Data Protection Academy » Data Protection Wiki » IT security incident: Responding correctly in an emergency

IT security incident

IT security incident: Responding correctly in an emergency

Cyber-Attacken haben sich in den letzten Jahren stark professionalisiert und sorgen allein in Deutschland für bis zu 220 Milliarden Euro Schaden pro Jahr. Sie verursachen den Ausfall von Informations- und Produktionssystemen oder die Störung von internen Abläufen, oftmals durch den Einsatz von Ransomware über Phishing-Angriffe.

Das Ziel dieses Beitrages ist, Ihnen zu helfen, bei einem IT-Sicherheitsvorfall informiert und überlegt vorzugehen. Sie erhalten praktische Tipps zur Erkennung von IT-Sicherheitsvorfällen sowie zu deren Vorbereitung und Behandlung. Nichtdestotrotz, ist das Thema komplex. Jedes Unternehmen hat andere Anforderungen und braucht individuell angepasste Maßnahmen. Deswegen geht dieser Beitrag nicht in die fachliche Tiefe und soll keine abschließende Betrachtung des Themas sein. Der Beitrag soll Ihnen als Verantwortlicher eines Unternehmens vielmehr die wichtigsten Eckpunkte mit auf den Weg geben

Content on the topic of IT security incident:

What is an IT security incident?

Ein IT-Sicherheitsvorfall ist ein Ereignis bzw. Notfall, welches sich auf die Informationssicherheit eines Unternehmens negativ auswirkt. Bei IT-Sicherheitsvorfällen werden die Kriterien der Informationssicherheit (Vertraulichkeit, Verfügbarkeit und Integrität der Informationen) in Geschäftsprozessen und IT-Systemen derart beeinträchtigt, dass ein großer Schaden entstehen kann. Böswillige Handlung, die Nichteinhaltung einer Regel der Sicherheitsrichtlinie oder generell jede Art von Verletzung der Informationssicherheit fallen unter die Definition eines IT-Sicherheitsvorfalls. IT-Sicherheitsvorfälle fallen in verschiedenen Kontexten und Situationen mehr oder weniger stark ins Gewicht.

Für viele Unternehmen spielen IT-Systeme eine zentrale Rolle. Ein Ausfall dieser Systeme kann zu einem kompletten Stillstand, hohen Schadenersatzforderungen oder sogar Insolvenz des Unternehmens führen. Darüber hinaus drohen auch Imageschäden, Kundenverluste oder Gesetzesverstöße.

Einige IT-Sicherheitsvorfälle sind einfache „Störungen“ währende andere Vorfälle, die erheblichen Schaden anrichten können, Notfälle sind. Jede Art von IT-Sicherheitsvorfall benötigt einen individuell angepassten Maßnahmenplan, um eine schnelle Behebung des Problems zu gewährleisten. Daher ist es wichtig zu wissen, wie man IT-Sicherheitsvorfälle erkennt und sich darauf vorbereitet, um im Ernstfall richtig zu reagieren.

How do I recognise an IT security incident?

Da nicht jedes Ereignis ein Sicherheitsvorfall ist, sollten Sie umgehend prüfen, ob mindestens eine der Kriterien der Informationssicherheit betroffen sind:

  • Confidentiality: Wenn Ihre Daten gestohlen oder vertrauliche Informationen an den falschen Empfänger gesendet wurden, ist die Vertraulichkeit Ihrer Daten nicht mehr gewährleistet.
  • Verfügbarkeit: Die Verfügbarkeit Ihrer Daten ist betroffen, wenn z. B. eine Festplatte mit kritischen Daten defekt ist oder wichtige IT-Systeme nicht mehr erreichbar sind.
  • Integrität: Die Integrität Ihrer Daten ist nicht mehr gewährleistet, wenn z. B. einer Ihrer Computer von einem Trojaner befallen ist oder Ihre Buchhaltung plötzlich nicht mehr stimmt.

Beispiele für IT-Sicherheitsvorfälle

Im Folgenden werden drei häufig antretende Sicherheitsvorfälle kurz vorgestellt.  

Ransomware attacks

Ransomware ist eine bösartige Software, die eingesetzt wird, um den Zugriff auf einen Computer oder Mobiltelefone zu blockieren oder persönliche Daten zu verschlüsseln. Am häufigsten wird Ransom-Software durch Phishing betrieben. Dies passiert, indem eine E-Mail an die Zielorganisation oder Personen geschickt wird, die den Empfänger auffordert, einen Anhang zu öffnen oder eine Datei herunterzuladen. Sobald der Anhang geöffnet oder die Datei heruntergeladen wird, wird die Ransomware auf dem Computer installiert und dringt in das Computernetzwerk des Opfers ein. Cyberkriminelle nutzen oft Ransomware, um ein Lösegeld vom Opfer zu verlangen, im Austausch für einen Entschlüsselungsschlüssel. Sollte das Opfer sich weigern, können die Angreifer damit drohen, die vertraulichen oder kritischen Informationen zu veröffentlichen.

Phishing attacks

Phishing-Angriffe sind betrügerische Aktivitäten von Cyberkriminellen in dem getarnten E-Mail oder SMS an Personen oder Organisationen gesendet werden. In der Regel werden die Leser aufgefordert, sensible Daten (Bankdaten oder Passwörter für Konten) preiszugeben oder Links zu dubiosen Websites zu klicken. Diese E-Mails versuchen, in Ihnen ein Gefühl der Dringlichkeit zu erwecken, bei der Sie dazu gedrängt werden, schnell zu handeln damit Sie nicht bspw. Ihre Daten oder Konto verlieren.

Information theft

Information theft is the loss of a laptop, USB stick or other IT equipment on which confidential documents are stored.

ISMS audit and ISO 27001 audit

Regelmäßige Überprüfungen Ihres Informationssicherheits-Systems tragen zur Optimierung Ihrer Informationssicherheit bei. Mittels eines ISMS-Audits wird der aktuelle Stand Ihres Informationssicherheits-Managements von unseren TÜV / DEKRA zertifizierten Beratern in Ihrem Unternehmen analysiert und dokumentiert. Offene Maßnahmen werden erfasst, priorisiert und in einem konkreten Maßnahmenplan festgehalten. Informieren Sie sich über Vorteile, Ablauf und Kosten mit Robin Data.

Discover audit advantages

How should one react in the event of an IT security incident?

In einer Notfallsituation ist es wichtig Ruhe zu bewahren. Lassen Sie zuerst den Ernst der Lage prüfen bevor Sie handeln, um überstürztes und unüberlegtes Handeln zu vermeiden. Wenn Sie sich vor einem Angriff mit Ihrer Informationssicherheit befasst haben, haben Sie sicherlich Sicherheitsrichtlinien erstellt, die das individuelle Management jedes Sicherheitsvorfalls vorantreibt. Beziehen Sie sich in dem Fall auf die Dokumentation und befolgen Sie die definierten Verfahren und Sicherheitsrichtlinien, um Ihre Geschäftsprozesse und Ihre IT-Infrastruktur wiederherzustellen. Um Reputationsschäden und Haftung gegenüber Dritten zu vermeiden, sollten Sie außerdem die in Ihrem Handbuch für Notfallmaßnahmen beschriebenen Kommunikationsabläufe befolgen.

If you do not have an internal or external information security officer please feel free to contact us. Robin Data's experienced experts will be happy to set up an information security management system with you and create emergency concepts with you.

How do you prepare for an IT security incident?

Implement a system in advance that Information Security Management System (ISMS). Legen Sie in dem ISMS fest, welche Prozesse und Richtlinien nötig sind, um die Sicherheit der Unternehmensinformationen kontinuierlich zu verbessern. Schützen Sie Ihre kritischen Geschäftsprozesse mit dem Aufbau eines Business-Continuity-Management-System (BCM). Ernennen Sie einen Informationssicherheitsbeauftragten, welcher sich mit Fragen zur Information Security beschäftigt. Sie sollten auch regelmäßige Penetrationstests oder Schwachstellenaudits durchführen, um einen stetigen und aktuellen Überblick über Ihre Informationssicherheit zu schaffen. Darüber hinaus können Sie auch eine Cybersicherheitsversicherung abschließen.

Damit Sie möglichst gut auf ein IT-Sicherheitsvorfall vorbereitet sind, sollten Sie im Vorfeld die folgenden Fragen beantworten:

  • How can I tell that I am/was being attacked?
  • What is the fastest way to reach my IT service providers?
  • Wie läuft das Behandlungsvorgehen ab?
  • Who can I get advice from?
  • What damage has occurred or can still occur?
  • How can I avoid further damage?
  • How to recover lost data?
  • Wie teuer sind die Schäden?

External Information Security Officer

Gern können Sie uns als external Information Security Officer (ISB) order. We also offer individual consulting services as well as audits in the area of information security. We will be happy to provide you with a non-binding offer. You can find more information about our external information security officers on our website.

Discover ISB services

7 Tipps für richtiges Vorgehen

Diese Tipps unterstützen Sie dabei, angemessene Entscheidungen zu treffen sowie möglichst schnell und sicher bei einem Vorfall zu reagieren.

  1. Reagieren Sie zügig: Sie sollten überlegt aber schnell handeln, um möglichst wenig Zeit zu verlieren und keine Aufregung im Unternehmen zu erzeugen.
  2. Keep evidence and data: Verändern oder löschen Sie die Daten nicht damit keine Spuren verwischt werden. Arbeiten Sie stattdessen mit Kopien bis mögliche Beweismittel forensisch gesichert wurden.
  3. Lassen Sie das System unverändert: Schalten Sie das System nicht aus und führen Sie kein Neustart des Rechners durch, dies könnte zur Vernichtung von wichtigen Spuren führen.
  4. Report the relevant internal bodies: Informieren Sie die zuständigen oder betroffenen Abteilungen, wie das Management, die Rechtsabteilung und den Datenschutzbeauftragten sowie den IT-Sicherheitsbeauftragten. Legen Sie mit den Abteilungen fest, welche weiteren internen Stellen informiert werden müssen. Insofern der Täter nicht gefasst wurde, prüfen Sie, welche Personen vertrauenswürdig sind und weiten Sie den Kreis der informierten Personen nicht unnötig aus. Bilden Sie eventuell ein Krisenreaktionsteam.
  5. Dokumentieren Sie den Vorfall sorgfältig: Protokollieren Sie alle durchgeführten Schritte und Beobachtungen und ermitteln Sie den genauen Sachverhalt (Art, Umfang, Datum, Uhrzeit). Dokumentieren Sie die betroffenen Systeme, aus welchen Daten abhandenkommen sind und ermitteln Sie genau was passiert ist.
  6. Involve qualified experts in good time: Holen Sie externe Hilfe, wie IT-Forensik-Experten, um eine gerichtsfeste Aufklärung und Aufarbeitung des Sachverhalts zu gewährleisten.
  7. Inform external bodies: Klären Sie mit Ihrem Krisenreaktionsteam, ob externe Stellen wie Aufsichtsbehörden informiert werden müssen. In manchen Fällen ist eine Informationsweitergabe gesetzlich geregelt (z. B. DSGVO) und eine Nicht-Einhaltung kann ggf. zum Bußgeld führen.

Conclusion

Bedrohungen entwickeln sich ständig weiter und um Schritt zu halten, sollten Sie Ihr Unternehmen darauf bestens vorbereiten. Daher ist es notwendig, sich der Risiken bewusst zu sein und konkrete, präventive Maßnahmen zu ergreifen. Mit einem ausgereiften und getesteten Reaktionsplan sowie einem Handbuch für Notfallmaßnahmen lässt sich die Höhe des Schadens und den Erfolg des Angreifers minimieren.

Weiterführende Links

Das Bundesamt für Sicherheit hat für solche Situationen Broschüren und Artikel ausgegeben, die konkret zeigen, wen man im Notfall anrufen kann. An dieser Stelle empfehlen wir Ihnen, einen Blick in diese beiden Broschüren zu werfen:

Caroline Schwabe
Latest posts by Caroline Schwabe (see all)

Das könnte Sie auch interessieren:

IT security incident

TISAX-Anforderungen: Schritt für Schritt Zertifizierung vorbereiten

TISAX® Anforderungen: Informationen zu Fragenkatalog, Reifegradstufen und zur Zertifizierung. bereiten Sie Assessment-Level und Audit vor.
Read more

ISMS: definition, implementation, standards

All information on the information security management system: delimitation of DPMS, notes on implementation, norms and standards
Read more

Protection of information and data

What is information security? Tasks of the information security officer and differentiation from data protection.
Read more