Fragen & Antworten rund um den IT-Sicherheitsvorfall

Was versteht man unter einem "IT-Sicherheitsvorfall"?
Wie erkenne ich einen IT-Sicherheitsvorfall?
Typische Fragen bei einem IT-Sicherheitsvorfall
Ein Verschlüsselungstrojaner hat bei mir zugeschlagen. Was nun?
Wer kann bei einem IT-Sicherheitsvorfall helfen?

Was versteht man unter einem "IT-Sicherheitsvorfall"?

Ein Ereignis analog einem Notfall, das die Vertraulichkeit, Verfügbarkeit und Integrität der Informationen, Geschäftsprozesse, IT-Dienste, IT-Systeme oder IT-Anwendungen, für welche Sie einen hohen oder sehr hohen Schutzbedarf definiert haben, in Ihrem Unternehmen / Ihrer Organisation derart beeinträchtigt, dass ein großer Schaden für Ihr Unternehmen / Ihre Organisation / Ihre Kunden oder Geschäftspartner entstehen kann.

Wie erkenne ich einen IT-Sicherheitsvorfall?

Kurz gesagt: Nicht jedes auffällige Ereignis ist auch ein Sicherheitsvorfall. Ernst wird die Lage aber meist dann, wenn:

die Vertraulichkeit Ihrer Daten nicht mehr gewährleistet ist (Jemand hat ihre Daten „geklaut“, oder Sie haben aus Versehen eine wichtige E-Mail an einen falschen Empfänger versendet.)
die Verfügbarkeit betroffen ist (Ihr wichtiger E-Commerce-Server ist plötzlich nicht mehr erreichbar, oder eine Festplatte mit kritischen Daten ist defekt.)
oder die Integrität nicht mehr gewährleistet ist (Plötzlich stimmt Ihre Buchhaltung nicht mehr, oder einer Ihrer Computer ist von einem Trojaner befallen.)

Sie sollten daher besonders in Bezug auf Ihre wichtigen IT-Systeme und Daten aufmerksam sein und auch Ihr Team motivieren, mit Auffälligkeiten offen umzugehen. Im Zweifel helfen Ihnen Ihr IT-Administrator oder andere IT-Experten bei einer Ersteinschätzung der Lage. Wichtig ist: schnell und angemessen reagieren.

Typische Fragen bei einem IT-Sicherheitsvorfall

Besonders in kleineren Unternehmen tauchen oft ähnliche Fragen auf:

Wen rufe ich „im Ernstfall“ am besten an?
Wie merke ich, dass ich angegriffen werde oder wurde?
Wie kann ich meine IT-Dienstleister am schnellsten erreichen?
Wie soll ich vorgehen und was in welcher Reihenfolge durchführen?
Wem kann ich dabei trauen und wem nicht?
Bei wem bekomme ich Rat?

Und nicht selten am drängendsten:

Welcher Schaden ist entstanden oder kann noch entstehen,
wie kann ich weiteren Schaden vermeiden und
wie teuer wird es für mich?

Optimal ist es, wenn Sie diese Fragen vor einem möglichen Vorfall einmal „im Geiste“ durchspielen. Wie gut sind Sie vorbereitet?

Ein Verschlüsselungstrojaner hat bei mir zugeschlagen. Was nun?

Wenn es einer Ransonmware erst einmal gelungen ist, die Daten eines Systems zu verschlüsseln, gibt es nur noch wenige Möglichkeiten.

Auf der sicheren Seite ist nur der, der über ein aktuelles, vollständiges und funktionierendes Backup verfügt. Hier kann der betroffene Rechner gelöscht und mit dem Backup der Zustand vor dem Befall rekonstruiert werden. Sinnvoll wäre dennoch der Ursache des Befalls auf den Grund zu gehen, um eine erneute Schädigung zu verhindern. Außerdem könnten weitere Schadfunktionen (z.B. Hintertüren) auf anderen Rechnern im Netz installiert worden sein. Daher ist ein unternehmensweiter Check empfehlenswert.

Wenn kein (ausreichendes) Backup zur Verfügung steht, kann man noch auf Glück hoffen: Von einigen wenigen Trojanern sind die Entschlüsselungscodes im Internet verfügbar.

Ansonsten bliebe als letzte Option die Zahlung des Lösegeldes. Hierzu geht die Meinungen der Experten auseinander. Viele raten dringend von einer Zahlung ab. Ob danach der Schlüssel überhaupt herausgegeben wird ist fraglich. Manchmal ist die Entschlüsselungssoftware defekt und die Daten sind trotz Code verloren. In manchen Fällen animiert die Zahlung die Täter zu weiteren Aktionen. Andere Experten sehen eine Zahlung dennoch als mögliche Option. So perfide es klingt: Der Erpressungsmarkt funktioniert nur dann, wenn die Opfer gute Aussicht auf Wiederherstellung der Daten haben. Viele Erpresser sind daher an einer ordentlichen "Geschäftsabwicklung" interessiert.

Wer kann bei einem IT-Sicherheitsvorfall helfen?

Um erfolgreich auf einen IT-Sicherheitsvorfall reagieren zu können, bedarf es interdisziplinärer Kompetenzen. Haben Sie dazu schon an die nachfolgenden Ansprechpartner gedacht?

Eigene Kräfte - das Steuer in der Hand behalten

IT-Sicherheitsbeauftragter (wenn in Ihrem Unternehmen organisiert)
Datenschutzbeauftragter (wenn in Ihrem Unternehmen bestellt)
das eigene IT-Team

Externer IT-Sachverstand, neutral und objektiv

Anlaufstelle für öffentlich bestellte und vereidigte Sachverständige sind Ihre örtliche IHK und das Online-Verzeichnis https://svv.ihk.de mit Suche nach Fachgebiet „Informationssysteme“

Technische Betreuung, insbesondere operational

IT-Dienstleister
IT-Systemhäuser

Rechtliche Fragen, z.B. Arbeitsrecht, Strafrecht

Rechtsanwälte

Krisenreaktion

PR-Berater

Aufklärung von Straftaten und behördliche Beratung

Bundeskriminalamt
Landeskriminalämter sowie lokale Polizei
Verfassungsschutz, Bundesamt für Sicherheit in der Informationstechnik

Teile diese Auflistung entstanden im Rahmen des "IT-Sicherheitstages NRW" mit Unterstützung von www.digitrace.de