IT-Security-Vorfälle – in zwei Schritten richtig reagieren
IT-Security-Vorfälle - in zwei Schritten richtig reagieren, so einfach geht's: Was tun Sie eigentlich, wenn Sie feststellen, dass Ihr Server mit Hochdruck Daten aus der Produktivdatenbank an ein Ihnen unbekanntes Ziel versendet? Oder wenn an einem schönen Montagmorgen wichtige Rechner aus Ihren Büros fehlen? Oder wenn ein automatisches Update dafür gesorgt hat, dass eine Ihrer Applikationen für den Kunden nicht mehr verfügbar ist?
Die ISO 27001 hat da zwar keine heilsbringende Lösung für Sie, aber einen sehr vielversprechenden Ansatz.
IT-Security-Vorfälle - in zwei Schritten richtig reagieren
Der Ansatz beruht im wesentlichen auf zwei aufeinanderfolgenden Schritten. Im ersten Schritt geht es darum, den Verdacht auf einen IT-Security-Zwischenfall überhaupt erstmal zu erkennen. Im zweiten Schritte dann darum, zügig zu reagieren.
Schritt 1: Bei Verdacht auf IT-Security-Vorfall entsprechend handeln
Haben Sie bei sich in der Organisation eine Definition, was für Sie überhaupt ein Verdacht auf einen IT-Security-Vorfall ist? Es hilft, im Vorfeld darüber zu sprechen, worauf alle Kollegen und Kolleginnen achten, um auf dieselbe Art und Weise Verdachtsmomente wahrzunehmen.
Vielfach gibt es hier in Organisationen keine verbindliche Regelung. Kollege Müller hält vielleicht die am Montag Morgen fehlenden Kundenlaptops noch nicht für schlimm. Während Kollegin Meier zu diesem Zeitpunkt schon ziemlich alarmiert ist und es unverständlich findet, dass Herr Müller noch so seelenruhig sein kann.
Situationen wie diese kann man über eine verbindliche, allen bekannte Definition gut in den Griff bekommen. Beispielsweise diese hier:
Ein Verdacht für einen IT-Security-Vorfall ist es, wenn es den Anschein erweckt, dass Informationen unserer Kunden in die falschen Hände gelangt sind, verfälscht worden sind oder gar nicht mehr vorhanden sind.
Einen solchen Verdacht bezeichnen wir als IT-Security-Ereignis.
Schritt 2: Die richtigen Leute informieren und handeln
Nun haben Sie also ein IT-Security-Ereignis (also einen Verdacht, dass es zu einem wirklichen IT-Security-Vorfall gekommen ist).
Was tun?
Das Wichtigstes ist jetzt: kühlen Kopf bewahren und wissen, wer dafür verantwortlich ist, sich darum zu kümmern.
Nichts ist unschöner, als wenn alle den Verdacht sehen, es aber niemand für seine Aufgabe hält, sich drum zu kümmern ("Ich hab noch was ganz wichtiges anderes zu tun"). Das ist wie bei der ohnmächtigen Person in der vollen S-Bahn. Verantwortungsdiffusion ist das größte Problem. Je mehr Leute verantwortlich sein könnten, desto weniger fühlen sich tatsächlich verantwortlich.
IT-Security-Vorfälle: Verantwortungsdiffusion verhindern
Unser Ratschlag: definieren Sie eine verantwortliche Person, die die Aufgabe hat zu entscheiden, ob sich der Verdacht ("Ereignis") erhärtet und es sich damit um einen IT-Security-Vorfall handelt. Jemand, der sich auskennt und für diesen Fall die Handlungsfreiheit hat, sich zu kümmern.
Diese Person sollte die notwendigen Kollegen und Kolleginnen hinzuziehen und den Vorfall behandeln. Worin diese Behandlung genau besteht, ist von Organisation zu Organisation natürlich unterschiedlich.
- Meistens ist das allererstes, die akute Situation erst einmal zu stoppen. Also bspw. den Server anzuhalten, wenn er mit Hochdruck vertrauliche Daten an eine unbekannte Stelle versendet. Oder die auf magische Weise heruntergefahrene Firewall erst einmal wieder zu starten.
- Als nächstes wird man sich sicherlich auf die Suche nach der Ursache machen, damit derselbe Vorfall nicht noch einmal passiert.
- Um später - wenn alles wieder "normal" läuft, alles aufarbeiten zu können, hilft auch ein wenig Dokumentation.
Die DSGVO fordert Vorfallmanagement sowieso
PS: Art. 33 DSGVO verpflichtet Sie übrigens sogar gesetzlich zu einem Management von IT-Security-Vorfällen, wenn personenbezogene Daten betroffen sind. Zu den Ähnlichkeiten zwischen IT-Security (nach ISO 27001) und der DSGVO haben wir deswegen hier noch einen Artikel.
Unser Tipp
Wenn Sie effektives IT-Security-Vorfallmanagement aufbauen möchten, hilft Ihnen die ISO 27001:
IT-Security-Vorfälle - in zwei Schritten richtig reagieren:
- Etablieren Sie eine allgemein gültige Definition, welche Verdachtsmomente Sie als Ereignisse behandeln möchten. D.h.: was muss passieren, damit Sie auf geplante und vorher geübte Weise reagieren? Seien Sie in der Definition nicht zu kleinteilig. Denn meistens kommt es anders als Sie sich vorher überlegt haben.
- Sorgen Sie dafür, dass es für jeden Vorfall einen Verantwortlichen gibt, der auch allen bekannt ist. Und überlegen Sie im Vorfeld grob, was dieser zu tun hat: Wenn soll er informieren? Wen einbeziehen? Wer soll bei Bedarf unterstützen?
Ein effektiv aufgesetztes und vorher abgesprochenes Reaktionsmuster ist aus unserer Erfahrung die halbe Miete. Es verhindert wirksam, dass Sie sich im Fall der Fälle erst einmal koordinieren müssen. Und dass dabei wertvolle Zeit verloren geht.
Möchten Sie ein IT-Security-Vorfall-Management aufbauen und haben noch ein paar Fragen? Dann vereinbaren Sie doch einfach einen kostenlosen Gesprächstermin mit uns! Oder Sie schreiben uns etwas gleich hier auf der Seite in den Chat (rechts unten).