen für IT-Sicherheit (ISB, DSB, IT-Leiter, Geschäftsleitung). Durch geeignete Schulungsmaßnahmen können Mitarbeiter auf einen IT-Sicherheitsvorfall vorbereitet werden.
Was hat der Anwender zu tun?
Hat ein Mitarbeiter den Verdacht, dass das Unternehmen von einem IT-Sicherheitsvorfall betroffen ist, dann ist es hilfreich, Ruhe zu bewahren und besonnen zu handeln. Eine IT-Notfallkarte unterstützt den Mitarbeiter dabei, erste Maßnahmen einzuleiten. Dabei muss dokumentiert werden, was genau an welchem IT-System zu welcher Uhrzeit aufgefallen ist. Im Anschluss wird der Vorfall gemäß IT-Notfallkarte gemeldet.
Was hat die IT-Abteilung zu tun?
Im ersten Schritt ist es wichtig, sich einen Überblick über die Situation zu verschaffen. Was genau ist vorgefallen und welche Systeme sind betroffen? Hier kann der Anwender, der den Vorfall gemeldet hat, erste Informationen und Erkenntnisse liefern. Parallel dazu müssen alle Beobachtungen und eingeleiteten Maßnahmen incl. Uhrzeit genau dokumentiert werden.
- Gibt es bereits eingeleitete Sofortmaßnahmen?
- Welche Systeme und Standorte sind betroffen?
- Wie kann der Schaden eingegrenzt und mögliche Auswirkungen eingedämmt werden?
Die betroffenen IT-Systeme sind zu isolieren, in dem alle Netzwerkverbindungen getrennt werden. IT-Systeme nicht abschalten, da dadurch bereits eine Veränderung des Systems die kriminaltechnische Beweislastsicherung erschwert und möglicherweise wichtige Informationen zur Schadens-Ursache/-Ermittlung verloren gehen.
Es ist hilfreich, die Vorfallsbewältigung als Projekt aufzufassen und diese mit den Mitteln des Projektmanagements zu bearbeiten. Dadurch ergibt sich eine klar definierte Vorgehensweise, angepasste Kommunikation und strukturierte Arbeitspakete zur Wiederherstellung des Regelbetriebes.
Handelt es sich um einen meldepflichtigen Vorfall? Dazu müssen Vorgaben gemäß Datenschutz (DSGVO), Informationssicherheit und möglicher Cyber-Versicherungen geprüft werden. Wichtig: Gesetzliche Auflagen und existierende Fristen sind zu beachten und einzuhalten. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt: Alle Cyber-Angriffe bei der Polizei zur Strafanzeige zu bringen, da bei einem Angriff auf IT-Systeme in der Regel mehrere Straftaten begangen werden.
Wie geht es nun weiter?
Eine genaue Analyse des Vorfalls und seiner Ursache ist notwendig, um weitere Maßnahmen abzuleiten. Zudem ist es hilfreich, einen externen Dienstleister mit der Vorfallsbearbeitung und ggfs. der forensischen Analyse zu beauftragen. Ziel ist es, den Schaden zu beheben und den Regelbetrieb gesichert wieder aufzunehmen.
Im Rahmen des kontinuierlichen Verbesserungsprozesses (KVP) ist es erforderlich, präventive, organisatorische und technische Schutzmaßnahmen aus dem IT-Sicherheitsvorfall abzuleiten. Eine gut, mittels Informationssicherheitsmanagementsystems (ISMS) organisierte Informationssicherheit unterstützt Unternehmen dabei, Risiken zu minimieren und Schwachstellen zu eliminieren. Einen Maßnahmenkatalog liefert gerade für kleine und mittlere Unternehmen (KMU) die VdS-Richtlinie 10000.
Das Systemhaus SAR ist der Partner an Ihrer Seite bei einem IT-Sicherheitsvorfall, unterstützt bei der Bewältigung und trifft geeignete Maßnahmen zur Reduzierung der unternehmerischen Risiken. Mit #Sicherheit eine gute Entscheidung.