Richtig und angemessen reagieren

IT-Sicherheitsvorfall - was tun?

Immer häufiger lesen und hören wir in den Medien, dass von außen oder innen herbeigefügte Störungen die Informations-, Kommunikations- und Produktionssysteme im Unternehmen lahmlegen. Für Unternehmen ist allein der Gedanke daran eine Katastrophe. Kommt es zu einem sicherheitsrelevanten Ereignis, gilt es Ruhe zu bewahren, diesen Vorfall strukturiert abzuarbeiten und mit Blick auf die Zukunft eine zielgerichtete Fehleranalyse zu betreiben.

Wann spricht man vom IT-Sicherheitsvorfall?

Ein IT-Sicherheitsvorfall ist laut Definition ein negatives Ereignis, das die Informationssicherheit (also Vertraulichkeit, Verfügbarkeit und/oder Integrität) von Daten, Informationen, Geschäftsprozessen, Services, Systemen und Anwendungen beeinträchtigt. Auch der Versuch ist bereits ein Ereignis.
Sicherheitsvorfälle können natürlich auch zufällige Ereignisse z. B. Brände und Stromausfälle sein. Häufig ist jedoch der menschliche Eingriff in das IT-System ursächlich – dieses kann bewusst oder unbewusst erfolgen. Mit Hilfe der IT-Forensik können Methoden und Schwachstellen ermittelt werden, die zum Systemausfall geführt haben. Beweissicherung, die Feststellung des wirtschaftlichen Gesamtschadens sowie die Hinweise zur Täterermittlung für die juristische Aufarbeitung sind ebenfalls Einsatzgebiete der IT-Forensik.

Wie wird der IT-Sicherheitsvorfall festgestellt?

Wenn im Unternehmen nichts mehr geht, ist es oft eindeutig. Ansonsten erfolgen die Hinweise auf Cyberattacken meistens durch Mitarbeiter, ein eigenes Sicherheitssystem oder durch interne Ermittler oder Revisionsabteilungen.

Was tun, wenn es passiert?

Wichtige Informationen und Hinweise für die Vorgehensweise finden Sie auf den Webseiten der Allianz für Cybersicherheit oder dem Bundesamt für Sicherheit in der Informationstechnik (BSI).
Hier stehen umfangreiche Checklisten je nach Art des Vorfalls, Hinweise auf Meldepflichten für Betreiber kritischer Infrastrukturen, Ansprechpartner für Cybercrime bei der Polizei, Verhaltens- und Handlungsempfehlungen für die Unternehmen zur Verfügung.
Wichtige Schritte sind:
  • Bewahren Sie Ruhe und handeln Sie nicht übereilt. Wissen alle, die intern davon wissen müssen vom mutmaßlichen IT-Notfall? Ansonsten weihen Sie nur erforderliche und vertrauenswürdige Personen ein.
  • Organisieren Sie sich und richten Sie einen internen Krisenstab ein. Verteilen Sie Rollen und Zuständigkeiten. Priorisieren Sie gemeinsam das weitere Vorgehen.
  • Sammeln Sie möglichst schnell und möglichst viele Informationen, um fundierte Entscheidungen treffen zu können. Holen Sie Ihren externen IT-Dienstleister und qualifizierte Experten dazu. Dazu zählen auch Kriminalämter und die örtliche Polizei, möglichweise aber auch Rechtsanwälte, PR-Berater oder Datenschutzbeauftragte.
  • Stellen Sie Backups sicher. Wenn möglich – sollten auch betroffene Geräte oder Daten gesichert werden. Sperren Sie ggf. Dienste oder Accounts. Klären Sie, welche Auswirkung ein Weiterbetrieb auf die Beweissicherung hat.
  • Dokumentieren Sie den Vorfall sogfältig, Geben Sie dabei die durchgeführten Schritte möglichst genau – mit exakten Zeitangaben - an. Beobachtungen können auch mit Fotos dokumentiert werden.
  • Die Nachbereitung und intensive Auseinandersetzung mit einem Vorfall sind selbstverständlich.

Kann man sich auf einen IT-Sicherheitsvorfall vorbereiten?

Im Unternehmen muss man entsprechende Vorbereitungen und Maßnahmen ergreifen, die einen Angriff auf internen Daten und fremde Zugriffe auf Systeme weitestgehend unmöglich machen oder erheblich erschweren. Insofern gilt es ein IT-Sicherheitskonzept zu erstellen, in welchem man sich mit den möglichen Gefahren, Datensicherungen, Sensibilisierung der MitarbeiterInnen intensiv auseinandersetzt und auch gedanklich den Fall der Fälle durchspielt.