Behandlung

Damit ein Sicherheitsvorfall erfolgreich behoben werden kann, muss zunächst ein Lagebild geschaffen werden. Anschließend sind Sofortmaßnahmen zur Eindämmung zu ergreifen. Alle umgesetzten Sofortmaßnahmen sind zu dokumentieren, um diese im Rahmen einer forensischen Untersuchung zu berücksichtigen. Die Dokumentation ist ebenfalls wichtig, um im Fehlerfall die getroffenen Maßnahmen wieder rückgängig machen zu können.

Falls nötig, je nach Komplexität des Sicherheitsvorfalls, sollte externe Unterstützung hinzugezogen werden. Das können neben (IT-)Experten, staatlichen Stellen (BSI, Kriminalpolizei) auch Forensiker sein. Eine aktuelle Liste von internen und externen Sicherheitsexperten sollte dafür vorhanden sein, die bei Sicherheitsvorfällen für Fragen aus den erforderlichen Themenbereichen hinzugezogen werden können.

Nach der Eindämmung des Sicherheitsvorfalls muss eine Untersuchung und Bewertung des Vorfalls erfolgen, um eine zügige Rückkehr zum normalen Geschäftsbetrieb zu ermöglichen. Das Ziel dieser Untersuchung ist es, sicherzustellen, dass sich der Angreifer nicht mehr im internen Netzwerk befindet bzw. die gleiche Sicherheitslücke erneut ausnutzen kann. Erst dann ist mit der Wiederherstellung des Betriebs zu beginnen. Ansonsten besteht die Gefahr, dass nach der Wiederherstellung ein erneuter Angriff stattfindet.

In den meisten Startups und kleineren Unternehmen wird sich die Anzahl an kritischen Sicherheitsvorfällen zum Glück in Grenzen halten. Umso wichtiger ist es, Meldeketten und die Reaktion auf Vorfälle regelmäßig zu üben. Eine einfach durchzuführende Übungsvariante ist die sogenannte „Table-Top-Exercise“. Ein Format, in dem die relevanten Mitarbeitenden an einem Tisch zusammenkommen und den Prozess mündlich durchlaufen und bewerten ob Kommunikations- und Eskalationswege für alle klar und passend sind. Am besten durchläuft man diese Übung am Beispiel eines möglichen Szenario, wie der Infektion mit einem Verschlüsselungstrojaner im internen Netzwerk.