Der Geschäftsbetrieb soll durch sichere IT-Systeme, redundante Prozesse und effizientes Handeln sichergestellt werden. Kommt es dann doch zu einem nicht vorhergesehenen Sicherheitsvorfall ist Ruhe und Konzentration gefragt. Doch wie geht man richtig mit einem erkannten Sicherheitsvorfall um? Dies möchten wir Ihnen im folgenden Beitrag erläutern.

Die Basis: Was ist unter einem Sicherheitsvorfall zu verstehen?

Unter einem Sicherheitsvorfall versteht man ein unerwünschtes Ereignis, das Auswirkung auf die Informationssicherheit hat und große Schäden mit sich führen kann. Sicherheitsvorfälle können das Unternehmen auf vielfältige Weise beeinträchtigen und dazu führen, dass Abläufe nicht mehr korrekt funktionieren, der Reputation des Unternehmens geschadet wird oder ein wirtschaftlicher Schaden entsteht.

Das richtige Vorgehen bei einem erkannten Sicherheitsvorfall sollte allen Mitarbeitern als Informationssicherheits-Richtlinie bekannt sein. Diese IS-Richtlinie sollte sowohl auf den Meldeweg verweisen als auch einen Hinweis auf die notwendige Verschwiegenheit und Konsequenzen bei Nichteinhaltung beinhalten.

Sicherheitsvorfälle besitzen immer eine sehr hohe Priorität. Als gravierend wird ein Sicherheitsvorfall vor allem dann eingestuft, wenn einer der folgenden Punkte vorliegt:

An dieser Stelle stellt sich die Frage: Wie ist nun vorzugehen beim Vorliegen eines Sicherheitsvorfalls?

Die richtige Vorgehensweise: Was ist zu tun bei einem Sicherheitsvorfall?

Damit Sicherheitsvorfälle möglichst schnell und angemessen analysiert, behandelt und behoben werden können, muss jeder Mitarbeiter dazu aufgefordert werden, aktiv mitzuhelfen und die erkannten Sicherheitsvorfälle umgehend melden. In der Regel findet diese Meldung an den bestellten Informationssicherheitsbeauftragten (ISB) per E-Mail, Telefon oder auf dem persönlichen Weg statt. Ein Sicherheitsvorfall kann auch über ein zentrales Ticket System erfolgen. Bei gravierenden Sicherheitsvorfällen wird zudem umgehend die Geschäftsleitung informiert.

Bei einem erkannten Sicherheitsvorfall untersucht der ISB in Zusammenarbeit mit den jeweiligen Prozessverantwortlichen, dem IT-Verantwortlichen und den Administratoren vordringlich den Sachverhalt. Die Reaktion auf Sicherheitsvorfälle wird in einer Verfahrensanweisung, die sich ausschließlich an Fachleute und unterwiesene Mitarbeiter richtet, festgehalten. Dabei ist die Verfahrensanweisung eine Art Rahmen, der Ziele und Bedingungen zur Behandlung festlegt. Dazu zählt auch die Einhaltung der folgenden Schritte:

Was ist passiert, welche IT-Systeme und Geschäftsprozesse sind betroffen? Wie gravierend ist der Vorfall und welcher Aufwand muss für die Wiederherstellung betrieben werden?

Ggf. Produktionsanalgen stilllegen, um die Sicherheit von Mitarbeitern zu gewährleisten

Betroffene IT-Systeme werden stillgelegt und vom Netz getrennt, es können dabei auch die betroffenen IT-Systeme durch funktionierende ersetzt werden.

Vorfall und Auswirkung muss analysiert und angemessen nachbereitet werden, um zukünftige ähnliche Sicherheitsvorfälle zu vermeiden.

Die Ursache wird behoben und der reguläre Geschäftsprozess wieder aufgenommen.

Eine strukturierte Nachbereitung durch involvierte Mitarbeiter schließt eine umfangreiche Analyse des Vorfalls, Bewertung der Reaktion und das Erarbeiten von Verbesserungen auf technischer und organisatorischer Ebene ein.

Abschlussbericht erstellen.

Sie haben Fragen zur Behandlung von Sicherheitsvorfällen, benötigen Unterstützung oder Vorlagen für Richtlinien und Verfahrensanweisungen, dann wenden Sie sich gerne an uns! Entdecken Sie außerdem viele weitere spannende Themen rund um Ihre IT-Security. Lesen Sie jetzt unseren aktuellen Beitrag zur exklusiven finanziellen Förderung für Ihre IT-Security oder schauen Sie auf der Website unseres Tochterunternehmens der CertVision vorbei.