6 Fragen zu Sicherheitsvorfall

Nach einem IT-Sicherheitsvorfall sind mehrere Schritte erforderlich, um den Vorfall zu bewältigen und zukünftige Vorfälle zu verhindern: 1. **Erkennung und Analyse**: - Identifiziere den Vorfall und analysiere das Ausmaß und die Art des Angriffs. - Sammle alle relevanten Informationen und Beweise. 2. **Eindämmung**: - Isoliere betroffene Systeme, um die Ausbreitung des Vorfalls zu verhindern. - Implementiere temporäre Maßnahmen, um den Schaden zu begrenzen. 3. **Beseitigung**: - Entferne die Ursache des Vorfalls, z.B. durch Bereinigung von Malware oder Schließen von Sicherheitslücken. - Stelle sicher, dass alle betroffenen Systeme vollständig gesäubert sind. 4. **Wiederherstellung**: - Stelle betroffene Systeme aus Backups wieder her. - Überprüfe die Systeme gründlich, bevor sie wieder in Betrieb genommen werden. 5. **Kommunikation**: - Informiere alle betroffenen Parteien, einschließlich Mitarbeiter, Kunden und ggf. Behörden. - Halte alle Beteiligten über den Fortschritt der Maßnahmen auf dem Laufenden. 6. **Nachbereitung und Verbesserung**: - Führe eine gründliche Nachanalyse durch, um zu verstehen, wie der Vorfall passieren konnte. - Aktualisiere Sicherheitsrichtlinien und -verfahren basierend auf den Erkenntnissen. - Schulen Mitarbeiter, um das Bewusstsein für Sicherheitsrisiken zu erhöhen. 7. **Dokumentation**: - Dokumentiere den gesamten Vorfall und die ergriffenen Maßnahmen detailliert. - Erstelle einen Abschlussbericht, der als Referenz für zukünftige Vorfälle dienen kann. Diese Schritte helfen, den Vorfall effektiv zu bewältigen und die IT-Sicherheit langfristig zu verbessern.

Ein konkreter Sicherheitsvorfall, bei dem die Bedrohung durch Viren in der IT besonders relevant war, ist der Ausbruch des "WannaCry"-Verschlüsselungstrojaners im Mai 2017. WannaCry ist ein sogenannter Ransomware-Virus, der Schwachstellen in Windows-Betriebssystemen ausnutzte. Der Virus verbreitete sich weltweit innerhalb weniger Stunden und infizierte hunderttausende Computer in über 150 Ländern. Besonders betroffen waren Unternehmen, Krankenhäuser, Behörden und sogar kritische Infrastrukturen wie die britische Gesundheitsbehörde NHS (National Health Service). Dort wurden zahlreiche Computer verschlüsselt, Patientendaten waren nicht mehr zugänglich und Operationen mussten verschoben werden. Die Bedrohung durch WannaCry zeigte, wie gefährlich Viren sein können, wenn sie Sicherheitslücken ausnutzen und sich schnell verbreiten. Der Vorfall führte zu erheblichen finanziellen Schäden und verdeutlichte die Notwendigkeit von regelmäßigen Sicherheitsupdates und Backups. Weitere Informationen zu WannaCry findest du z.B. bei [Wikipedia](https://de.wikipedia.org/wiki/WannaCry).

Wird ein Unternehmen über einen Sicherheitsvorfall informiert, sollte es strukturiert und zügig vorgehen. Die wichtigsten Schritte sind: 1. **Vorfall bestätigen und bewerten:** Prüfen, ob der Vorfall echt ist und wie schwerwiegend er ist. Dazu gehört die Identifikation betroffener Systeme und Daten. 2. **Interne Alarmierung:** Das interne IT-Sicherheits- oder Incident-Response-Team informieren. Falls vorhanden, den Notfallplan aktivieren. 3. **Schadensbegrenzung:** Maßnahmen ergreifen, um die Ausbreitung des Vorfalls zu stoppen (z.B. betroffene Systeme isolieren, Passwörter ändern). 4. **Dokumentation:** Alle Schritte, Beobachtungen und Maßnahmen genau dokumentieren. Das ist wichtig für die Nachverfolgung und ggf. für rechtliche Anforderungen. 5. **Externe Meldung:** Je nach Art des Vorfalls kann eine Meldepflicht bestehen, z.B. nach der DSGVO innerhalb von 72 Stunden an die zuständige Datenschutzbehörde, wenn personenbezogene Daten betroffen sind. Auch andere Behörden oder Partner können informiert werden müssen. 6. **Kommunikation:** Betroffene Personen (z.B. Kunden, Mitarbeitende) informieren, falls deren Daten oder Interessen betroffen sind. 7. **Analyse und Behebung:** Die Ursache des Vorfalls ermitteln und Schwachstellen beheben, um eine Wiederholung zu verhindern. 8. **Nachbereitung:** Den Vorfall auswerten, Prozesse anpassen und ggf. Mitarbeitende schulen. Weitere Informationen zu Meldepflichten findest du z.B. beim [Bundesamt für Sicherheit in der Informationstechnik (BSI)](https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Informationen-und-Empfehlungen/IT-Sicherheitsvorfall/it-sicherheitsvorfall_node.html).

Wenn du als Lieferant über einen Sicherheitsvorfall im Testsystem deines Kunden informiert wurdest, solltest du folgende Schritte unternehmen: 1. **Information prüfen:** Analysiere die erhaltene Information sorgfältig. Kläre, ob und wie deine Systeme, Daten oder Schnittstellen betroffen sein könnten. 2. **Interne IT-Sicherheitsprüfung:** Überprüfe deine eigenen Systeme auf Anzeichen eines ähnlichen Vorfalls oder auf Schwachstellen, die ausgenutzt worden sein könnten. 3. **Kommunikation:** Informiere deine IT-Sicherheitsverantwortlichen und ggf. das Management über den Vorfall. 4. **Rückmeldung an den Kunden:** Gib dem Kunden eine Rückmeldung, dass du die Information erhalten hast und welche Maßnahmen du ergreifst. Kläre, ob weitere Informationen benötigt werden oder ob es spezielle Anforderungen gibt. 5. **Dokumentation:** Halte alle Schritte und Maßnahmen schriftlich fest, um im Falle von Nachfragen oder Prüfungen einen Nachweis zu haben. 6. **Datenschutz prüfen:** Falls personenbezogene Daten betroffen sein könnten, prüfe, ob Meldepflichten nach DSGVO oder anderen Datenschutzgesetzen bestehen. 7. **Prävention:** Überlege, ob zusätzliche Schutzmaßnahmen (z.B. Patches, Zugangsbeschränkungen, Monitoring) notwendig sind, um ähnliche Vorfälle zu verhindern. 8. **Vertragliche Pflichten:** Prüfe, ob dein Vertrag mit dem Kunden besondere Vorgaben für den Umgang mit Sicherheitsvorfällen enthält (z.B. Meldepflichten, Fristen). Weitere Informationen zu IT-Sicherheitsvorfällen findest du z.B. beim [Bundesamt für Sicherheit in der Informationstechnik (BSI)](https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Informationen-und-Empfehlungen/IT-Sicherheitsvorfall/it-sicherheitsvorfall_node.html). Im Zweifel empfiehlt es sich, einen IT-Sicherheitsexperten oder Datenschutzbeauftragten hinzuzuziehen.

Vandalismus an einem Unternehmensgebäude kann im Kontext der Informationssicherheit als Sicherheitsereignis oder sogar als Sicherheitsvorfall gelten – das hängt vom konkreten Zusammenhang ab. **Definitionen nach gängigen Standards (z.. ISO/IEC 27001):** - **Sicherheitsereignis:** Ein identifizierbares Auftreten eines Zustands, eines Systemzustands oder einer Situation, die auf eine mögliche Beeinträchtigung der Informationssicherheit hindeutet. - **Sicherheitsvorfall:** Ein einzelnes oder eine Serie von unerwünschten oder unerwarteten Informationssicherheitsereignissen, die mit hoher Wahrscheinlichkeit die Geschäftsabläufe beeinträchtigen. **Bezug zu Vandalismus:** - **Vandalismus** ist zunächst eine physische Bedrohung. Wird durch Vandalismus z. B. ein Serverraum beschädigt, IT-Infrastruktur zerstört oder der Zugang zu sensiblen Informationen ermöglicht, betrifft dies direkt die Schutzziele der Informationssicherheit (Vertraulichkeit, Integrität, Verfügbarkeit). - Auch wenn „nur“ das Gebäude beschädigt wird, kann dies indirekt Auswirkungen auf die Informationssicherheit haben, etwa durch gestörte Zutrittskontrollen oder unterbrochene Stromversorgung. **Fazit:** - **Ja**, Vandalismus an einem Unternehmensgebäude kann als Sicherheitsereignis gelten, wenn er Auswirkungen auf die Informationssicherheit hat oder haben könnte. - **Ja**, es kann auch ein Sicherheitsvorfall sein, wenn dadurch tatsächlich die Informationssicherheit beeinträchtigt wird (z. B. Datenverlust, Systemausfall, unbefugter Zugriff). **Praxis:** In einem Informationssicherheits-Managementsystem (ISMS) sollte Vandalismus als potenzielle Bedrohung für die Informationssicherheit betrachtet und entsprechend im Risikomanagement sowie in den Meldeprozessen berücksichtigt werden. Weitere Informationen findest du z. B. im [BSI IT-Grundschutz-Kompendium](https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Informationen-und-Empfehlungen/IT-Grundschutz/IT-Grundschutz-Kompendium/it-grundschutz-kompendium_node.html) oder in der [ISO/IEC 27001](https://www.iso.org/standard/27001).

Der SolarWinds-Hack, der Ende 2020 entdeckt wurde, war ein bedeutender Cyberangriff, bei dem Angreifer eine Schwachstelle in der Software von SolarWinds ausnutzten. Die Angreifer, die mit hoher Wahrscheinlichkeit mit einer staatlichen Akteurgruppe in Verbindung stehen, infiltrierten die Orion-Software von SolarWinds, die von vielen Unternehmen und Regierungsbehörden weltweit verwendet wird. Durch die Manipulation der Software konnten die Angreifer Malware in Updates einschleusen, die dann an die Kunden verteilt wurden. Dies ermöglichte es ihnen, unbefugten Zugriff auf die Netzwerke von über 18.000 SolarWinds-Kunden zu erlangen, darunter zahlreiche US-Regierungsbehörden und große Unternehmen. Die Entdeckung des Hacks führte zu weitreichenden Sicherheitsüberprüfungen und einem verstärkten Fokus auf Cybersecurity, da die Angreifer in der Lage waren, sensible Daten zu stehlen und möglicherweise langfristigen Zugang zu den betroffenen Systemen zu erhalten. Der Vorfall hat die Diskussion über die Sicherheit von Software-Lieferketten und die Notwendigkeit von robusteren Sicherheitsmaßnahmen in der IT-Infrastruktur neu entfacht.