Anzeige

Cyber Security

Sicherheitsvorfälle können schwerwiegende Auswirkungen auf Unternehmen haben und hohe organisatorische und finanzielle Schäden verursachen. Um die Auswirkung zu minimieren, sind gute Prozesse und Verfahren zur schnellen und effizienten Behandlung zwingend notwendig.

Die Ursachen für Sicherheitsvorfälle sind zu einem hohen Anteil menschliche Fehler. Nur durch eine sehr gute Sicherheits- und offene Fehlerkultur im Unternehmen können implementierte Verfahren und Prozesse auch gelebt werden. Grundsätzlich kann der korrekte Umgang in 3 Bereiche gegliedert werden:

  • Monitoring von Informationssicherheitsereignissen
  • Sammeln von Beweismaterial
  • Reaktion auf Informationssicherheitsvorfälle.

Das BSI (Bundesamt für Sicherheit in der Informationstechnik) und die ISO 27000er Serie geben sehr gute Vorgaben zu dem richtigen Umgang mit IT-Sicherheitsvorfällen, und ein solches Rahmenwerk sollte je nach Unternehmensgröße genutzt werden.

Unterschied zwischen Ereignis und Vorfall

Um ein Informationssicherheitsereignis handelt es sich immer dann, wenn bei einem System, Service oder Netzwerk ein Ereignis ermittelt worden ist, dass auf eine mögliche Verletzung der Sicherheitsrichtlinien hinweist bzw. auf einen bislang nicht bekannten Umstand, der sicherheitsrelevant sein könnte. Es kann also bei einem Ereignis noch nicht über Auswirkungen oder die genaue Gefährdungslage berichtet werden. Bei einem Vorfall wiederum handelt es sich um eingetretene Ereignisse, bei denen höchstwahrscheinlich der Geschäftsbetrieb gefährdet worden sowie die IT-Sicherheit bedroht ist. Somit ist einer der Hauptbestandteile des richtigen Umgangs das korrekte Monitoring und Analysieren von Ereignissen wie folgende Grafik zeigt:

Reduzierung von Informationssicherheitsvorfällen

Anzahl und Auswirkung von Informationssicherheitsvorfällen werden maßgeblich durch die Sicherheitskultur im Unternehmen beeinflusst. Es sollte im Unternehmen eine klare Struktur zur Vorgehensweise geben, die jede beteiligte Person verinnerlicht hat. Dies schafft Sicherheit. Ist der Ablauf klar, resultiert daraus eine geringere Fehlerquote, und Aufgaben und Kommunikationswege können effizienter abgearbeitet werden. Weiterhin ist eine klare Trennung zwischen Ereignissen und Vorfällen notwendig, um eine sinnvolle Priorisierung zu ermöglichen. Darüber hinaus sollten Fehler offen kommuniziert werden dürfen, damit Ereignisse nicht verschwiegen werden und so der Faktor Zeit für die darauffolgenden Reaktionen und Gegenmaßnahmen genutzt werden kann.  

Advanced Persistent Threats (APT) – Zielgerichtete Cyberangriffe

Bei APTs handelt es sich um zielgerichtete Angriffe auf ausgewählte Personen, Unternehmen oder Institutionen. Dabei wird sich ein dauerhafter Zugriff zu einem Netz verschafft und dadurch die Ausbreitung auf weitere IT-Systeme angestrebt. Das Profil der Angreifenden zeichnet sich durch eine hohe Motivation und sehr hohen Ressourceneinsatz aus. Zumeist stecken kriminelle Organisationen hinter diesen mit schwerwiegenden Folgen einhergehenden Attacken. 

Um die Auswirkungen solcher Vorfälle bestmöglich zu bereinigen, sind eine vorgefertigte Struktur und Ablaufpläne vonnöten. Zunächst sollten betroffene Systeme abgeschaltet oder isoliert werden, um die Ausbreitung zu verringern. Anschließend sollte nichts überstürzt werden und die betroffene IT-Umgebung kann planmäßig bereinigt werden. Wenn alle Schritte absolviert worden sind, kann nach Bereinigung die Umgebung wieder in den produktiven Zustand überführt werden. 

Stellenwert der IT-Forensik für Sicherheitsvorfälle

Nehmen wir an, unser Arbeitsplatzrechner ist durch einen Angreifenden kompromittiert worden und es wurde Schadcode ausgeführt, der weitere IT-Systeme befallen soll. Nun kann das befallene System, bevor weitere Systeme infiltriert worden sind, identifiziert und abgeschaltet werden. Zusätzlich wichtig ist allerdings die forensische Analyse des Systems, um vor weiteren ähnlichen Vorfällen gewappnet zu sein, und die Auswirkungen des Vorfalls einzudämmen. Dabei können sowohl externe Expert/innen zurate gezogen oder intern Teams aufgebaut werden. 

Bei der Behandlung von Sicherheitsvorfällen durch Forensik-Teams wird zuerst das Augenmerk darauf gelegt, den Angreifenden aus dem System auszusperren. Im Anschluss wird analysiert und die wichtigsten Fragen geklärt:

  • Durch welche Umstände konnte das System kompromittiert werden?
  • Welche Sicherheitslücken wurden genutzt?
  • Wann ist der Angriff passiert und wie lange läuft er schon?

Wenn alle Fragen geklärt sind, können Maßnahmen durchgeführt und somit die Einfallstore geschlossen werden. 

Incident Response Management im Home-Office

Durch die steigende Anzahl von Heimarbeitsplätzen und den schnellen Wandel durch die Corona-Pandemie herrschte bei vielen Angestellten oft Unsicherheit. Wie in vorherigen Abschnitten bereits erklärt, ist Unsicherheit einer der größten Faktoren für Informationssicherheitsvorfälle und begünstigt schwerwiegende Auswirkungen. Aus diesem Grund müssen Monitoring-Maßnahmen gerade im Home-Office weiter ausgebaut werden und Zugriffe auf Firmennetzwerke eindeutig zuordenbar sein. Nur so kann die exponentiell gewachsene Angriffsfläche kompensiert werden.

Ein wichtiger Punkt ist ein sehr gut strukturierter und einfach zugänglicher Meldeprozess für Informationssicherheitsereignisse durch Angestellte. Meldeketten und Ansprechpersonen sollten regelmäßig kommuniziert werden. Weiterhin sind Awareness-Maßnahmen notwendig, um die Bedrohungen immer wieder präsent zu machen und Abläufe zu trainieren. Nur dann kann die Fehlerquote reduziert und Selbstbewusstsein im Umgang mit Informationssicherheitsvorfällen und Ereignissen geschaffen werden. 

Hier können Sie Teil 1 lesen:

IT-Sicherheit beim mobilen Arbeiten

Teil 2

E-Mail-Sicherheit im Home-Office

Teil 3

Social Engineering: Wie können Unternehmen sich schützen?

Hannes Hartung, Geschäftsführer
Hannes Hartung
Geschäftsführer, Increase Your Skills (IYS)

Artikel zu diesem Thema

Ransomware
Nov 17, 2020

Ransomware-Attacke: Deutsche Unternehmen zahlen öfter Lösegeld

CrowdStrike hat heute seine weltweite Umfrage zur Cybersicherheit veröffentlicht, aus der…
Hacker Weihnachten
Nov 17, 2020

Onlinekäufe zur Weihnachtszeit sind ein Paradies für Cyber-Kriminelle

Der Sicherheitsanbieter McAfee Corp. hat in einer neuen Studie herausgefunden, dass die…
IoT
Okt 12, 2020

Anstieg an Endpunkt- und IoT-Sicherheitsvorfällen

Die anhaltende globale Pandemie, die zu einem massiven Anstieg der Telearbeit und einer…

Weitere Artikel

Spyware

Pegasus-Projekt: Wie kann man sich gegen die Spyware schützen?

Hunderte Journalist:innen und Oppositionelle sind Opfer der israelischen Spyware Pegasus geworden. Die Software kann unbemerkt auf die Smartphones der Zielpersonen installiert werden – mit verheerenden Folgen.
Cyber Security

Cybersecurity aktuell: Was wir heute von gestern für morgen lernen können

Der enorme Anstieg von Ransomware-Angriffen zeigt einmal mehr, wie verwundbar noch viele IT-Systeme in Unternehmen sind. Bis heute treffen zahlreiche Firmen nicht die richtigen Maßnahmen, um sich vor Cyberkriminellen effektiv zu schützen.
IT Sicherheit

Schwerwiegende Sicherheitslücke in Druckern von HP, Xerox und Samsung

Die Sicherheitsforscher von SentinelLabs, der Research-Einheit von SentinelOne, haben einen seit sechzehn Jahren bestehenden schwerwiegenden Fehler in HP-, Xerox- und Samsung-Druckertreibern entdeckt und dazu einen Forschungsbericht veröffentlicht.
Cybersecurity

So gestaltet sich mehrstufiger IT-Schutz

Arbeitet man in einem kleinen Unternehmen wird eine wichtige Sache oft vergessen: Computersicherheit. Da der Fokus mehr darauf liegt, Aufträge zu bekommen und zu erfüllen, rückt das Thema IT-Schutz eher in den Hintergrund.
Insider-Threats

Insider-Threats durch übermäßige Berechtigungen

Das Knacken des Codes, das Besiegen eines Endgegners oder das Entdecken eines verlorenen Schlüssels – all das sind Möglichkeiten, in Videospielen aufzusteigen.

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.