Wie Unternehmen Sicherheitsvorfälle richtig erkennen und behandeln
Eine Bitkom-Studie von 2022 ergab, dass 9 von 10 Unternehmen Opfer von Datendiebstahl, Erpressung, Spionage oder Sabotage wurden, was zu einem Gesamtschaden von 203 Milliarden Euro führte. Sicherheitsvorfälle und erfolgreiche Cyberangriffe können also nicht nur einzelne Arbeitscomputer funktionsuntüchtig machen, sondern auch erhebliche wirtschaftliche Schäden für das jeweilige Unternehmen, deren Kund:innen und Partner:innen verursachen. Wie können sich Betriebe wirksam gegen solche Angriffe schützen und welche Gefahren drohen in Zukunft?
Wir haben mit Thomas Kuhn, IT-Sicherheitsexperte und Geschäftsführer der Kuhn-Informatik GmbH, über folgende Themen gesprochen:
- Die wesentlichen Schutzziele der Informationssicherheit
- Leichte und schwere IT-Sicherheitsvorfälle und ihre Folgen für ein Unternehmen
- Strategien und präventive Maßnahmen zur Verteidigung gegen Angriffe
- Die Zukunft der IT-Sicherheit mit Unterstützung der künstlichen Intelligenz
Die wesentlichen Schutzziele der Informationssicherheit
Bei der Identifizierung eines IT-Sicherheitsvorfalls sollten zunächst die wesentlichen Schutzziele für Informationssicherheit zum Beispiel nach DIN EN ISO/IEC 27001 berücksichtigt werden:
-
Vertraulichkeit: Nur befugte Personen dürfen Zugang zu vertraulichen Daten und Informationen haben. Dies umfasst beispielsweise personenbezogene Daten von Kund:innen und Mitarbeitenden, Vertriebsdaten sowie Forschungsdaten und Patente.
-
Integrität: Die Korrektheit, Unversehrtheit und Funktionsfähigkeit von Systemen müssen gewährleistet sein. Ein Integritätsverlust bedeutet, dass Daten ohne Erlaubnis modifiziert, manipuliert oder gelöscht wurden. Beispielsweise können Vertragsklauseln, Bank- und Rechnungsinformationen sowie Zahlungsinformationen verändert werden.
-
Verfügbarkeit: Eine jederzeit funktionierende IT-Infrastruktur ist eine wichtige Voraussetzung für die Verfügbarkeit von Informationen. Dazu gehören beispielsweise der Zugriff auf Rechenzentren sowie die Nutzung von Servern und Netzwerken.
Die dargestellten grundlegenden Schutzziele dienen der Orientierung oder der Definition des Idealzustands, an dem sich der Schutzbedarf messen lässt.
Leichte und schwere IT-Sicherheitsvorfälle
Wenn es um Schutzziele geht, steht oft auch die Frage nach potenziellen Störungen im Raum, die diese Ziele gefährden können. „In den meisten Situationen wird zunächst von einem Verdacht auf einen Vorfall gesprochen. Aus einem oder mehreren Verdachtsfällen kann sich dann ein Sicherheitsvorfall entwickeln oder als solcher erkannt werden“, erklärt Thomas Kuhn. An diesem Punkt ist es wichtig, zwischen leichten und schweren Vorfällen zu unterscheiden.
Leichte Vorfälle
Leichte Vorfälle wirken auf den ersten Blick trügerisch harmlos. „Das können beispielsweise Mitarbeitende sein, die auf einen Phishing-Link geklickt haben. Die verdächtigen Aktivitäten werden beispielsweise von einer sogenannten Endpoint-Protection, also einer Art Verteidigungslinie auf dem Arbeitsgerät des/der Mitarbeitenden (z. B. Laptop oder Desktop) erkannt.“ Hinter diesen bösartigen Links verstecken sich meist Attacken, bei denen Anmeldedaten abgegriffen oder Schadsoftware zur Installation angeboten werden soll. Meist werden diese Angriffe automatisch erkannt und geblockt oder von den Nutzer:innen selbst identifiziert. Der Schaden sei in der Regel gering und beschränke sich nur lokal auf die Arbeitsumgebung der betroffenen Anwender:innen.
Trotzdem sollten Mitarbeitende, Unternehmer:innen und IT-Verantwortliche ein solches Ereignis nicht unterschätzen, wie der Experte erläutert. „Die Integrität könnte verletzt werden. Sprich, jemand verändert den Rechner, möchte dort Software installieren oder z. B. eine sogenannte Hintertür einbauen, um sich später unbemerkt Zugang zu verschaffen.“ Eine andere Form der Schadsoftware könnte Daten und Wissen, das auf dem Computer abgelegt wurde, kopieren, herunterladen und somit das Schutzziel der Vertraulichkeit verletzen. „Bei einer verletzten Verfügbarkeit in einem leichten Fall können Nutzer:innen nicht mehr am Computer arbeiten.“ Thomas Kuhn geht aber davon aus, dass ein fachkundiges Team für operative Sicherheit diese leichten Vorfälle in der Regel innerhalb kurzer Zeit, z. B. mit einem gesamten Arbeitsaufwand von einer halben Stunde, beheben kann.
Schwere Vorfälle
„Wie die Kategoriebezeichnung bereits andeutet, haben schwere Vorfälle ernsthafte Konsequenzen, verursachen hohe Schäden und erfordern aufwendigere Reparatur- und Wartungsarbeiten“, erklärt Thomas Kuhn. Schwere Vorfälle liegen etwa vor, wenn beispielsweise kriminelle Organisationen den zentralen Verzeichnisdienst eines Betriebs übernommen haben, führt der Experte fort. „Die meisten Unternehmen nutzen z. B. Active Directory – ein Produkt von Microsoft. Durch eine solche feindliche Übernahme geht typischerweise das komplette Vertrauen zu allen technischen Systemen und Gerätschaften verloren.“
„Das sind typischerweise Vorfälle, die schon zwei bis sechs Wochen Produktions- und Dienstleistungsausfall für das Unternehmen nach sich ziehen. Sie verletzen auch hier die üblichen Schutzziele wie Vertraulichkeit, Integrität und Verfügbarkeit, verursachen jedoch oft zusätzlich massive wirtschaftliche Schäden“, warnt Thomas Kuhn. Hierzu gehören Umsatz- und Gewinneinbußen sowie Reputationsverlust, aber auch rechtliche Folgen. „Das Unternehmen muss ggf. Strafen zahlen, etwa an Landesbehörden im Rahmen des Datenschutzes, wenn personenbezogene Daten abgegriffen wurden.“ Unternehmen, die kritische Infrastrukturen bereitstellen, wie Stromversorger oder Internetprovider, können besonders schwer betroffen sein. Wenn das gesellschaftliche Leben durch eine Cyber-Attacke unterbrochen wird, kann das Bundesamt für Sicherheit in der Informationstechnik (BSI) Bußgelder verhängen, falls vorgegebene Anforderungen und Auflagen nicht erfüllt wurden.
Ursachen für IT-Schwachstellen
Die Ursachen für Angriffsformen wie Identitätsdiebstahl oder Phishing, Malware, Ransomware oder Denial-of-Service sind unterschiedlicher Natur. Das BSI gibt im Papier „DER.2.1: Behandlung von Sicherheitsvorfällen“ veraltete Systeminfrastrukturen, Innentäter und Sicherheitslücken bzw. Zero-Day-Exploits an, die noch nicht geschlossen wurden. Menschliche Unachtsamkeit und Fehlverhalten sind aber ebenfalls entscheidende Faktoren.
Verteidigungsstrategien gegen Angriffe
Laut Thomas Kuhn besteht die beste und effektivste Verteidigungsstrategie gegen Vorfälle und Angriffe in einer gründlichen Vorbereitung. Ist das Kind erst einmal in den Brunnen gefallen, fällt die Wiederherstellung der ursprünglichen Zustände umso schwerer, warnt der Experte. „Hat ein Unternehmen nichts vorbereitet, ist die Wahrscheinlichkeit größer, dass eine Art Panik entsteht und chaotisch vorgegangen wird. Diese Unternehmen laufen Gefahr, dass sie das Problem nicht schnell und effektiv beheben, ohne dabei weitere, noch größere Schäden zu verursachen.“
Beim Aufbau eines Informationssicherheitssystems besteht für den Experten die oberste Priorität darin, dass die Sicherheitsbeauftragten eines Unternehmens zunächst wirksame Prozesse einführen. „Das heißt, präventive Maßnahmen zu planen sowie einen klaren Ablauf und Verantwortlichkeiten festzulegen, wie im Ernstfall Schritt für Schritt vorgegangen werden soll.“
Der Experte veranschaulicht eine ideale Herangehensweise an einem Beispiel. „Melden einzelne Mitarbeitende dem IT-Support, dass sie sich nicht mehr in ihren Arbeitscomputer einloggen können, handelt es sich zunächst nur um einen typischen Verdachtsfall. Zuerst muss geklärt werden, ob es um einen Sicherheitsvorfall oder lediglich um eine technische Störung geht.“ Letzteres kann auch nur ein vergessenes Passwort oder ein weiterer Authentifikationsfaktor sein, der sich leicht zurücksetzen lässt.
In unserem Webinar geben wir Ihnen innerhalb einer Stunde einen umfassenden Überblick über die aktuelle und neue EU-Gesetzgebung zur Cybersicherheit, einschließlich NIS-2, KRITIS, CER und CRA. Außerdem bereiten wir Sie darauf vor, Ihr Unternehmen im Rahmen dieser Gesetze zu schützen.
Leitfaden für leichte und schwere IT-Sicherheitsvorfälle
„Rufen im gleichen Zeitraum allerdings z. B. 50 bis 60 Mitarbeitende an, die sich nicht einloggen können, ist es unwahrscheinlich, dass alle gleichzeitig ihr Passwort vergessen haben. Wir betrachten es also nicht mehr als Verdachtsfall, sondern untersuchen die Situation mit einer kleinen Gruppe von Expert:innen etwas genauer.“ Zusätzlich kann hierbei bei Bedarf durch externe Dienstleister:innen unterstützt werden. „Wenn die Sicherheitsexpert:innen Spuren finden, die beispielsweise auf Eingriffe durch organisierte kriminelle Akteur:innen hinweisen, liegt ein Sicherheitsvorfall vor“, ergänzt Thomas Kuhn.
Als Nächstes erfolgt die Kategorisierung als leichter oder schwerer Vorfall. „Stellen Sie sich vor, 50 Mitarbeitende haben sich schon gemeldet und es kommen noch mehr dazu. Sie merken außerdem, dass jemand Ihr Active Directory übernommen hat und alle Nutzer:innen ausgeschlossen sind. Dann handelt es sich um einen schweren Vorfall, weil das Vertrauen in eine zentrale Komponente Ihres Unternehmens verloren gegangen ist.“ Der Experte rät in einer solchen Situation zu vier Schritten, die parallel erfolgen sollten:
-
Das Unternehmen sollte Nutzer:innen, Mitarbeitende, Externe, Kund:innen und Zulieferer darüber informieren, dass ein massives Problem besteht. Es muss klar kommuniziert werden, dass es momentan nicht sinnvoll sei, mit dem betroffenen Betrieb zu arbeiten. Außerdem sollten alle diese Stakeholder:innen vorsorglich die eigenen Sicherheitsvorkehrungen schärfen und überprüfen.
-
Im Rahmen einer Incident Response muss ein verantwortliches Team herausfinden, was genau passiert ist. „Diese Gruppe ist dafür zuständig, Spuren zu entdecken und zu sichern. Während der Wiederherstellung des Systems können sie bereits Maßnahmen überlegen, um einen erneuten Vorfall zu verhindern“, empfiehlt Thomas Kuhn.
-
Darüber hinaus sollte die Organisation eine Art „Chef:in vom Dienst“ für den Sicherheitsvorfall bestimmen, der/die den schweren Vorfall länger kontinuierlich betreut. „Diese Person muss das eingesetzte Incident-Response-Personal ersetzen oder externe Dienstleister:innen hinzuziehen – dafür ist typischerweise eine Führungsperson erforderlich, die die notwendigen Ressourcen verwaltet und bereitstellt“, fügt der Experte hinzu.
-
Der vierte Punkt liegt typischerweise in der Verantwortung einer:s Informationssicherheitsbeauftragten oder Chief Information Security Officers (CISO) im Unternehmen. Diese Person hält den Kontakt zur Geschäftsführung. „Gemeinsam treffen sie Entscheidungen über Maßnahmen, einschließlich z. B. teurer forensischer Untersuchungen, die jedoch notwendig sind“, rät Thomas Kuhn. Durch die Arbeitsteilung kann sich das technische Team auf die Abwehr der Angreifer:innen konzentrieren, ohne durch Management-Tätigkeiten oder Berichterstattung abgelenkt zu werden.
Spuren sichern
Ein wichtiger Aspekt besteht darin, das System schnell wiederherzustellen, ohne dabei die Spuren der Angreifer:innen zu verwischen. „Wenn wir ein System zu schnell wiederaufsetzen, könnten wir versehentlich wichtige Spuren überschreiben oder löschen, was es uns unmöglich macht, den Angriff nachzuvollziehen“, gibt Thomas Kuhn zu bedenken.
Lesson Learned
Ist der Vorfall überstanden und abgearbeitet, erfolgt eine Art Manöverkritik in der Form einer sogenannten Lesson Learned. „Im besten Fall treffen sich alle Beteiligten, um zu analysieren, was gut und was schlecht gelaufen ist und welche Maßnahmen ergriffen werden können, um einen ähnlichen Vorfall in Zukunft zu verhindern.“ Die Geschehnisse werden schriftlich dokumentiert, um angemessene Transparenz für die Geschäftsführung, Aufsichtsbehörden, Versicherungen und Wirtschaftsprüfer zu schaffen. Diese möchten wissen, was genau passiert ist, wie das Unternehmen reagiert hat und welche Maßnahmen zur Verbesserung geplant sind.
IT-Sicherheitstraining
Wie bei allen Sicherheitsmaßnahmen üblich sollten in den Augen von Thomas Kuhn auch im Bereich der Informationssicherheit regelmäßige Sicherheitsübungen stattfinden. „Das Unternehmen sollte diesen Prozess mindestens einmal jährlich proben, um nicht nur das notwendige Know-how zu haben, sondern es auch in der Praxis anwenden zu können.“
TÜV NORD – Ihr Partner für berufliche Weiterbildungen
- Über 600 qualifizierte Referentinnen und Referenten geben ihr Know-how in über 460 verschiedenen Seminarthemen täglich an Sie weiter.
- Wir bieten Ihnen volle Flexibilität. Entscheiden Sie selbst, ob Sie an unserem OnlineCampus, einer Präsenzschulung oder an einer für Sie konzipierten Inhouse-Schulung teilnehmen möchten.
- Wir stehen für Qualität. Unsere Zertifikate und Bescheinigungen sind Qualitätssiegel für Sie und Ihr Unternehmen.
Unsere Seminar-Empfehlungen für Sie
NIS-2-Richtlinien für Manager und Geschäftsleitung
Die NIS-2-Richtlinie sieht erweiterte Pflichten für Unternehmen und deren Management in puncto Informationssicherheit vor. Informieren Sie sich rechtzeitig!
Erstellung von Sicherheitskonzepten nach BSI IT-Grundschutz
Zum Erstellen von Konzepten nach BSI IT-Grundschutz ist die sorgfältige Erarbeitung des Geltungsbereichs und der schutzbedürftigen Werte im Unternehmen von hoher Priorität.
Online-Schulung: Informationssicherheit / ISMS Wissensupdate
Ziel der Online-Schulung zur Informationssicherheit ist es, Personen, die in Unternehmen und Verwaltung mit Aufbau, Steuerung und Kontrolle der Informationssicherheitsprozesse im Rahmen eines Informationssicherheitsmanagementsystems (ISMS) betraut sind, einen aktuellen Überblick über geänderte und neue Anforderungen an die Informationssicherheit zu geben.
Die Zukunft der IT-Sicherheit in Zeiten der künstlichen Intelligenz
Künstliche Intelligenz (KI) wird auch im Bereich der Informationssicherheit eine immer wichtigere Rolle spielen. Thomas Kuhn beschreibt KI grundsätzlich als ein Instrument, das in der Lage ist, schnell Informationen aus verschiedensten Quellen, insbesondere aus dem Internet, zu verarbeiten. „Kriminelle können künstliche Intelligenz nutzen, um Schwachstellen zu identifizieren und die Handlungsfähigkeit eines Unternehmens zu gefährden. Diese Gruppen setzen solche Tools ein, um schneller auf einer oder mehreren Ebenen in Systeme einzudringen.“
Unternehmen müssen sich daher bereits jetzt und in Zukunft entsprechend rüsten, um sich effektiv zur Wehr setzen zu können, wie Thomas Kuhn erläutert. „Das bedeutet, dass sie selbst KI-Algorithmen einsetzen müssen, um Schwächen im eigenen System zu erkennen, bevor Angreifer:innen sie ausnutzen können. Schon heute wird mit effizienten Instrumenten und KI-Technologien dagegengehalten, um diese Angriffsvektoren zu identifizieren. Das ist keine Zukunftsmusik, sondern bereits Realität.“ Grund genug, sich heute schon mit dieser Technologie auseinanderzusetzen.
Ihre Ansprechpartnerin
Produktmanagerin Datenschutz und Informationsmanagement
II. Hagen 7, 45127 Essen
Tel.: +49 201 31955-41
abartsch@tuev-nord.de