Erste Hilfe nach einem IT-Sicherheitsvorfall

Wie bei der Ersten Hilfe zur Rettung von Menschen, ist es auch hier wichtig, dass einfache Regeln aufgestellt werden. Sie sollten für jeden Anwender nachvollziehbar sein. Die ersten Auswirkungen eines Cyber-Angriffs bemerken in der Regel Mitarbeiter, die nicht über vertiefte PC-Kenntnisse verfügen. Ziehen diese die richtigen Schlüsse und treffen wichtige Sofortmaßnahmen, kann wertvolle Zeit gewonnen werden. Daher sollte das Formulieren von Regeln für einen IT-Sicherheitsvorfall in Unternehmen selbstverständlich sein. Ebenso die regelmäßige Unterweisung aller Angestellten.

Was ist ein IT-Sicherheitsvorfall?

Es gibt zahlreiche Definitionen für den IT-Sicherheitsvorfall. Die vom Bundesamt für Sicherheit in der Informationstechnik (BSI) in ihrem Baustein zum Thema Wirtschafsgrundschutz verwendete Umschreibung lautet: "Als Sicherheitsvorfall wird eine bestehende oder drohende Abweichung vom definierten Sicherheitsniveau der Werte der Institution bezeichnet, die durch menschliches Fehlverhalten, technische Fehler, durch höhere Gewalt oder durch vorsätzliches Handeln herbeigeführt wurde."

Diese Definition ist zugegebenermaßen sehr weitreichend. So könnte eine bekannte und noch nicht gefixte Sicherheitslücke im Firmenserver bereits hiervon umfasst sein. Andererseits muss sie auf den konkreten Einzelfall bezogen werden. Befinden sich auf einem Server personenbezogene Daten von Kunden oder Mitarbeitern, sollte dieser mit der bekannten Schwachstelle tatsächlich besser temporär vom Internet getrennt werden. Aber auch von angreifbaren Einzelplatz-PCs geht ein Sicherheitsrisiko aus. Dies ist insbesondere dann ein gravierendes Problem, wenn der PC zu Steuerung sensibler Anlagen dient, beispielsweise in der Produktion eines Unternehmens oder als Schnittstelle zu medizinischen Geräten. Übrigens muss auch der Verlust von Datenträgern auf entsprechende Relevanz geprüft werden. Enthalten diese unverschlüsselte Firmendaten, sind möglicherweise Datenschutz-Bestimmungen tangiert.

Welche Arten von Sicherheitsvorfällen gibt es?

In erster Linie sind natürlich schädigende Ereignisse umfasst, die auf Cyberkriminalität zurückzuführen sind. Doch auch versehentliches Fehlverhalten eigener Mitarbeiter oder höhere Gewalt sind denkbare Auslöser für einen IT-Sicherheitsvorfall. Eine grobe Kategorisierung kann wie folgt aussehen:

- Sabotage: Hiermit ist die absichtliche Störung von IT-Anlagen gemeint. Diese kann unterschiedlich umgesetzt werden und verschiedene Ziele verfolgen. Ein bekanntes Beispiel ist die sogenannte Distributed-Denial-of-Service-Attacke (DDoS), die einen Server durch Überlastung mit Anfragen außer Betrieb setzt. Zielrichtung ist häufig eine Erpressung des betroffenen Unternehmens. Es können auch politische oder sonstige wirtschaftliche Interessen hinter einem solchen Angriff stecken. Letztlich fällt jeder unspezifische Virenfund im Firmennetzwerk in diese Kategorie.

- Datenveränderung: Gemeint ist damit das absichtliche Verändern oder Unbrauchbarmachen von Dateien oder Inhalten. Gängigste Variante ist der Einsatz von Verschlüsselungstrojanern in Firmennetzwerken. Nach der Verschlüsselung wichtiger Dateien bieten Kriminelle die Entschlüsselung gegen hohe Lösegelder an. Zum Teil werden derartige Angriffe kombiniert mit dem Diebstahl von Daten. Dies dient der zusätzlichen Drohung mit der Veröffentlichung, sofern die Verantwortlichen des Unternehmens eine Zahlung verweigern.

- Datendiebstahl: Dieser umfasst den Abfluss von internen Daten durch Schadsoftware, den Diebstahl von Datenträgern oder unberechtigten Zugriff von Mitarbeitern. Daraus folgt, dass unautorisierte Aufrufe von sensiblen Dokumenten durch eigene Angestellte unter Umständen als Sicherheitsvorfall zu werten sind. Mögliche Zielrichtungen sind Wirtschaftsspionage oder Erpressungen. Auch eine Veröffentlichung in Hackerkreisen, um daraus eine Art Popularität zu generieren, war in der Vergangenheit schon zu beobachten.

- Verlust: Insbesondere mobile Geräte wie Laptops, Smartphones und externe Datenträger können verloren werden oder durch Diebstahl abhandenkommen. Dieben geht es zwar häufig eher um die Hardware. Dennoch muss geprüft werden, ob sensible Daten darauf gespeichert waren und ob diese im Vorfeld ausreichend geschützt wurden, beispielsweise durch Verschlüsselung. Ebenfalls sicherheitskritisch sind entsprechend Einbrüche in Firmengebäude, bei denen Hardware entwendet wurde.

- Äußere Einflüsse: Naturkatastrophen oder Schadensfälle wie Feuer und Wassereinbruch können die Sicherheit beeinträchtigen. Zum Beispiel dann, wenn hierdurch Überwachungsanlagen außer Funktion gesetzt wurden oder nicht autorisierte Personen Zugang zu sensiblen Bereichen erhalten. Besonders relevant ist dies für Unternehmen, die als kritische Infrastrukturen (KRITIS) eingestuft sind. Hierzu zählen etwa Energieversorger, Banken und medizinische Labore.

Für jedes Unternehmen ist es wichtig, im Vorfeld festzulegen, welche Ereignisse als IT-Sicherheitsvorfall einzustufen sind. Es muss für jeden Mitarbeiter klar erkennbar sein, bei welchen Vorfällen eine Meldepflicht besteht.

Was tun bei einem IT-Sicherheitsvorfall?

Das BSI bietet für Unternehmen konkrete Anleitungen für das richtige Verhalten nach einem IT-Sicherheitsvorfall. Diese enthalten Checklisten und auch Notfallkarten, die an Arbeitsplätzen hinterlegt werden können. Die Auswahl des Maßnahmenpakets hängt im Einzelfall von den Strukturen einer Institution ab. Enthalten sein sollten aber zumindest folgende Punkte:

1. Sofortmaßnahmen: Hektik und Panik sind keine guten Ratgeber. Darum gilt es zunächst, die Schadensausweitung zu verhindern und sofern möglich den aktuellen Status von Geräten zu wahren. Bei einem Geräteverlust bleibt also nur die planvolle Absuche der Umgebung. Besteht hingegen der Verdacht auf einen Virenbefall, müssen umgehend alle Netzverbindungen getrennt werden. Für das weitere Vorgehen ist im Vorfeld eine Priorisierung zu treffen. Sollen vorrangig weitere Schäden verhindert werden, müssen Geräte ausgeschaltet werden. Hierdurch kann eine spätere Spurensuche allerdings erschwert oder unmöglich gemacht werden. Ist eine entsprechende Aufarbeitung notwendig, sollten vor dem Herunterfahren zumindest durch die IT-Abteilung Arbeitsspeicher und gegebenenfalls Logdateien gesichert werden.

2. Meldepflichten: Diese beginnen mit der Meldung an Vorgesetzte in einer vorher bestimmten Reihenfolge. Darüber hinaus müssen Unternehmen an Meldepflichten nach der Datenschutzgrundverordnung (DSGVO) an die zuständige Aufsichtsbehörde (meist Landesdatenschutzbeauftragte) denken. Zudem sollte das Einschalten der Strafverfolgungsbehörden geprüft werden. Besteht eine Cyber-Versicherung, muss diese zeitnah eine Nachricht erhalten.

3. Krisenstab: Möglichst rasch sollte sich ein Krisenstab formieren. Wenn nötig müssen Erreichbarkeiten für die nächste Stunden und Tage ausgetauscht werden. Zudem bietet es sich an, das weitere Vorgehen in diesem Kreis zu besprechen und schriftlich zu fixieren.

4. IT-Forensik: Bei einem entsprechenden Umfang des Schadens kann die forensische Spurensuche durch externe Dienstleister oder Strafverfolgungsbehörden sinnvoll sein. Diese muss schon deswegen zeitnah erfolgen, da Systeme meist erst nach dem Abschluss forensischer Maßnahmen wiederhergestellt werden können. Sollte das Hinzuziehen externer Forensiker für ein Unternehmen nicht verhältnismäßig sein, so ist es durchaus möglich, manche Aufgaben durch die eigene IT-Abteilung durchführen zu lassen. Hierzu zählt das Anfertigen von physikalischen Festplattenabbildern und das Erstellen von Arbeitsspeicher-Dumps. Nützlich sind zudem Logdateien aller Art. Für eine spätere Verwertung ist allerdings eine Dokumentation essenziell. Es muss immer nachvollziehbar sein, durch wen welche Maßnahmen getroffen wurden und mit welchen Mitteln dies geschehen ist.

5. Recovery: Für das Unternehmen ist die Wiederherstellung von Systemen in der Regel die dringendste Aufgabe. Dabei muss unbedingt planvoll vorgegangen werden, damit nicht versehentlich neu aufgesetzte Rechner in Kontakt mit infizierten Geräten kommen. Sinnvoll ist daher das parallele Aufbauen eines neuen Netzwerks mit ausschließlich "sauberen", also zuvor sicher gelöschten und wiederhergestellten Rechnern. Kritisch ist das Herauskopieren von Dateien infizierter Rechner. Dies sollte möglichst nur nach Rücksprache mit Experten und über dafür eingerichtete Schleusen-PCs erfolgen.

6. Öffentlichkeitsarbeit: Abgesehen von den gesetzlichen Meldepflichten ist es wichtig, die Außendarstellung eines Sicherheitsvorfalls einheitlich zu gestalten. Kunden erfahren möglicherweise durch Nichtverfügbarkeit von Diensten ohnehin von dem Vorkommnis. Zudem müssen Betroffene nach dem Abfluss von personenbezogenen Daten benachrichtigt werden. Wenn man bedenkt, dass in der Vergangenheit etliche namhafte Unternehmen und Organisationen von Cyberangriffen betroffen waren, darunter Universitäten und ein IT-Fachverlag, ist Scham ohnehin nicht angebracht. Sofern irgendwie vertretbar, sollte ein Unternehmen daher möglichst transparent gegenüber der Öffentlichkeit mit einem IT-Sicherheitsvorfall umgehen. Dies gilt natürlich ebenso für die firmeninterne Kommunikation.

Vorsorge für den Ernstfall

So wie jedes Unternehmen mit eigenem Fuhrpark damit rechnen muss, dass es mal zu einem Verkehrsunfall mit einem der Fahrzeuge kommt, wird nahezu in jeder IT-Infrastruktur ein IT-Sicherheitsvorfall auftreten. Wenn im Ernstfall jeder weiß, was zu tun ist, muss dies nicht in einer Katastrophe enden. Dabei hilft ein durchdachtes Konzept. Die richtige Backup-Strategie kann derartige Situationen zusätzlich entschärfen. Ein weiteres gutes Mittel ist es, das eigene IT-Sicherheitskonzept regelmäßig durch einen Penetration-Test zu überprüfen.