Zum Inhalt springen Zur Navigation springen
IT-Sicherheitsvorfall: So reagieren Sie im Notfall richtig

IT-Sicherheitsvorfall: So reagieren Sie im Notfall richtig

Cyberkriminelle sind erfinderisch. Sie arbeiten ständig an neuen Methoden, um in den Besitz wertvoller Daten zu gelangen, die sie dann betrügerisch nutzen können. Daher ist es wichtig zu wissen, wie man IT-Sicherheitsvorfälle erkennt, darauf reagiert und sich dagegen wehrt. Dieser Artikel, der anlässlich des ECSM (Europäischen Monat der Cybersicherheit) verfasst wurde, gibt Ihnen einige praktische Tipps zu diesem Thema.

Was ist ein IT-Sicherheitsvorfall?

Bei einem IT-Sicherheitsvorfall handelt sich um ein Ereignis, das sich auf die Informationssicherheit (Kriterien der Verfügbarkeit, Integrität und Vertraulichkeit) negativ auswirkt oder mit hoher Wahrscheinlichkeit auswirken wird. Es kann sich auch um eine vorsätzliche böswillige Handlung, die Nichteinhaltung einer Regel der Sicherheitsrichtlinie einer Organisation oder allgemein um jede Art von Verletzung der Informationssicherheit handeln. Dies kann den reibungslosen Ablauf der Aktivitäten und Aufgaben einer Organisation stören, ihrem Image schaden und ein rechtliches Risiko für sie oder ihre Mitarbeiter darstellen.

Ein Sicherheitsvorfall kann in verschiedenen Kontexten und Situationen mehr oder weniger stark ins Gewicht fallen. Es gibt Vorfälle, die man unter den Begriff Störung subsumieren kann. Andere Vorfälle, die erheblichen Schaden anrichten können und zu deren Bewältigung externe Hilfe benötigt wird, sind IT-Sicherheitsnotfälle.

Beispiele für IT-Sicherheitsvorfälle

Im Folgenden stellen wir drei der häufig auftretende Sicherheitsvorfälle kurz vor. Ihre Zahl nimmt jährlich stetig zu. Jede Organisation wird daher früher oder später mit ihnen konfrontiert werden.

Erfolgreiche Phishing-Angriffe

Das Wort Phishing setzt sich aus den Wörtern „Password“ und „Fishing“ zusammen und bedeutet wörtlich übersetzt „nach Passwörtern fischen“. Es ist eine Art betrügerischer Aktivität von Cyberkriminellen, bei der getarnte E-Mails an Personen oder Organisationen gesendet werden. Diese sollen vorgaukeln, dass sie aus vertrauenswürdigen Quellen zu stammen. Diese E-Mails fordern den Leser meist auf, auf Links zu dubiosen Websites zu klicken oder sensible Informationen (Bankdaten, Passwörter für Konten oder Kreditkarteninformationen) preiszugeben.

Sie weisen in der Regel die folgenden gemeinsamen Merkmale auf, anhand derer Sie sie identifizieren können:

  • Diese E-Mails erwecken in Ihnen ein Gefühl der Dringlichkeit. Sie drängen Sie dazu, schnell zu handeln (z.B. auf einen Link zu klicken) damit Sie nicht Ihre Daten, Ihr Konto oder etwas anderes verlieren.
  • Die E-Mail-Adresse des Absenders ist in der Regel nicht die eines Mitarbeiters Ihrer Organisation oder einer anderen seriösen Institution, sondern eine gefälschte E-Mail-Adresse.
  • Die Website, auf der Sie aufgefordert werden, Ihre Daten einzugeben, ist nicht die Webseite Ihrer Organisation oder einer anderen seriösen Institution, sondern eine, die nachgeahmt und gefälscht wurde. Darüber hinaus verwenden diese Webseiten in der Regel nicht das Sicherheitsprotokoll https und deren URL unterscheidet sich von der der echten Website.

Wenn Sie sich nur eine Sache merken sollten, dann denken Sie daran, dass niemand Sie jemals bitten wird, Ihre persönlichen Zugangsdaten per E-Mail, Telefon oder über eine externe Website weiterzugeben. Im Zweifelsfall sollten Sie sich auf anderem Wege mit dem Service Desk Ihrer Organisation in Verbindung setzen, um sicherzugehen, dass die erhaltene Nachricht von einer sicheren Quelle stammt.

Erfolgreiche Ransomware Attacken

Ransomware ist eine bösartige Software, die den Zugriff auf einen Computer oder ein Mobiltelefon blockieren oder persönliche Daten verschlüsseln kann. Am häufigsten wird diese Art von Angriff durch Phishing verbreitet. Eine irreführende E-Mail wird an die Zielorganisation oder Person geschickt, die den Empfänger dazu verleitet, einen Anhang zu öffnen oder eine Datei herunterzuladen. Wenn der Betroffene in die Falle tappt und klickt, wird die Ransomware auf seinem Computer installiert und dringt in das Computernetzwerk des Opfers ein, um den Zugriff auf alle Computer und angeschlossenen Systeme zu sperren.

Diese Methode der Cyberkriminalität ermöglicht es den Angreifern vom Opfer, ein Lösegeld (Kryptowährungen, Millionen oder Milliarden Euro) zu verlangen, im Austausch für einen Entschlüsselungsschlüssel. Wenn das Opfer sich weigert, können die Angreifer damit drohen, kritische Informationen (persönliche Daten, vertrauliche Projekte, Quellcode usw.) zu veröffentlichen.

Würden Sie das Lösegeld bezahlen, wenn Sie von einem solchen Angriff betroffen sind? Dies ist eine schwierige Frage, die von Fall zu Fall unterschiedlich zu beantworten sein wird. Aber im Allgemeinen sollten Sie einige Punkte bedenken, bevor Sie eine endgültige Entscheidung treffen. Sind Sie zum Beispiel wirklich sicher, dass die Cyberkriminellen Ihnen den Zugang zu Ihren Daten wieder freigeben werden? Selbst wenn Sie im Besitz des Verschlüsselungsschlüssels sind, haben Sie genug Zeit, um ihn auf jedem korrumpierten Gerät zu verwenden? Sind Sie sicher, dass Sie Ihre Daten in dem Zustand wiederherstellen können, in dem sie sich kurz vor dem Angriff befanden? Ermutigen Sie die Cyberkriminellen nicht dazu, Sie in Zukunft nochmal anzugreifen, wenn Sie sie bezahlen? Diese Fragen können Ihnen helfen, eine angemessene Entscheidung zu treffen.

Informationsdiebstahl

Darunter fällt zum Beispiel der Verlust eines Laptops, eines USB-Sticks oder ein anderen IT-Equipment, auf dem vertrauliche Dokumente (Personenbezogene Daten, Zugangscodes, Unternehmensdaten, usw.) gespeichert waren.

Tipps, um Auswirkungen von IT-Sicherheitsvorfällen abzumildern

Vorbeugen ist besser als heilen. Es ist viel besser, sich auf einen Angriff vorzubereiten, als ihn zufällig erleben zu müssen.

Was Sie als Organisation tun können

  • Implementieren Sie ein ISMS (Information Security Management System), in dem Prozesse und Richtlinien festgelegt werden, um die Sicherheit der Unternehmensinformationen kontinuierlich zu erhöhen.
  • Ernennen Sie einen ISB (Informationssicherheitsbeauftragter), der sich mit den gängigen Sicherheitsfragen beschäftigt.
  • Machen Sie regelmäßig Pentests (Penetration Tests) oder Schwachstellenanalysen, um solche zu finden und sich auf Angriffe vorzubereiten.
  • Bauen Sie ein BCMS (Business Continuity Management System) auf, um Ihre kritischen Geschäftsprozesse zu schützen.
  • Die größte Schwachstelle ist der Mensch. Aus diesem Grund ist es sehr wichtig, die Mitarbeiter im Zusammenhang mit der Cybersicherheit zu schulen. Sie können ihnen z.B. über die spezifischen Risiken von E-Mails, Anhängen und URLs informieren und Phishing-Simulationen anbieten.
  • Datensicherung sind ebenfalls notwendig. Ein aktuelles Duplikat kritischer Informationen macht Sie weniger anfällig für Ransomware und ermöglicht es Ihnen, Ihre Arbeit schneller wieder aufzunehmen.
  • Vermeiden Sie es, bei Ihrer täglichen Arbeit „Administrator“-Konten zu verwenden, da diese mehr Rechte an den Systemen haben als „Benutzer“-Konten. Wenn sie angegriffen werden, können „Administrator“-Konten der Malware einen breiteren Zugang zu den Systemen des Unternehmens verschaffen.
  • Es ist auch wichtig, alle Ihre Systeme ständig zu aktualisieren.
  • Sie können auch eine Cybersicherheitsversicherung abschließen, um sich vor weiteren schwerwiegenden Finanziellen Schäden zu schützen.

Was Sie als Privatperson tun können

  • Nehmen Sie sich Zeit, um gründlich nachzudenken, bevor Sie auf einen Link klicken, Ihre persönlichen Daten in ein Formular eingeben oder unbekannte Anhänge öffnen.
  • Machen Sie ein Backup Ihrer Daten. Sie können z.B. einen USB-Stick, eine tragbare Festplatte oder einen seriösen Cloud-Anbieter Ihrer Wahl verwenden.
  • Führen Sie regelmäßige Updates Ihrer Systeme durch.
  • Ändern Sie Ihre Passwörter nach einer von Ihnen festgelegten Zeit und verwenden Sie unterschiedliche Passwörter für verschiedene Konten.
  • Wählen Sie starke Passwörter (mindestens 12 Zeichen, Groß- und Kleinbuchstaben, Zahlen, Sonderzeichen).
  • Seien Sie vorsichtig bei der Nutzung von öffentlichen Wi-Fis (offene Netzwerke).
  • Veröffentlichen Sie keine sehr persönlichen Informationen in sozialen Netzwerken, um soziale Engineering zu vermeiden.
  • Laden Sie Ihre Dokumente und Programme nur von sicheren Internetseiten und seriösen Organisationen herunter.

Wie soll man bei einem IT-Sicherheitsvorfall und Notfall reagieren?

Das Management von Sicherheitsvorfällen ist immer individuell und die Maßnahmen müssen an die Bedingungen der IT-Infrastruktur vor Ort, die Art des Angriffs und die Ziele der Organisation angepasst werden. Wenn Sie sich vor einem Angriff mit der Informationssicherheit befasst haben, haben Sie sicherlich Sicherheitsrichtlinien festgelegt, die als Impuls und Hilfe für die individuelle Bewältigung von Sicherheitsvorfällen dienen. Sie sollten in dem Fall Ihre Handbücher zur Hand nehmen und die von Ihnen definierten Verfahren zu befolgen, um Ihre Geschäftsprozesse und Ihre IT-Infrastruktur wiederherzustellen. Sie sollten auch die im Ihren Notfallhandbuch festgelegten Kommunikationsabläufe halten, um Reputationsschäden sowie Haftung gegenüber Dritten zu vermeiden.

Es ist jedoch auch in einer Notfallsituation wichtig, Ruhe zu bewahren, um die Situation nicht durch überstürztes und unüberlegtes Handeln zu verschlimmern. Wir haben in einer PDF-Datei 10 Verhaltensregeln zusammengefasst, die Sie im Falle eines Notfalls anwenden können.

Wenn Sie keinen Informationssicherheitsbeauftragten haben und sich nicht auf solche Fälle vorbereitet haben, brauchen Sie dringend externe Hilfe (je nach Fall technische Hilfe, rechtliche Beratung oder behördliche Unterstützung). Um in solchen Situationen zu helfen, hat das Bundesamt für Sicherheit in der Informationstechnologie mehrere Broschüren und Artikel herausgegeben, die konkret zeigen, was zu tun ist und wen man im Notfall anrufen kann. In dem Zusammenhang können wir den Artikel Ich habe einen IT-Sicherheitsvorfall was soll ich tun? sowie die folgenden Broschüren empfehlen:

Nach einem Vorfall ist es von größter Wichtigkeit, die Ursache des Sicherheitsvorfalls zu erforschen. Darüber hinaus sollte man drastische Maßnahmen ergreifen, damit ein solcher nicht wieder vorkommt.

Cybersicherheit: Treffen Sie eine bewusste Wahl

Im Alltag nutzen wir soziale Netzwerke, Suchmaschinen, verschicken E-Mails und tauschen Daten über Computer, Tablets oder Smartphones aus. Es ist notwendig, sich der Risiken bewusst zu sein, denen wir ausgesetzt sind, und konkrete Maßnahmen zu ergreifen, wie die, die in diesem Artikel vorgeschlagen wurden, um sich entsprechend vorzubereiten. Der Oktober, der Monat der Cybersicherheit in Europa, bietet jedem die Möglichkeit, sich gute Cybervorsätze zu setzen.

Informieren Sie sich über unsere praxisnahen Webinare
  • »Microsoft 365 sicher gestalten«
  • »Informationspflichten nach DSGVO«
  • »Auftragsverarbeitung in der Praxis«
  • »DSGVO-konformes Löschen«
  • »IT-Notfall Ransomware«
  • »Bewerber- und Beschäftigtendatenschutz«
Webinare entdecken
Mit dem Code „Webinar2024B“ erhalten Sie 10% Rabatt, gültig bis zum 31.12.2024.
Beitrag kommentieren
Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.
  • 2 Anmerkungen:
    * Vereinfacht soll ein BCMS sicherstellen, dass geschäftskritische Prozesse bei einer Krise im Unternehmen weiter (eingeschränkt) funktionieren. Hier ist wohl eher ein ITSCM gemeint, dass mit dem BCM verzahnt sein sollte.
    * Passwörter nach dem Muster >12 Zeichen, Groß- und Kleinbuchstaben, Zahlen, Sonderzeichen sind ok, entsprechen aber schon länger nicht den Empfehlungen von NIST oder BSI. Kurz gesagt: Länge ist wichtiger als Komplexität. Noch ein paar Google-Hilfen: 2FA, TOTP, FIDO, U2F

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.