G 2.62 Ungeeigneter Umgang mit Sicherheitsvorfällen

Sicherheitsvorfälle mit dem Potential großer Schäden werden in der Praxis nie ausgeschlossen werden können. Die gilt auch dann, wenn eine Reihe von Sicherheitsmaßnahmen umgesetzt sind. Wird auf akute Sicherheitsvorfälle nicht angemessen reagiert, so können sich daraus unter Umständen große Schäden bis hin zu Katastrophen entwickeln.

Beispiele dafür sind:

• Es treten zunächst sporadisch, dann massenhaft neue Computer-Viren mit Schadfunktionen auf. Erfolgt keine rechtzeitige Reaktion, können unter Umständen ganze Organisationseinheiten arbeitsunfähig werden. Konkret ist dies bei Auftreten des Computer-Virus "Melissa" beobachtet worden.
• Auf einem Webserver finden sich unerklärlich veränderte Inhalte. Wird dies nicht als Hinweis auf eventuelle Hacker-Attacken weiterverfolgt, können weitere Angriffe auf den Server unter Umständen auch zu großem Imageverlust führen.
• In der Protokollierung einer Firewall finden sich Ungereimtheiten. Wird dies nicht als Hacking-Versuch untersucht, können ggf. tatsächlich externe Angreifer die Firewall überwinden.
• Es werden Sicherheitslücken in den verwendeten IT-Systemen bekannt. Werden diese Informationen nicht rechtzeitig beschafft und notwendige Gegenmaßnahmen nicht zügig umgesetzt, so besteht die Gefahr, dass die Sicherheitslücken von Innen- oder Außentätern missbraucht werden.
• Es ergeben sich Hinweise auf manipulierte Unternehmensdaten. Wird dies nicht zum Anlass genommen, den Manipulationen nachzugehen, so können auch unerkannte Manipulationen schwere Folgeschäden nach sich ziehen, wie zum Beispiel fehlerhafte Lagerbestände, falsche Buchhaltung oder unkontrolliert abgeflossene Finanzmittel.
• Wird Hinweisen auf Kompromittierung von vertraulichen Unternehmensdaten nicht nachgegangen, können in Folge weitere vertrauliche Daten abfließen.

Diese Beispiele verdeutlichen, dass bei Sicherheitsvorfällen eine schnelle Benachrichtigung zuständiger Stellen, eine zügige Reaktion und eine Unterrichtung der potentiell Betroffenen zur Schadensminimierung oder -prävention notwendig ist.

Wenn für die Behandlung von Sicherheitsvorfällen keine geeignete Vorgehensweise definiert ist, können außerdem falsche Entscheidungen getroffen werden, die z. B. dazu führen

• dass Pressevertreter falsche Auskünfte erhalten,
• dass die betroffenen Systeme bzw. Komponenten trotz schwerer Sicherheitslücken nicht abgeschaltet werden,
• dass Systeme bzw. einzelne Komponenten bei relativ unbedeutenden Sicherheitslücken völlig abgeschaltet werden,
• dass keinerlei Ausweichmaßnahmen vorgesehen sind, wie z. B. der Austausch kompromittierter Komponenten, kryptographischer Verfahren oder Schlüssel.

© Copyright by Bundesamt für Sicherheit in der Informationstechnik 2000.