Oft sind es Hacker
Sobald es zu einem IT-Sicherheitsvorfall im eigenen Betrieb gekommen ist, ist strukturiertes Vorgehen unerlässlich
Die zunehmende Digitalisierung führt in den Unternehmen jeder Größenklasse zu Veränderungen in den Arbeitsprozessen. So findet ein Großteil der Kommunikation mit Kunden und anderen Unternehmen sowie auch mit den eigenen Mitarbeitern zunehmend digital statt. Die Einrichtung und Nutzung der dafür erforderlichen Systeme bedingt oft spezielles Fachwissen über Informationstechniken (IT), die aber oft in kleinen und mittleren Unternehmen nicht gegeben ist. Das birgt das Risiko, dass manche Sicherheitsgefahren nicht oder nur unzureichend erkannt werden.
Im Zuge der Digitalisierung wird der Anteil der elektronischen Datenverarbeitung noch weiter zunehmen. Daher ist es sehr wichtig, dass die interne IT (sowohl im Büro als auch mit dem Baustellen- und Servicepersonal) reibungslos funktioniert. Durch eigene, aber auch fremdverursachte Fehler kann diese Funktionsfähigkeit beeinträchtigt werden.
Wann wird von einem Sicherheitsvorfall gesprochen?
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) liefert beispielhaft diese Definition für einen Sicherheitsvorfall: „Als Sicherheitsvorfall wird (...) ein Ereignis bezeichnet, das die Vertraulichkeit, Verfügbarkeit und Integrität der Informationen, Geschäftsprozesse, IT-Dienste, IT-Systeme oder IT-Anwendungen mit hohem (...) Schutzbedarf derart beeinträchtigt, dass ein großer Schaden für das Unternehmen (...), für Kunden und für Geschäftspartner entstehen kann.“
Wie lassen sich die Ursachen ermitteln?
Sicherheitsvorfälle können sowohl zufällige Ereignisse, z. B. ausgelöst durch einen Brand oder einen Stromausfall, als auch bewusste oder unbewusste menschliche Eingriffe in die IT-Systeme als Ursache haben. Hierbei bietet eine Spezialdisziplin der Informatik, die IT-Forensik, eine geeignete Hilfestellung, die Sie durch Experten erhalten können. Typische Ziele der IT-Forensik sind:
- Methoden und Schwachstellen zu identifizieren, die zu einem Systemvorfall geführt haben,
- daraus entstandene Schäden zu erkennen,
- mögliche Angreifer zu identifizieren und
- Beweise für weitere juristische Aufarbeitung zu sichern.
Eine typische Folgekette einer IT-forensischen Analyse besteht aus der strategischen und operativen Vorbereitung, Datensammlung, Datenuntersuchung, Datenanalyse und der Dokumentation. Anhand dieses Prozesses sollte sich Ihr Vorgehen orientieren, um effektive Handlungsweisen umzusetzen.
Wie sollten Sie sich richtig vorbereiten?
Tipp: Schaffen Sie Maßnahmen zur Unterstützung der IT-Forensik
Um überhaupt ein sicherheitsrelevantes Ereignis zu erkennen und zu analysieren, sind Maßnahmen erforderlich, die den IT-forensischen Prozess unterstützen. Hierzu können z. B. Systeme mit Inspektionsmöglichkeiten oder Überwachungs- und Monitoringsysteme zum Einsatz kommen. Wichtig ist, dass auch notwendige Logging-Mechanismen geschaffen bzw. aktiviert werden, die häufig in Betriebssystemen und Netzwerkgeräten Anwendung finden. Eine Sammlung dieser Logs kann auf einem zentralen Server erfolgen.
Tipp: Bereiten Sie Ihre Organisation auf einen Vorfall vor
Eine Grundlage zur Bearbeitung von Sicherheitsvorfällen ist dessen Vorbereitung. Neben der Definition von Vorfällen und Sicherheitszielen ist es wichtig, dass Ihre IT-Systeme bekannt sind, z. B. der Netzwerkplan, die eingesetzte Hard- und Soft ware, die Konfigurationen. Bestimmen Sie verantwortliche und zu kontaktierende Personen im Unternehmen und ggf. externe Fachleute, die Sie bei einem IT-Vorfall unterstützen, z. B. IT-Dienstleister bzw. -Forensiker). Das alles sollten Sie in einem Notfallplan vorher verfasst haben und beispielsweise mit Checklisten ergänzen, die beschreiben, wie mit Sicherheitsvorfällen proaktiv umzugehen ist.
Tipp: Lernen Sie selbst, sicherheits relevante Ereignisse zu erkennen
Sicherheitsvorfälle zu erkennen, ist eine sehr komplexe Aufgabenstellung. Einerseits gibt es nicht den einen Vorfalle andererseits können sich die Auswirkungen erst nach Tagen oder Wochen zeigen. Der Kernaspekt ist aber, dass alle Personen im Unternehmen aufmerksam sind und Unregelmäßigkeiten am IT-System melden. Weiterhin unterstützen Sie auch unter Umständen die aus dem ersten Tipp bekannten technischen Hilfsmittel. Denn sie erkennen sicherheitsrelevante Vorfälle automatisch, können sie teilweise selbstständig verhindern oder Lösungsmöglichkeiten aufzeigen.
Wie sollten Sie sich bei einem Sicherheitsvorfall verhalten?
Wie sollten Sie sich bei einem Sicherheitsvorfall verhalten?
Dies ist eine Grundregel. Denn Fehler durch hektisches oder panisches Handeln können zu einer Kettenreaktion führen und eine effiziente Wiederherstellung der Unternehmens-IT beeinträchtigen. Eine durchdachte, aber trotzdem schnelle Reaktion auf den Sicherheitsvorfall kann für Sie Kosten einsparen, Schaden für Ihre Kunden abwenden und u. U. eine notwendige forensische Analyse des Vorfalls vereinfachen. Orientieren Sie sich dafür an Ihren niedergeschriebenen Regeln im Notfallplan.
Tipp: Überblick verschaffen
Versuchen Sie, in Ihren ersten Schritten zu ermitteln, was vorgefallen ist und welche wesentlichen Systeme betroffen sind. Hierzu sollte die Person, die den Vorfall erkannt hat, folgende Fragen beantworten oder in einer Checkliste abarbeiten:
- Was ist vorgefallen?
- Wann und wo ist der Vorfall aufgetreten?
- Welche Systeme und Objekte sind betroffen (Netzwerkkomponenten, Soft ware, Daten usw.)?
- Was sind aktuelle Auswirkungen?
- Gibt es eine Vermutung für die Ursache (infizierte E-Mail, Technikausfall usw.)?
- Sind bereits Maßnahmen durchgeführt worden, z. B. Herunterfahren des Rechners, Trennen der Netzwerkverbindung?
Tipp: Verhindern Sie eine weitere Ausbreitung
Falls es sich um den Befall einiger Komponenten im Netzwerk mit Schadsoftware handelt, sollten Sie diese unter Quarantäne stellen, vom Netzwerk trennen und alle Zugänge sperren. Eine weitere Möglichkeit ist das Herunterfahren der Systeme. Hierbei muss aber beachtet werden, dass Informationen zum Schädling bzw. Angriff, die noch im Hauptspeicher vorhanden sein können, verloren gehen. Ferner kann das Herunterfahren ein weiterer Auslöser zur Einnistung von weiteren Schadprogrammen sein.
Tipp: Untersuchen und analysieren Sie den Vorfall
Häufig ist es notwendig, die Ursachen des Vorfalls zu analysieren. Möglicherweise ergeben sich dann einfachere Varianten zum Umgang. Jeder Angriff hinterlässt zudem Spuren, sei es durch eine eingesetzte Schadsoftware oder durch Kommunikation im Netzwerk. Erkenntnisse darüber können Aufschlüsse liefern. Es ist beispielsweise in einigen Fällen möglich, durch forensische Datenanalysen im Hauptspeicher, Schlüssel für Dateien auszulesen, die von sogenannter „Ransomware“ (Erpressungssoftware) kodiert und somit unlesbar gemacht wurden. Vermeiden Sie daher das Verändern von Daten. Denn dies kann Spuren verwischen.
Tipp: Leiten Sie Maßnahmen ab und handeln Sie danach
In Abhängigkeit der Ergebnisse Ihrer Untersuchungen bzw. Analysen sollten Sie die Maßnahmen priorisieren, die eine zügige und korrekte Wiederherstellung der Systeme ermöglichen. Im Sinne der 80/20-Regel (Pareto-Effizienz) erzielen bereits 20 % (also die wichtigsten) Maßnahmen 80 % des gewünschten Effektes. In der Regel werden bei den betroffenen IT-Systemen kompromittierte Dateien gelöscht und durch Backups wieder eingespielt. Dabei ist darauf zu achten, dass die Backups selbst nicht von den Schadprogrammen betroffen sind. Dazu ist eine geeignete Analyse durchzuführen. Anschließend sollte die Funktionsfähigkeit der IT-Systeme überprüft und die bekannten Sicherheitslücken, die zum Vorfall geführt haben, geschlossen werden, z. B. durch Patches, Änderungen im Netzwerkplan oder neue Handlungsanweisungen für die Mitarbeiter.
Tipp: Regelmäßige Sicherung der Daten
Für eine Wiederherstellung der IT-Systeme sind regelmäßige Backups notwendig, um kosten- und zeitintensive Datenrettungen oder unstrukturiertes Installieren von Programmen zu vermeiden. Bei den Backups sollten Sie auf geplante Zeitintervalle, die Aktualität, die Vollständigkeit und auch auf die Korrektheit der gesicherten Daten achten. Mehr Informationen können Sie in einem Flyer „Wie sichere ich meine Daten? – 10 Goldene Regeln für die Sicherung von Daten“ im Wissensbereich auf der Seite www.betrieb-machen.de finden.
Was sollten Sie abschließend unternehmen?
Tipp: Dokumentieren Sie den Sicherheitsvorfall und die Maßnahmen
Achten Sie darauf, dass die Vorfälle, auch im Ablauf, ausreichend dokumentiert werden. Dies kann mithilfe eines Protokolls erledigt werden. Es bietet sich an, ein Standardprotokoll für einen IT-Sicherheitsvorfall anzulegen. Hierbei sollten sowohl der eigentliche Vorfall selbst, als auch die Lösungsmaßnahmen dokumentiert werden. Hilfreich sind dabei auch Fotos, Screenshots und genaue Zeitangaben.
Tipp: Ziehen Sie Lehren aus dem Sicherheitsvorfall
Im Sinne eines ständigen Verbesserungsprozesses sollten Sie aus dem gesamten Vorfall lernen, um zukünftig die Schwachstellen zu vermeiden. Denkbar wären Konfigurationsänderungen an den technischen Systemen, Systemerweiterungen, organisatorische Anpassungen und laufende Schulungen bzw. Sensibilisierung von Mitarbeitern. Passen Sie auch dementsprechend Ihre Dokumentationen an.
Häufige Fehler beim Umgang mit IT-Sicherheitsvorfällen aus der Praxis sind:
- Backups werden nicht gepflegt,
- Vorfälle werden nicht kommuniziert („Lessons learned“),
- keine ausreichende Sensibilisierung der Mitarbeiter,
- kaum technische Hilfsmittel zur Erkennung vorhanden,
- befallene Systeme sind zu lange online,
- keine ausreichenden Ressourcen zur Problembehandlung vorhanden,
- Behinderung der Datenforensik und
- keine Dokumentation.
Schlussbemerkung
Die unternehmensspezifische Ausgestaltung der firmeneigenen Informationssicherheit ist von zahlreichen individuellen Gegebenheiten abhängig und kann nicht pauschal beantwortet werden. In Abhängigkeit von der Branche, Größe und Ausrichtung müssen gegebenenfalls weiterführende Schutzmaßnahmen umgesetzt werden. Die Aspekte der Basissicherheit müssen in jedem Fall Berücksichtigung finden, um ein Mindestmaß an Sicherheit zu gewährleisten.
Autoren: Roland Hallau (Projektleiter), Andreas Neuenfels und Mike Wäsche vom Mittelstand 4.0 – Kompetenzzentrum Chemnitz, c/o tti Technologietransfer und Innovationsförderung Magdeburg GmbH