09 – Sicherheitsvorfälle

Eine 100-prozentige Sicherheit gibt es nicht. Sicherheitsvorfälle kann zu jedem Zeitpunkt dazu führen, dass beispielsweise Informationen nicht in erforderlichem Maße zur Verfügung stehen oder auch in falsche Hände geraten.

Zwei Beispiele: Der Webshop muss aufgrund eines Cyberangriffs vorübergehend abgeschaltet werden, oder; Eine Mail mit wichtigen Unterlagen wurde an einen falschen Absender geschickt.

Für Informationssicherheitsvorfälle schreibt die Norm daher einige Dinge vor, allem voran eine systematische Herangehensweise bei deren Meldung und Erfassung. Dafür sollte im Unternehmen ein Prozess verankert werden, der klare Vorgaben macht, wann ein Sicherheitsvorfall an welche Stelle zu melden ist. Entscheidend ist, dass alle Mitarbeiter ihre Verantwortung zur Meldung kennen, denn nur so kann umgehend reagiert werden.

Hier ergibt es keinen Sinn, das Rad neu zu erfinden. Wenn es bereits bestehende Meldeprozesse im Unternehmen gibt, z. B. einen zentralen Helpdesk in der IT, sollten diese Prozesse und Stellen bei der Etablierung des Prozesses berücksichtigt werden. Der Helpdesk kann dann z. B. gemeldete Sicherheitsvorfälle priorisieren und zielgerichtet bestimmte Stellen wie den Informationssicherheitsbeauftragen oder auch die Geschäftsführung mit hinzuziehen.

Mehr als alles andere gilt hier: Der Prozess und die Meldewege bringen nichts, wenn die Kollegen im entscheidenden Moment nicht darüber Bescheid wissen. Mitarbeiter sollten also regelmäßig geschult werden um an die Meldewege erinnert zu werden.

Damit ein Sicherheitsvorfall erfolgreich behoben werden kann, muss zunächst ein Lagebild geschaffen werden. Anschließend sind Sofortmaßnahmen zur Eindämmung zu ergreifen. Alle umgesetzten Sofortmaßnahmen sind zu dokumentieren, um diese im Rahmen einer forensischen Untersuchung zu berücksichtigen. Die Dokumentation ist ebenfalls wichtig, um im Fehlerfall die getroffenen Maßnahmen wieder rückgängig machen zu können.

Falls nötig, je nach Komplexität des Sicherheitsvorfalls, sollte externe Unterstützung hinzugezogen werden. Das können neben (IT-)Experten, staatlichen Stellen (BSI, Kriminalpolizei) auch Forensiker sein. Eine aktuelle Liste von internen und externen Sicherheitsexperten sollte dafür vorhanden sein, die bei Sicherheitsvorfällen für Fragen aus den erforderlichen Themenbereichen hinzugezogen werden können.

Nach der Eindämmung des Sicherheitsvorfalls muss eine Untersuchung und Bewertung des Vorfalls erfolgen, um eine zügige Rückkehr zum normalen Geschäftsbetrieb zu ermöglichen. Das Ziel dieser Untersuchung ist es, sicherzustellen, dass sich der Angreifer nicht mehr im internen Netzwerk befindet bzw. die gleiche Sicherheitslücke erneut ausnutzen kann. Erst dann ist mit der Wiederherstellung des Betriebs zu beginnen. Ansonsten besteht die Gefahr, dass nach der Wiederherstellung ein erneuter Angriff stattfindet.

In den meisten Startups und kleineren Unternehmen wird sich die Anzahl an kritischen Sicherheitsvorfällen zum Glück in Grenzen halten. Umso wichtiger ist es, Meldeketten und die Reaktion auf Vorfälle regelmäßig zu üben. Eine einfach durchzuführende Übungsvariante ist die sogenannte „Table-Top-Exercise“. Ein Format, in dem die relevanten Mitarbeitenden an einem Tisch zusammenkommen und den Prozess mündlich durchlaufen und bewerten ob Kommunikations- und Eskalationswege für alle klar und passend sind. Am besten durchläuft man diese Übung am Beispiel eines möglichen Szenario, wie der Infektion mit einem Verschlüsselungstrojaner im internen Netzwerk.

Der Prozess ist etabliert. Und nun? Auch wenn die bedrohlichen Vorfälle hoffentlich ausbleiben, sollte der Prozess nicht zum Papiertiger verkommen. Denn eine Anforderung der Norm bleibt noch: Gewinne Erkenntnisse aus vergangenen Vorfällen. Schaue dir also retrospektiv die Sicherheitsvorfälle an und ziehe in diesem Rahmen Schlüsse, was Sie zukünftig verbessern können. Sicherheitsvorfälle passieren. Das Ziel sollte aber sein, die Fehler nicht zu wiederholen.