Zum Inhalt springen Zur Navigation springen
Webinar Erste Hilfe im IT-Sicherheitsvorfall: Fragen und Antworten

Webinar Erste Hilfe im IT-Sicherheitsvorfall: Fragen und Antworten

Artikel von Adrian Klick-Strehl·29. Oktober 2021

Gestern fand unser Webinar zum Thema „ECSM: Erste Hilfe im IT-Sicherheitsvorfall“ statt. Vielen Dank nochmal an dieser Stelle für das enorme Interesse. Aufgrund der hohen Teilnehmerzahl gelang es uns leider nicht, alle Fragen im Webinar zu beantworten. Dieser Artikel behandelt daher noch einige offene Themen.

Rückblick auf das Webinar

Am 28.10.2021 hat die intersoft consulting services AG in ihrem Webinar einen Überblick über Erste Hilfe Maßnahmen beim IT-Sicherheitsvorfall gegeben. Während meine Kollegin, Svenja Mischur, sich nach ein paar einleitenden Worten zum Thema IT-Forensik der Prävention von Vorfällen widmete, erläuterte ich, Adrian Klick-Strehl, anhand von Beispielen wie sich ein Sicherheitsvorfall auf Unternehmen auswirken kann, welche Parteien beteiligt sind und welche Maßnahmen im ersten Moment zu ergreifen sind, um eine geordnete und sachgerechte Bearbeitung des Vorfalls zu ermöglichen.

Für die zahlreichen positiven Rückmeldungen zum Webinar möchten wir den Teilnehmern an dieser Stelle unseren Dank aussprechen.

Ausgesuchte Fragen der Webinar Teilnehmer

Bei uns sind sehr viele Fragen von Teilnehmern bereits während der Veranstaltung, aber auch im Anschluss daran eingegangen. Viele davon wurden auch gleich mehrfach gestellt. In Abstimmung mit meiner Kollegin Svenja Mischur versuche ich im Folgenden einige davon bestmöglich aus unserer Sicht zu beantworten.

Wie ist der Datenschutzbeauftragte im internen und externen Meldeprozess optimal einzubinden?

Das hängt natürlich in erster Linie von dem Unternehmen bzw. der Organisation ab. Generell sollte im Prozess zur Behandlung eines möglichen Sicherheitsvorfalls immer eine Meldung an den Informationssicherheitsbeauftragten und Datenschutzbeauftragten gehen. Der ISB definiert ggf., ob ein Sicherheitsvorfall vorliegt, der Datenschutzbeauftragte prüft, ob es sich dabei um einen meldepflichtigen Vorfall handelt. Generell läuft ab Kenntnisnahme eines Vorfalls die 72 Stunden-Frist. Es ist daher ratsam den Datenschutzbeauftragen so früh wie möglich in den Prozess einzubinden.

Liegt ein akuter Vorfall vor, welcher einer (längeren) Bearbeitung bedarf, sollte der Datenschutzbeauftragte bei allen Statusmeetings anwesend sein. Bei diesen sollte u.a. kommuniziert werden, ob es weitere betroffene Systeme und ggf. personenbezogene Daten gibt, sodass eine Meldung bei Bedarf zeitnah angepasst werden kann. Dies ermöglicht eine transparente Kommunikation mit der entsprechenden Aufsichtsbehörde.

Handelt es sich um einen Angriff, wenn mit den Daten eines Kunden eine nicht legitimierte Bestellung getätigt wurde, die Daten also durch Dritte genutzt wurden? Ist eine interne forensische Untersuchung sinnvoll und wie sähe eine geeignete Vorgehensweise aus?

Wenn Kundendaten missbraucht werden, sollte grundsätzlich immer geklärt werden, aus welcher Quelle die Daten stammen. Ist der Betroffene auf eine Phishing-Mail reingefallen oder gibt es tatsächlich ein Datenleck im eigenen Unternehmen? Wenn diese Frage nicht direkt geklärt werden kann, ist es ein gutes Vorgehen, zumindest die Zugriffe auf den Datenspeicher der Zugangsdaten der Kunden zu untersuchen. Gab es Unregelmäßigkeiten oder gar unberechtigte Zugriffe? Einen großen Upload der Daten o.Ä.? Gleichzeitig sollte der Betroffene gefragt werden, ob er in letzter Zeit Mails mit verdächtigem Inhalt erhielt oder er die gestohlenen Zugangsdaten für mehrere Dienste verwendet.

Kann der forensische Nachweis erbracht werden, dass es aller Wahrscheinlichkeit nach nicht zu einem Abfluss der Zugangsdaten auf der Seite des Unternehmens kam, kann in dieser Hinsicht nichts weiter unternommen werden. Der Fall sollte aber in jeden Fall bei der Polizei zur Anzeige gebracht werden.

Wie hängt die Incident Response (also die Reaktion) mit der Prävention (präventive Forensik) zusammen?

Kurz gesagt: Umso besser die Vorbereitung, desto reibungsloser erfolgt die Vorfallsbearbeitung (Incident Response). Oft stellen wir fest, dass in einem Ernstfall die Systeme, bzw. die Infrastruktur, nicht optimal auf forensische Untersuchungen vorbereitet ist. Logdateien werden oft zu wenig oder gar nicht geschrieben. Dies kann u.a. an Software liegen, der in der kostenlosen Version Features wie ein Audit-Modul fehlen. Hier setzt die präventive Forensik an.

Mit Hilfe dieser wird die IT-Infrastruktur im Hinblick auf mögliche Quellen für eine forensische Analyse betrachtet. Verbesserungen können direkt identifiziert und umgesetzt werden. Ein weiteres Thema ist oft auch, auf welche Art und Weise die Systeme für die Analyse bereitgestellt werden können. Was passiert z.B., wenn die zentrale Verwaltung der virtuellen Maschinen ausfällt? Wie kann man über Umwege an die virtuellen Datenträger kommen?

In der präventiven Forensik werden also Probleme betrachtet, die aus forensischer Sicht während eines Incident Response auftreten können. Das hilft beim Vorfall den Schaden durch Zeitersparnis zu mindern sowie ein genaues Bild des Vorfalls zu zeichnen.

Auf welcher (Rechts-?)Grundlage sind KRITIS-Unternehmen verpflichtet, ein Forensik-Team /-kompetenz vorzuhalten?

Die grundsätzlichen Anforderungen an KRITIS-Betreiber richten sich nach § 8a Abs. 1 BSIG. Dieses fordert erst einmal, dass 

„angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse [getroffen werden,] die für die Funktionsfähigkeit der von ihnen betriebenen Kritischen Infrastrukturen maßgeblich sind. Dabei soll der Stand der Technik eingehalten werden.“

Diese Formulierung lässt noch viel Raum für Interpretation, weshalb das BSI das Dokument „Konkretisierung der Anforderungen an die gemäß § 8a Absatz 1 BSIG umzusetzenden Maßnahmen“ bereitstellt. Hier finden sich unter „2.8 Vorfallserkennung und -bearbeitung“ die Maßnahmen 77-80. Diese fordern zum einen organisatorische Maßnahme wie das

„ein Team zur Behandlung von Informationssicherheitsvorfällen eingerichtet [wird], das zur koordinierten Lösung von konkreten Sicherheitsvorfällen beiträgt.“

Zur Beantwortung der konkreten Frage schauen wir uns Maßnahme Nr. 78 an.

„Bearbeitung von Sicherheitsvorfällen

Ereignisse, die einen Sicherheitsvorfall darstellen könnten, werden durch qualifiziertes Personal des KRITIS-Betreibers oder in Verbindung mit externen Sicherheitsdienstleistern klassifiziert, priorisiert und einer Ursachenanalyse unterzogen.“

Zur Bearbeitung eines Sicherheitsvorfalls und der Ursachenanalyse soll also geschultes Personal eingesetzt werden. Aus dieser Formulierung wird indirekt deutlich, dass das BSI eine forensische Analyse als Maßnahme zur Erfüllung der gesetzlichen Pflichten vorsieht. Wie zu sehen ist, geht daraus keine direkte Verpflichtung hervor, sich solch eine Kompetenz vertraglich zu sichern. Allerdings sollte hier bedacht werden, dass es durchaus problematisch werden kann, bei einem akuten Sicherheitsvorfall zeitnah IT-Forensiker zu bekommen, gerade bei Vorfällen mit vielen, potentiell Betroffenen wie etwa den Hafnium-Angriffen auf Microsoft Exchange Server Anfang des Jahres. Es kann daher sinnvoll sein, vorher eine vertragliche Basis z.B. mit Reaktionszeiten zu vereinbaren.

Weiterhin gilt aber die Verpflichtung zu angemessen organisatorischen Maßnahmen zum Erhalt der Funktionsfähigkeit, weshalb man durchaus darüber reden sollte, dass solche Verträge geschlossen werden müssen, um die Ausfallzeit zu minimieren. Dieses Thema sollte nicht zuletzt auch im Bereich „2.4 Continuity Management“ aufgegriffen werden.

Hierzu noch ein weiterer Hinweis auf die kommende Änderung des § 8a BSI-Gesetz (durch das IT-Sicherheitsgesetz 2.0):

1 a) Die Verpflichtung nach Absatz 1 Satz 1, angemessene organisatorische und technische Vorkehrungen zu treffen, umfasst ab dem 1. Mai 2023 auch den Einsatz von Systemen zur Angriffserkennung. Die eingesetzten Systeme zur Angriffserkennung müssen geeignete Parameter und Merkmale aus dem laufenden Betrieb kontinuierlich und automatisch erfassen und auswerten.

In der Regel reicht es nicht Tools einfach einzukaufen, sondern es sind auch geeignete IT-Security-Analysten oder IT-Forensiker zu beschäftigen, welche mit den Ergebnissen des Tools eine sachgerechte Auswertung durchführen können.

Wie der Länge der Antwort zu entnehmen ist, ist dies letztendlich kein triviales Thema, welches aus vielen Blickwinkeln betrachtet werden muss.

Was muss bzw. sollte ein Rahmenvertrag mit einem Forensik-Dienstleister enthalten?

Wie bereits im Webinar erläutert, handelt es sich hier in erster Linie um individuelle Verträge zwischen Kunde und Dienstleister. Elementare Punkte sind u.a. die vereinbarten Erreichbarkeiten sowie Reaktionszeiten. Den Schutz- bzw. Reaktionsbedarf muss jedes Unternehmen für sich selbst ermitteln. Reicht eine 9-17 Uhr Erreichbarkeit zwischen Montag und Freitag oder gibt es hochkritische Bereiche, weshalb eine 24 Stunden Betreuung sieben Tage die Woche notwendig ist?

Es ist ratsam, dass ein Vertrag einen Kennenlerntermin der IT-Infrastruktur des Kunden enthält. Dies sorgt für eine bessere Betreuung bei einer Vorfallsmeldung sowie eine effizientere Reaktion im Falle des Falles.

Zuletzt ist eine IT-Infrastruktur kein starres Gerüst, sondern eher mit einem lebenden Organismus vergleichbar. Administratoren sollten bei der Implementierung neuer Systeme dahingehend geschult sein, auch forensische Aspekte zu betrachten, um eine lückenlose Spurendichte gewährleisten zu können. Solche Trainings können ebenfalls Bestandteil eines Rahmenvertrages sein.

Der richtige Umgang mit IT-Sicherheitsvorfällen ist nicht trivial

Die hier dargestellten Fragen sind nur einige von vielen, die uns während des Webinars erreicht haben. Viele Antworten hängen zudem von den individuellen Geschäftsprozessen, der IT-Landschaft, der Implementierung und den eigenen Ressourcen ab. Weiterhin ist zu berücksichtigen, dass es eine Vielzahl von verschiedenen Szenarien gibt, welche im Vorweg berücksichtigt werden sollten. Eine gute Notfallvorsorge bzw. entsprechende Notfallpläne sind eine gute Grundlage. Die definierten Prozesse und Schritte sollten aber auch regelmäßig mit allen Beteiligten geübt und optimiert werden.

Idealerweise kann dann, wenn es zu einem Vorfall kommt, dieser mit einer gewissen Routine bearbeitet werden. Letztendlich sorgen eine gute Vorbereitung und die Durchführung von präventiven Maßnahmen für eine schnellere Bearbeitung des Vorfalls und können so Zeit und Geld sparen.

Ich hätte da noch eine Frage…

Sprechen Sie uns gerne an, sollten noch Fragen offen sein. Für eine weiterführende individuelle Beratung in diesem Themenumfeld steht Ihnen unser Vertriebsteam unter sales@intersoft-consulting.de sehr gerne zur Verfügung.

Mehr zum Thema
Informieren Sie sich über unsere praxisnahen Webinare
  • »Microsoft 365 sicher gestalten«
  • »Informationspflichten nach DSGVO«
  • »Auftragsverarbeitung in der Praxis«
  • »DSGVO-konformes Löschen«
  • »IT-Notfall Ransomware«
  • »Bewerber- und Beschäftigtendatenschutz«
Webinare entdecken
Mit dem Code „Webinar2024B“ erhalten Sie 10% Rabatt, gültig bis zum 30.06.2024.
Beitrag kommentieren
Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.
Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.