Freitag, 06. März 2020 | News | Blog

Erste Hilfe bei IT-Sicherheitsvorfällen

Das BSI hat einen Erste-Hilfe-Leitfaden für IT-Sicherheitsbeauftragte, CISOs und Systemadministratoren von KMU und kleineren Behörden veröffentlicht. Dieser Leitfaden soll Betroffenen helfen, bei der Bewältigung eines schweren IT-Sicherheitsvorfalls keine Fehler in der Anfangsphase zu begehen, die später dazu führen, dass der Angriff nicht bereinigt oder aufgeklärt werden kann. Das BSI wird dieses Dokument unregelmäßig mit neuen Erfahrungen aktualisieren.

Erste Hilfe

Erste Hilfe

Die wichtigsten Punkte in Kürze

Unser Tipp:

Das Wichtigste ist in solch einer Ausnahmesituation einen kühlen Kopf zu behalten. Dies kann nur gelingen, wenn man gut vorbereitet ist und die Prozesse im Vorfeld mit weniger Stress trainiert wurden. Tun sie dies – unbedingt – immer wieder. Wenn jeder der Vorgehenskette weiß, was er zu tun und zu lassen hat und wen er wie informiert, kann man das Schlimmste verhindern, bzw. den Schaden effizient und effektiv eindämmen. Neben der Datensicherheit sollten auch die datenschutzrechtlichen Meldevorgänge eingearbeitet sein, falls personenbezogene Daten betroffen sind.

Wenn Sie von einem IT-Sicherheitsvorfall betroffen sind, sollten Sie laut BSI die folgenden organisatorischen und technischen Massnahmen beachten.

Organisatorische Maßnahmen

  • Bewahren Sie Ruhe und handeln Sie nicht übereilt.
  • Richten Sie einen Krisenstab (oder eine Projektgruppe) ein.
  • Klären Sie regelmäßig folgende Fragen: Wer macht was bis wann? Welche Tagesaufgaben können für die Bewältigung des Vorfalls liegen gelassen werden? Wer trifft die relevanten Entscheidungen? Sollen Systeme schnell wieder aufgesetzt oder Spuren gesichert werden? Wer kommuniziert was wann an wen? Wollen Sie Anzeige erstatten?
  • Denken Sie an Meldepflichten.
  • Holen Sie sich bei Bedarf frühzeitig externe Unterstützung.
  • Kurzfristig für den Notbetrieb wichtige Daten können sich auch an ggf. abgesetzten Außenstellen oder auf Systemen von Mitarbeitern im Urlaub befinden, welche (noch) nicht betroffen sind.


Technisches Vorgehen

  • Oberste Regel: Keinesfalls darf eine Anmeldung mit privilegierten Nutzerkonten (Administratorkonten) auf einem potenziell infizierten System erfolgen, während das System sich noch im internen produktiven Netzwerk befindet oder mit dem Internet verbunden ist!
  • Potenziell infizierte Systeme sollten umgehend vom Netzwerk isoliert werden, um vom Netzwerk isoliert werden, um eine weitere Ausbreitung der Schadsoftware im Netz durch Seitwärtsbewegungen (Lateral Movement) zu verhindern. Dazu das Netzwerkkabel ziehen. Gerät nicht herunterfahren oder ausschalten. Gegebenenfalls forensische Sicherung inkl. Speicherabbild für spätere Analysen (eigene, durch Dienstleister oder Strafverfolgungsbehörden) erstellen.
  • Hier gehts weiter: https://secobit.de/it-sicherheitsvorfall/


Autor: Thomas Schkoda ©2020 www.secobit.de