Was bei einem IT-Sicherheitsvorfall zu tun ist

Sicherheit am Arbeitsplatz – die IT-Notfallkarte

Bei der Abwehr von Cyberangriffen spielt die Belegschaft eine wichtige Rolle, ist sie bei guter Schulung und ausgeprägtem Sicherheitsbewusstsein doch eine entscheidende Verteidigungslinie neben allen technischen Maßnahmen. Und was für die Abwehr und Risikominimierung gilt, trifft auch auf die Vorfallreaktion zu. Je nach Art des Angriffes ist es auch da von entscheidender Bedeutung sein, dass der einzelne Anwender richtig und rechtzeitig reagiert.

Das BSI bietet hierzu als unterstützendes Werkezeugt die „IT-Notfallkarte“ an. Auf dieser finden die Mitarbeiter Hinweise, wen sie im Falle eines Falles benachrichtigen können, welche Fragen im Zusammenhang des Vorfalls wichtig sind und die empfohlenen Verhaltensweisen. Diese Notfallkarte sollte gut sichtbar für jeden Mitarbeiter sein.

Auf der Notfallkarte steht die Anmerkung „Lieber einmal mehr als einmal zu wenig anrufen!“. Dies ist ein wichtiger Punkt, denn es erfordert, dass eine entsprechende Sicherheitskultur im Unternehmen etabliert ist. Es muss positiv besetzt sein, etwas bei Verdacht zu melden. Diese Verhaltensweisen kann man seitens des Unternehmens unterstützen.

Die IT-Notfallkarte kann beim BSI im A4-Format heruntergeladen werden. Dort findet sich auch eine Version, in die Unternehmen ihr eigenes Logo einfügen können. Zudem ist die IT-Notfallkarte in verschiedenen Sprachen verfügbar.

Checkliste Organisatorisches und Technik

Ein entscheidender Faktor bei einem Sicherheitsvorfall ist die Kommunikation. Wer weiß Bescheid, wer muss Bescheid wissen und wer wird informiert? Fragen wie diese müssen geklärt sein. Ebenso wie die Verteilung der Rollen und wer für welche Entscheidungen zuständig ist. Informationen dazu binden sich beim BSI in der Checkliste Organisatorisches. An dieser Stelle sollte auch bereits geklärt sein, welche Meldepflichten an welche Behörden und Institutionen bestehen (siehe auch DSGVO: Die Meldepflichten bei Datenpannen richtig einhalten). Nicht alles muss gemeldet werden, es besteht aber auch dann die Möglichkeit, Sicherheitsvorfälle dem BSI mitzuteilen. Diese Daten werden verwendet, um ein Lagebild zu erstellen. Diese Meldung kann auch anonym erfolgen. Wie das funktioniert, wird hier beschrieben.

Wie mit potenziell infizierten oder kompromittierten Systemen umgegangen wird, ist von wesentlicher Bedeutung für den weiteren Verlauf des Sicherheitsvorfalls. Können Sie die Angreifer seitwärts bewegen und stoßen auf Systeme mit erhöhten Benutzerrechten, kann das verheerende Folgen haben. Das BSI fasst in der Checkliste Technik wichtige Maßnahmen und Verhaltensweisen zusammen.

Ransomware- und APT-Angriffe

Ransomware gehört nach wie vor zu den größten Bedrohungen für Unternehmen. Ein entsprechend erfolgreicher Angriff kann bis zu einer existenzbedrohenden Situation führen. Für den Fall eines entsprechenden Angriffs hat das BSI für Admins und IT-Sicherheitsverantwortliche das Dokument „Erste Hilfe bei einem schweren IT-Sicherheitsvorfall“ zusammengestellt.

Bei Advanced Persistent Threats (APT) geht es Angreifern häufig darum, sich dauerhaft Zugriff zur IT-Umgebung oder des Netzwerks des Opfers zu verschaffen, sich dort seitwärts zu bewegen und Informationen zu sammeln. Hier geht es häufig nicht darum, den Geschäftsbetrieb zu stören, sondern an wertvolle Informationen und geistiges Eigentum zu gelangen. Längst werden dabei nicht nur große Unternehmen angegriffen. Die Angriffe sind meist sehr komplex und wenn sie denn entdeckt werden, ist externes Know-How meist hilfreich. Beim BSI findet sich eine Liste der qualifizierten APT-Response-Dienstleister.

Hilfestellung bei DDoS-Angriffen

Bei einem DDoS-Angriff (Distributed Denial of Service) sind ein oder mehrere Dienste des Unternehmens nicht mehr oder nicht ausreichend erreichbar und damit funktionsfähig. Üblicherweise wird dies durch Überlastung der Dienste – etwa durch Anfragen – herbeigeführt. Bei einem akuten Vorfall kann die Einbindung entsprechender externer Experten sinnvoll sein. Bei der Allianz für Cybersicherheit beziehungsweise dem BSI findet sich eine Übersichtsliste der qualifizierten DDoS-Migitation-Dienstleister.

Hilfe für kleine und mittlere Unternehmen

Kleine und mittlere Unternehmen verfügen oft nicht über die Ressourcen und auch das Know-how, um bei gezielten Angriffen richtig zu reagieren. Das BSI hat für Admins in kleinen und mittleren Unternehmen die Top 12 Maßnahmen bei Cyberangriffen zusammengestellt, die sich als PDF herunterladen lassen. Mit den Maßnahmenkatalog zum Notfallmanagement richtet sich das BSI an Geschäftsführer und IT-Verantwortliche in KMUs.

Mit dem Cyber-Sicherheitsnetzwerk soll eine dezentrale Struktur aufgebaut werden, über die kleine und mittlere Unternehmen wie auch Verbraucher im Falle eines Falles Unterstützung erhalten können. Bei diesem Netzwerk handelt es sich um einen freiwilligen Zusammenschluss von qualifizierten Experten zur Vorfallbearbeitung. Auf der Website findet sich eine kostenlose Hotline, zudem gibt es Möglichkeiten nach Digitalen Ersthelfern und Vorfallexperten zu suchen

Kostenloses E-Handbook Incident Response- auf Sicherheitsvorfälle reagieren

Wie Unternehmen sich auf die Reaktion bei Sicherheitsvorfällen gut vorbereiten können, haben wir zudem in dem kostenlosen E-Handbook „Incident Response – auf Sicherheitsvorfälle richtig reagieren“ mit Ratgebern zum Thema zusammengefasst.