Gehackt! Was nun?|Maßnahmen für den Ernstfall

LinkedInXingPocketWhatsAppFlipboard

Hacker-MaskeDatensicherheit ist in der öffentlichen Debatte präsenter denn je. Dennoch herrscht in vielen Unternehmen „digitale Sorglosigkeit“. Im Schnitt dauert es sieben Monate, bis ein Cyberangriff bemerkt wird. 

In dieser Zeit können Angreifer ungehindert großen Schaden anrichten. Dabei ist der Schutz vor Cyberangriffen nur ein Teil des Ganzen. TÜV SÜD bündelt Expertise aus IT-Security, dem Datenschutz und der Industrial IT.

Anzeige

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat im November 2014 seinen neuen Bericht zur Lage der IT-Sicherheit in Deutschland veröffentlicht. Darin wird deutlich, wie vielfältig und allgegenwärtig die Bedrohungen für Informations- und Kommunikationssysteme in Privathaushalten, Unternehmen oder Behörden sind. IT-Systeme werden immer komplexer. Die zunehmende Vernetzung unterschiedlicher Teilsysteme lässt an den Schnittstellen neue Angriffspunkte entstehen. Und auch Cloud-Services und die Nutzung privater Endgeräte – wie Smartphones – für berufliche Zwecke fordern die IT-Sicherheit immer neu heraus. Zugleich steigt die Qualität der Angriffe kontinuierlich.

Datenschutzindikator zeigt kaum Problembewusstsein

Dass das Problembewusstsein vielfach noch nicht ausgeprägt ist, zeigt der Datenschutzindikator, den TÜV SÜD gemeinsam mit der Ludwig-Maximilians-Universität München entwickelt hat. Er informiert über den Stand des Datenschutzes von Unternehmen. Auf die Frage, ob ein systematisches Vorgehen zum Umgang mit Datenschutzverletzungen in ihrem Unternehmen definiert ist, beantworteten 39 Prozent mit „trifft gar nicht zu“. Und nur 20 Prozent sind sich über das Vorhandensein eines systematischen Vorgehens im Falle von Datenschutzverletzungen sicher, die oft Folge von Hacking-Angriffen sein können.

„Diese Ergebnisse sind erschreckend, aber nicht überraschend. Auch unsere Prüferfahrungen zeigen, dass dem Datenschutz in der betrieblichen Praxis oft nicht genug Bedeutung zukommt“, sagt Rainer Seidlitz, Prokurist der TÜV SÜD Sec-IT GmbH. „Im Prinzip gibt es nur zwei Arten von Unternehmen. Die, die bereits gehackt wurden und diejenigen, die in absehbarer Zeit gehackt werden“.

Denn Virenscanner und Firewalls erkennen nur etwa 20 Prozent der Schadsoftware. Ein definiertes systematisches Vorgehen im Umgang mit Datenschutzverletzungen hilft dabei, die entsprechend notwendigen Maßnahmen unmittelbar in die Wege zu leiten.

Maßnahmen im Ernstfall:
Vier Handlungsschritte

Neben der Prävention ist es daher wichtig, dass Unternehmen sich auf den Ernstfall vorbereiten. Das bedeutet Strategien dafür zu entwickeln, was im Fall eines Angriffs zu tun ist. Die konkreten Maßnahmen hängen von der Art und den Umständen des Angriffs ab. Vier grundsätzliche Schritte lassen sich dabei festhalten:

1. Direkte Reaktion und Schadensbegrenzung

Ist ein Angriff erkannt, geht es vor allem darum, den möglichen Schaden zu begrenzen. Dazu müssen betroffene Systeme innerhalb von Stunden abgeschottet, Zugänge und Zugriffe gesperrt und Netze getrennt werden.Wichtig ist auch, dass Daten – wie Log-Dateien – gerichtsfest als Beweise gesichert werden.

2. Detaillierte Analyse des Vorfalls

In einem zweiten Schritt gilt es, den Vorfall eingehend zu untersuchen: Wann fand der Angriff statt? Welche Aktionen wurden auf welchen Systemen durchgeführt und welche Instrumente wurden genutzt (EA-Mail, Drive-by-Exploits etc.)? Welche Ziele wurden verfolgt? Wohin sind Daten geflossen?

3. Sicherheitsmanagement optimieren

Aus der Analyse des Vorfalls lassen sich „lessons learned“ ableiten. Daraus sollten Maßnahmen für ein höheres Sicherheitsniveau erarbeitet werden. Solche Maßnahmen können sich auf die Anpassung der Systemkonfiguration, Änderung von Berechtigungen oder aber Schulungen von Mitarbeitern beziehen.

4. Maßnahmenprüfung

Die Wirksamkeit der Maßnahmen sollte anschießend mithilfe von Szenarien und Penetrationstests überprüft werden.

ISO 27001: Sicherheit mit System

Der Umgang mit externen Angriffen sollte ein integraler Bestandteil im Sicherheitskonzept eines Unternehmens sein. Die größtmögliche Sicherheit bietet eine umfassende Strategie, die auch Angriffe von innen und Datenschutzaspekte einbezieht. Als Leitlinie für den Aufbau einer solchen Strategie empfiehlt sich die 2013 novellierte ISO 27001. Sie gilt als international führende Norm für Informationssicherheits-Managementsysteme und bietet einen systematischen und strukturierten Ansatz, vertrauliche Daten zu schützen, die Integrität betrieblicher Daten sicherzustellen und die Verfügbarkeit von ITSystemen zu erhöhen.

Vorfälle nach ISO 27001 managen

a) Verantwortlichkeiten und Abläufe
Um schnell auf Sicherheitsvorfälle reagieren zu können, müssen die Kompetenzen und Verantwortlichkeiten eindeutig geklärt sein. Wer darf beispielsweise über die Trennung von Netzen entscheiden, die gegebenenfalls zu Produktionsausfällen führt? Diese Abläufe sollten klar kommuniziert und anhand von Szenarien eingeübt werden.

b) Meldewege und Berichtswesen
Vorfälle müssen über angemessene Kanäle unverzüglich an die Verantwortlichen gemeldet werden. Dabei sollte zwischen Vorfällen mit und ohne Sicherheitsrelevanz unterschieden werden.

c) Mitarbeiter und Auftragnehmer
Mitarbeiter und Auftragnehmer sollten verpflichtet werden, beobachtete und vermutete Sicherheitslücken zu melden. Dafür ist ein Problembewusstsein notwendig und eine Unternehmenskultur, die offene Kommunikation fördert.

d) Bewertung
Es müssen eindeutige Kriterien festgelegt werden, nach denen entschieden wird, wann ein Ereignis als sicherheitsrelevanter
Zwischenfall eingestuft wird.

e) Vorgehensweise
Welche konkreten Maßnahmen im Ernstfall zu ergreifen sind, muss vorab dokumentiert und mit Penetrationstests erprobt und eingeübt werden.

f) „Lessons learned“
Erfahrungen und Lehren aus dem Umgang mit Angriffen sollten genutzt werden, um das Sicherheitskonzept zu verbessern und ähnliche Angriffe künftig zu unterbinden.

g) Beweissicherung
Es sollten Abläufe festgelegt werden, die sicherstellen, dass Daten in einer gerichtsfesten Art und Weise gesammelt und gesichert werden.

TÜV SÜD-Leistungen für mehr IT-Sicherheit

Zertifizierung nach ISO 27001: TÜV SÜD zertifiziert Informationssicherheits-Managementsystem nach ISO 27001. Das sensibilisiert Mitarbeiter für das Thema IT-Sicherheit und dokumentiert die Einhaltung hoher Standards gegenüber Kunden und Partnern des Unternehmens. Das Information Security Incident Management gemäß Norm stellt sicher, im Angriff sfall vorbereitet zu sein.

Penetrationstests: Experten von TÜV SÜD überprüfen anhand von Penetrationstests die Wirksamkeit von Sicherheitsmaßnahmen. Das bringt Klarheit über Risiken und Schwachstellen in den Systemen. Umfang und Tiefe der Tests werden dabei individuell angepasst.

Weitere TÜV SÜD-Leistungen
° Industrial IT-Security (z. B. IEC 62443)
° Zertifiziertes Rechenzentrum
° Externer Datenschutzbeauftragter
° Geprüfte Datenträgervernichtung
° Datenschutz-Check
° Geprüfte Auftragsdatenverarbeitung
° Seminare & Trainings

www.tuev-sued.de/digital-service
 


Anzeige

Weitere Artikel

Cybercrime
Ransomware-Opfer zahlen kaum noch Lösegeld
Cybercrime
Neue Malware-Kampagne nimmt spanische Unternehmen ins Visier
Cybercrime
60 Prozent Anstieg bei KI-gesteuerten Phishing-Angriffen
Cybercrime
Scammer stehlen Toncoins von Telegram-Nutzern
Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.