Datenschutz-Akademie » Datenschutz-Wiki » IT-Sicherheitsvorfall: Im Notfall richtig reagieren

IT-Sicherheitsvorfall

IT-Sicherheitsvorfall: Im Notfall richtig reagieren

Cyber-Attacken haben sich in den letzten Jahren stark professionalisiert und sorgen allein in Deutschland für bis zu 220 Milliarden Euro Schaden pro Jahr. Sie verursachen den Ausfall von Informations- und Produktionssystemen oder die Störung von internen Abläufen, oftmals durch den Einsatz von Ransomware über Phishing-Angriffe.

Das Ziel dieses Beitrages ist, Ihnen zu helfen, bei einem IT-Sicherheitsvorfall informiert und überlegt vorzugehen. Sie erhalten praktische Tipps zur Erkennung von IT-Sicherheitsvorfällen sowie zu deren Vorbereitung und Behandlung. Nichtdestotrotz, ist das Thema komplex. Jedes Unternehmen hat andere Anforderungen und braucht individuell angepasste Maßnahmen. Deswegen geht dieser Beitrag nicht in die fachliche Tiefe und soll keine abschließende Betrachtung des Themas sein. Der Beitrag soll Ihnen als Verantwortlicher eines Unternehmens vielmehr die wichtigsten Eckpunkte mit auf den Weg geben

Was ist ein IT-Sicherheitsvorfall?

Ein IT-Sicherheitsvorfall ist ein Ereignis bzw. Notfall, welches sich auf die Informationssicherheit eines Unternehmens negativ auswirkt. Bei IT-Sicherheitsvorfällen werden die Kriterien der Informationssicherheit (Vertraulichkeit, Verfügbarkeit und Integrität der Informationen) in Geschäftsprozessen und IT-Systemen derart beeinträchtigt, dass ein großer Schaden entstehen kann. Böswillige Handlung, die Nichteinhaltung einer Regel der Sicherheitsrichtlinie oder generell jede Art von Verletzung der Informationssicherheit fallen unter die Definition eines IT-Sicherheitsvorfalls. IT-Sicherheitsvorfälle fallen in verschiedenen Kontexten und Situationen mehr oder weniger stark ins Gewicht.

Für viele Unternehmen spielen IT-Systeme eine zentrale Rolle. Ein Ausfall dieser Systeme kann zu einem kompletten Stillstand, hohen Schadenersatzforderungen oder sogar Insolvenz des Unternehmens führen. Darüber hinaus drohen auch Imageschäden, Kundenverluste oder Gesetzesverstöße.

Einige IT-Sicherheitsvorfälle sind einfache „Störungen“ währende andere Vorfälle, die erheblichen Schaden anrichten können, Notfälle sind. Jede Art von IT-Sicherheitsvorfall benötigt einen individuell angepassten Maßnahmenplan, um eine schnelle Behebung des Problems zu gewährleisten. Daher ist es wichtig zu wissen, wie man IT-Sicherheitsvorfälle erkennt und sich darauf vorbereitet, um im Ernstfall richtig zu reagieren.

Wie erkenne ich einen IT-Sicherheitsvorfall?

Da nicht jedes Ereignis ein Sicherheitsvorfall ist, sollten Sie umgehend prüfen, ob mindestens eine der Kriterien der Informationssicherheit betroffen sind:

  • Vertraulichkeit: Wenn Ihre Daten gestohlen oder vertrauliche Informationen an den falschen Empfänger gesendet wurden, ist die Vertraulichkeit Ihrer Daten nicht mehr gewährleistet.
  • Verfügbarkeit: Die Verfügbarkeit Ihrer Daten ist betroffen, wenn z. B. eine Festplatte mit kritischen Daten defekt ist oder wichtige IT-Systeme nicht mehr erreichbar sind.
  • Integrität: Die Integrität Ihrer Daten ist nicht mehr gewährleistet, wenn z. B. einer Ihrer Computer von einem Trojaner befallen ist oder Ihre Buchhaltung plötzlich nicht mehr stimmt.

Beispiele für IT-Sicherheitsvorfälle

Im Folgenden werden drei häufig antretende Sicherheitsvorfälle kurz vorgestellt.  

Ransomware-Angriffe

Ransomware ist eine bösartige Software, die eingesetzt wird, um den Zugriff auf einen Computer oder Mobiltelefone zu blockieren oder persönliche Daten zu verschlüsseln. Am häufigsten wird Ransom-Software durch Phishing betrieben. Dies passiert, indem eine E-Mail an die Zielorganisation oder Personen geschickt wird, die den Empfänger auffordert, einen Anhang zu öffnen oder eine Datei herunterzuladen. Sobald der Anhang geöffnet oder die Datei heruntergeladen wird, wird die Ransomware auf dem Computer installiert und dringt in das Computernetzwerk des Opfers ein. Cyberkriminelle nutzen oft Ransomware, um ein Lösegeld vom Opfer zu verlangen, im Austausch für einen Entschlüsselungsschlüssel. Sollte das Opfer sich weigern, können die Angreifer damit drohen, die vertraulichen oder kritischen Informationen zu veröffentlichen.

Phishing-Angriffe

Phishing-Angriffe sind betrügerische Aktivitäten von Cyberkriminellen in dem getarnten E-Mail oder SMS an Personen oder Organisationen gesendet werden. In der Regel werden die Leser aufgefordert, sensible Daten (Bankdaten oder Passwörter für Konten) preiszugeben oder Links zu dubiosen Websites zu klicken. Diese E-Mails versuchen, in Ihnen ein Gefühl der Dringlichkeit zu erwecken, bei der Sie dazu gedrängt werden, schnell zu handeln damit Sie nicht bspw. Ihre Daten oder Konto verlieren.

Informationsdiebstahl

Unter Informationsdiebstahl versteht man den Verlust eines Laptops, eines USB-Sticks oder ein anderen IT-Equipment, auf dem vertrauliche Dokumente gespeichert sind.

ISMS-Audit und ISO 27001 Audit

Regelmäßige Überprüfungen Ihres Informationssicherheits-Systems tragen zur Optimierung Ihrer Informationssicherheit bei. Mittels eines ISMS-Audits wird der aktuelle Stand Ihres Informationssicherheits-Managements von unseren TÜV / DEKRA zertifizierten Beratern in Ihrem Unternehmen analysiert und dokumentiert. Offene Maßnahmen werden erfasst, priorisiert und in einem konkreten Maßnahmenplan festgehalten. Informieren Sie sich über Vorteile, Ablauf und Kosten mit Robin Data.

Wie soll man beim IT-Sicherheitsvorfall reagieren?

In einer Notfallsituation ist es wichtig Ruhe zu bewahren. Lassen Sie zuerst den Ernst der Lage prüfen bevor Sie handeln, um überstürztes und unüberlegtes Handeln zu vermeiden. Wenn Sie sich vor einem Angriff mit Ihrer Informationssicherheit befasst haben, haben Sie sicherlich Sicherheitsrichtlinien erstellt, die das individuelle Management jedes Sicherheitsvorfalls vorantreibt. Beziehen Sie sich in dem Fall auf die Dokumentation und befolgen Sie die definierten Verfahren und Sicherheitsrichtlinien, um Ihre Geschäftsprozesse und Ihre IT-Infrastruktur wiederherzustellen. Um Reputationsschäden und Haftung gegenüber Dritten zu vermeiden, sollten Sie außerdem die in Ihrem Handbuch für Notfallmaßnahmen beschriebenen Kommunikationsabläufe befolgen.

Sollten Sie keinen internen oder externen Informationssicherheitsbeauftragten haben, kontaktieren Sie uns gern. Die erfahrenen Experten von Robin Data bauen gern mit Ihnen ein Informationssicherheits-Managementsystem auf und erstellen Notfallkonzepte mit Ihnen.

Wie bereitet man sich auf einen IT-Sicherheitsvorfall vor?

Implementieren Sie schon im Vorfeld ein Informationssicherheits-Managementsystem (ISMS). Legen Sie in dem ISMS fest, welche Prozesse und Richtlinien nötig sind, um die Sicherheit der Unternehmensinformationen kontinuierlich zu verbessern. Schützen Sie Ihre kritischen Geschäftsprozesse mit dem Aufbau eines Business-Continuity-Management-System (BCM). Ernennen Sie einen Informationssicherheitsbeauftragten, welcher sich mit Fragen zur Informationssicherheit beschäftigt. Sie sollten auch regelmäßige Penetrationstests oder Schwachstellenaudits durchführen, um einen stetigen und aktuellen Überblick über Ihre Informationssicherheit zu schaffen. Darüber hinaus können Sie auch eine Cybersicherheitsversicherung abschließen.

Damit Sie möglichst gut auf ein IT-Sicherheitsvorfall vorbereitet sind, sollten Sie im Vorfeld die folgenden Fragen beantworten:

  • Woran erkenne ich, dass ich angegriffen werde/wurde?
  • Wie erreiche ich meine IT-Dienstleister am schnellsten?
  • Wie läuft das Behandlungsvorgehen ab?
  • Bei wem bekomme ich Rat?
  • Welcher Schaden ist entstanden oder kann noch entstehen?
  • Wie kann ich weitere Schaden vermeiden?
  • Wie lassen sich verlorene Daten wiederherstellen?
  • Wie teuer sind die Schäden?

Externer Informationssicherheitsbeauftragter

Gern können Sie uns als externen Informationssicherheitsbeauftragten (ISB) bestellen. Wir bieten auch einzelne Beratungsleistungen sowie Audits im Bereich Informationssicherheit an. Wir erstellen Ihnen gern ein unverbindliches Angebot. Mehr Informationen zu unseren externen Informationssicherheitsbeauftragten finden Sie auf unserer Website.

7 Tipps für richtiges Vorgehen

Diese Tipps unterstützen Sie dabei, angemessene Entscheidungen zu treffen sowie möglichst schnell und sicher bei einem Vorfall zu reagieren.

  1. Reagieren Sie zügig: Sie sollten überlegt aber schnell handeln, um möglichst wenig Zeit zu verlieren und keine Aufregung im Unternehmen zu erzeugen.
  2. Bewahren Sie Beweise und Daten auf: Verändern oder löschen Sie die Daten nicht damit keine Spuren verwischt werden. Arbeiten Sie stattdessen mit Kopien bis mögliche Beweismittel forensisch gesichert wurden.
  3. Lassen Sie das System unverändert: Schalten Sie das System nicht aus und führen Sie kein Neustart des Rechners durch, dies könnte zur Vernichtung von wichtigen Spuren führen.
  4. Berichten Sie die relevanten internen Stellen: Informieren Sie die zuständigen oder betroffenen Abteilungen, wie das Management, die Rechtsabteilung und den Datenschutzbeauftragten sowie den IT-Sicherheitsbeauftragten. Legen Sie mit den Abteilungen fest, welche weiteren internen Stellen informiert werden müssen. Insofern der Täter nicht gefasst wurde, prüfen Sie, welche Personen vertrauenswürdig sind und weiten Sie den Kreis der informierten Personen nicht unnötig aus. Bilden Sie eventuell ein Krisenreaktionsteam.
  5. Dokumentieren Sie den Vorfall sorgfältig: Protokollieren Sie alle durchgeführten Schritte und Beobachtungen und ermitteln Sie den genauen Sachverhalt (Art, Umfang, Datum, Uhrzeit). Dokumentieren Sie die betroffenen Systeme, aus welchen Daten abhandenkommen sind und ermitteln Sie genau was passiert ist.
  6. Schalten Sie qualifizierte Fachexperten rechtzeitig ein: Holen Sie externe Hilfe, wie IT-Forensik-Experten, um eine gerichtsfeste Aufklärung und Aufarbeitung des Sachverhalts zu gewährleisten.
  7. Informieren Sie externe Stellen: Klären Sie mit Ihrem Krisenreaktionsteam, ob externe Stellen wie Aufsichtsbehörden informiert werden müssen. In manchen Fällen ist eine Informationsweitergabe gesetzlich geregelt (z. B. DSGVO) und eine Nicht-Einhaltung kann ggf. zum Bußgeld führen.

Fazit

Bedrohungen entwickeln sich ständig weiter und um Schritt zu halten, sollten Sie Ihr Unternehmen darauf bestens vorbereiten. Daher ist es notwendig, sich der Risiken bewusst zu sein und konkrete, präventive Maßnahmen zu ergreifen. Mit einem ausgereiften und getesteten Reaktionsplan sowie einem Handbuch für Notfallmaßnahmen lässt sich die Höhe des Schadens und den Erfolg des Angreifers minimieren.

Caroline Schwabe
Neueste Anzeigen von Caroline Schwabe (Alle anzeigen)

Das könnte Sie auch interessieren:

IT-Sicherheitsvorfall

TISAX-Anforderungen: Schritt für Schritt Zertifizierung vorbereiten

TISAX® Anforderungen: Informationen zu Fragenkatalog, Reifegradstufen und zur Zertifizierung. bereiten Sie Assessment-Level und Audit vor.

ISMS: Definition, Umsetzung, Normen

Alle Informationen zum Informationssicherheits Management System: Abgrenzung DSMS, Hinweise zur Umsetzung, Normen und Standards

Schutz von Informationen und Daten

Was ist Informationssicherheit? Aufgaben des Informationssicherheitsbeauftragten und Abgrenzung zum Datenschutz.