Bundesamt für Sicherheit in der Informationstechnik

G 2.62 Ungeeigneter Umgang mit Sicherheitsvorfällen

In der Praxis kann nie ausgeschlossen werden, dass Sicherheitsvorfälle auftreten. Dies gilt auch dann, wenn eine Vielzahl von Sicherheitsmaßnahmen umgesetzt ist. Wird auf akute Sicherheitsvorfälle nicht angemessen reagiert, so können sich daraus unter Umständen große Schäden bis hin zu Katastrophen entwickeln.

Beispiele dafür sind:

  • Es treten zunächst sporadisch, dann massenhaft neue Computer-Viren mit Schadfunktionen auf. Erfolgt keine rechtzeitige Reaktion, können unter Umständen ganze Organisationseinheiten arbeitsunfähig werden.
  • Auf einem Webserver finden sich unerklärlich veränderte Inhalte. Wird dies nicht als Hinweis auf mögliche Hacker-Attacken weiterverfolgt, können weitere Angriffe auf den Server unter Umständen auch zu großem Imageverlust führen.
  • In den Protokolldateien einer Firewall finden sich auffällige Einträge. Wird nicht zeitnah untersucht, ob dies Anzeichen für einen Hacking-Versuch sind, können Angreifer die Firewall mit einem erfolgreichen Angriff unbemerkt überwinden und in das interne Netz der Institution eindringen.
  • Es werden Sicherheitslücken in den verwendeten IT -Systemen bekannt. Werden diese Informationen nicht rechtzeitig beschafft und notwendige Gegenmaßnahmen nicht zügig umgesetzt, so besteht die Gefahr, dass die Sicherheitslücken von Angreifern ausgenutzt werden.
  • Es ergeben sich Hinweise auf manipulierte Unternehmensdaten. Wird dies nicht zum Anlass genommen, den Manipulationen nachzugehen, so können auch unerkannte Manipulationen schwere Folgeschäden nach sich ziehen, wie zum Beispiel fehlerhafte Lagerbestände, falsche Buchhaltung oder unkontrolliert abgeflossene Finanzmittel.
  • Werden die Hinweise auf Kompromittierung von vertraulichen Unternehmensdaten nicht weiterverfolgt, können weitere vertrauliche Daten abfließen.

Diese Beispiele verdeutlichen, dass Sicherheitsvorfälle frühzeitig erkannt und die zuständigen Stellen schnell benachrichtigt werden müssen. Eine zügige Reaktion und eine Unterrichtung der potentiell Betroffenen zur Schadensminimierung oder -prävention ist hierbei extrem wichtig.

Wenn für die Behandlung von Sicherheitsvorfällen keine geeignete Vorgehensweise vorgegeben ist, können in der Eile und unter Stress falsche Entscheidungen getroffen werden, die unter anderem dazu führen können,

  • dass Pressevertreter falsche Auskünfte erhalten,
  • dass betroffene Systeme bzw. Komponenten nicht der Situation angemessen behandelt werden und zu früh oder zu spät abgeschaltet werden,
  • dass Dritte durch die eigenen Systeme geschädigt werden können,
  • dass keinerlei Ausweich- oder Wiederherstellungsmaßnahmen vorgesehen sind, wie z. B. der Austausch kompromittierter Komponenten oder Wiederherstellung von Daten.

Stand: 11. EL Stand 2009