Auf den ers­ten Blick klingt die Über­schrift wider­sin­nig, ris­kie­ren wir einen zwei­ten Blick. Infor­ma­ti­ons­si­cher­heits­vor­fäl­le sind Vor­komm­nis­se, die hin­sicht­lich der Schutz­zie­le Ver­trau­lich­keit, Inte­gri­tät und Ver­füg­bar­keit Schä­den an Infor­ma­ti­ons­wer­ten einer Orga­ni­sa­ti­on anrich­ten. Teil­wei­se füh­ren die Vor­komm­nis­se zur Ver­let­zung von ver­trag­li­chen, regu­la­to­ri­schen oder gesetz­li­chen Vor­ga­ben mit ent­spre­chen­den Kon­se­quen­zen, im schlimms­ten Fall sind sie irrever­si­bel. Was also kann an Infor­ma­ti­ons­si­cher­heits­vor­fäl­len gut sein? 

Secu­ri­ty Inci­dent – wirk­lich ein sel­tenes Ereig­nis? 

Die Auf­recht­erhal­tung und Ver­bes­se­rung der Infor­ma­ti­ons­si­cher­heit leben davon, dass man voll­stän­di­ge Trans­pa­renz bezüg­lich der Wirk­sam­keit der Maß­nah­men hat. Die Zahl der Bedro­hun­gen, Vor­fäl­le und Schä­den steigt ste­tig steil an. Hält man Audit­be­rich­te dage­gen, so bekommt man den Ein­druck Infor­ma­ti­ons­si­cher­heits­vor­fäl­le sind bedau­er­li­che Ein­zel­er­eig­nis­se. Mit Infor­ma­ti­ons­si­cher­heits­vor­fäl­len ver­hält es sich schein­bar wie mit der Volks­mu­sik, sie ver­zeich­net die größ­ten Umsät­ze in der Musik­bran­che, aber kei­ner gibt zu die­se zu hören. In der Infor­ma­ti­ons­si­cher­heit lie­fern Infor­ma­ti­ons­si­cher­heits­vor­fäl­le über einen zeit­li­chen Ver­lauf wich­ti­ge Kenn­zah­len. Bei Über­prü­fun­gen lie­gen dage­gen oft nur eine Hand­voll müh­sam zusam­men­ge­tra­ge­ner Vor­fäl­le vor. Damit nimmt man sich selbst die Mög­lich­keit wirk­sam zu handeln.

Frei nach Tom DeMar­co: „Du kannst nicht kon­trol­lie­ren, was Du nicht mes­sen kannst.“


Wo hel­fen Infor­ma­ti­ons­si­cher­heits­vor­fäl­le? 

  • Sind mei­ne Erken­nungs­me­cha­nis­men tat­säch­lich wirksam?

    Man soll­te sich bei einer gerin­gen Anzahl an bekann­ten Vor­fäl­len fra­gen, was dies bedeu­te. Gibt es kei­ne oder wenig Vor­fäl­le, oder wer­den sie nicht wirk­sam erkannt? Dabei soll­te man nicht nur die Gesamt­zahl betrach­ten, son­dern auch The­men­blö­cke, z. B. phy­si­sche Sicher­heit, Netz­werk­si­cher­heit oder End­point Pro­tec­tion, um Pro­blem-Fel­der zu erkennen. 
  • Sind mei­ne Maß­nah­men wirksam?

    Kenn­zah­len und Trends geben die bes­ten Hin­wei­se dar­auf, in wel­chem Umfang Maß­nah­men not­wen­dig sind und ob die umge­setz­ten Maß­nah­men wir­ken. Äuße­re Ein­flüs­se, etwa die Ver­schär­fung der Bedro­hungs­la­ge oder eine Ver­än­de­rung der Schwachstelle(n) haben direk­ten Ein­fluss auf einen Trend. Eine Maß­nah­me kann auch bei stei­gen­der Trend­li­nie sinn­voll und wirk­sam sein – nur mög­li­cher­wei­se nicht aus­rei­chend. Im Ergeb­nis soll­ten Exper­ten das bewer­ten, und das tun sie am bes­ten auf Basis einer aus­sa­ge­kräf­ti­gen und rele­van­ten Anzahl von Vorfällen. 
  • Haben Mit­ar­bei­te­rIn­nen, Part­ner und Dienst­leis­ter das nöti­ge Sicherheitsbewusstsein?

    Vie­le Maß­nah­men im Bereich Sicher­heits­be­wusst­sein sind orga­ni­sa­to­risch, bei­spiels­wei­se Schu­lun­gen, regel­mä­ßi­ge Kom­mu­ni­ka­ti­on, sowie Leit- bzw. Richt­li­ni­en. Zuneh­mend vie­le Orga­ni­sa­tio­nen unter­neh­men Phis­hing-Tests. War­um? Weil die Feh­ler­quo­te, also eine Anzahl von Sicher­heits­vor­fäl­len eine wich­ti­ge Kenn­zahl lie­fert dafür, ob es Hand­lungs­be­darf bei der Bil­dung des Sicher­heits­be­wusst­seins gibt. 
  • Kann ich ange­mes­sen auf Vor­fäl­le reagie­ren (Inci­dent Response)?

    Nichts ist so ernst wie das wah­re Leben. Die Fähig­keit wir­kungs­voll Scha­den abzu­wen­den, kann am belast­bars­ten anhand ech­ter Vor­fäl­le bewer­tet wer­den. Das soll kei­nes­falls den Nut­zen von Not­fall­tests infra­ge stel­len, sie sind wich­tig und sinn­voll aber am Ende oft zu theo­re­tisch. Die Fra­ge, ob man nach der Behand­lung eines ech­ten Vor­falls ruhig schläft, ist ein sehr guter Indi­ka­tor für das Ver­trau­en der Ver­ant­wort­li­chen in die ergrif­fe­nen Maßnahmen. 
  • Wie iden­ti­fi­zie­re ich Schwachstellen?

    Nicht nur in der Sum­me, auch ein­zel­ne Vor­fäl­le hel­fen dabei, bis­her unbe­merk­te Gefähr­dun­gen wie Schwach­stel­len zu iden­ti­fi­zie­ren. Dazu gehört die Bewer­tung jedes Vor­falls. Oft wer­den Impul­se von außen gesetzt, Schwach­stel­len-Daten­ban­ken, News­let­ter oder Her­stel­ler­infor­ma­tio­nen. Jedoch soll­te man nicht außer Acht las­sen, dass ein Teil der Risi­ken orga­ni­sa­ti­ons­spe­zi­fisch ist. Die­se Risi­ken kön­nen nur durch hof­fent­lich scha­dens­ar­me Vor­fäl­le ent­deckt und zukünf­tig ver­hin­dert werden. 

Was kann man ver­bes­sern? 

Die gol­de­ne Regel des Tes­tens von E. W. Dijks­tra lau­tet: „Durch Tes­ten kann man stets nur die Anwe­sen­heit, nie aber die Abwe­sen­heit von Feh­lern bewei­sen.“ Das gilt im über­tra­ge­nen Sin­ne auch für Infor­ma­ti­ons­si­cher­heits­vor­fäl­le. Durch einen dis­zi­pli­niert geleb­ten Risi­ko­pro­zess kön­nen Bedro­hun­gen und Schwach­stel­len iden­ti­fi­ziert wer­den. Aber eben lan­ge nicht alle. Hier leis­ten ech­te Vor­fäl­le einen wich­ti­gen Bei­trag zur Ver­bes­se­rung der eige­nen Informationssicherheit.

Die fol­gen­den Vor­schlä­ge kön­nen hel­fen, Gewinn aus Infor­ma­ti­ons­vor­fäl­len zu ziehen: 

  • Feh­ler- und Sicher­heits­kul­tur schaffen

    Sicher­heits­be­wuss­te Mit­ar­bei­te­rIn­nen, Part­ner und Dienst­leis­ter sind ein effek­ti­ver Schutz gegen Infor­ma­ti­ons­si­cher­heits­ri­si­ken. Gehen sie ernst und offen mit Vor­fäl­len um. Bestär­ken sie alle Betei­lig­ten, offen und schnell auch bei Ver­dacht zu melden. 
  • Schu­lung

    Vie­len ist unter Umstän­den gar nicht bewusst, wann genau ein Infor­ma­ti­ons­si­cher­heits­vor­fall vor­liegt. Das Erken­nen von Vor­fäl­len und damit ver­bun­den die Mel­dung sind ele­men­tar. Tat­säch­lich nimmt man sich bei zu wenig Mel­dun­gen die Chan­ce, Risi­ken zu identifizieren. 
  • Ana­ly­sie­ren und Lernen

    Ein Sprich­wort sagt „fool me once, shame on you. Fool me twice, shame on me “. Die Bewer­tung aller Vor­fäl­le und die Aus­lei­tung geeig­ne­ter Maß­nah­men ist ele­men­tar. Je mehr Vor­fäl­le, des­to mehr kann man ler­nen. Sich wie­der­ho­len­de Vor­fäl­le sind oft Hin­wei­se auf eine ver­pass­te Chance!
  • Ein­fa­che Meldewege

    Je ein­fa­cher und all­täg­li­cher die Mög­lich­kei­ten sind, einen Vor­fall geeig­net und gege­be­nen­falls auch anonym zu adres­sie­ren, des­to mehr Vor­fäl­le wer­den auch gemel­det wer­den. Hier spie­len Kul­tur und Schu­lung eine sehr wich­ti­ge Rolle. 
  • Daten sam­meln und bewerten

    Vor­fäl­le soll­ten in einer Form gesam­melt wer­den, die auch bei grö­ße­ren Zah­len eine Erken­nung von Mus­tern erlaubt, z. B. gehäuf­tes Auf­tre­ten inner­halb eines bestimm­ten Zeit­raums, oder einer Benut­zer , Sys­tem- oder Gerä­te­grup­pe. Hier kann man sich her­vor­ra­gend am klas­si­schen Pro­blem Manage­ment orientieren. 

Prak­ti­sche Tipps für die Umset­zung eines Secu­ri­ty Inci­dent Manage­ments 

Schu­len Sie ihre Mit­ar­bei­te­rIn­nen wie sie Beob­ach­tun­gen und Vor­fäl­le mel­den können.

Ermu­ti­gen Sie Mit­ar­bei­te­rIn­nen mög­li­che Sicher­heits­vor­fäl­le zu mel­den und doku­men­tie­ren Sie alle Vor­fäl­le sorgfältig.

Legen Sie SLAs für alle wesent­li­chen IT-Sys­te­me fest, z.B. 9h x 5 Tage x maxi­mal 15 Minu­ten Aus­falls­zeit pro Monat.

Unter­schei­den Sie bei der Bewer­tung von mög­li­chen Sicher­heits­vor­fäl­len zwi­schen Stö­run­gen (Behe­bung inner­halb der tole­rier­ba­ren SLAs) und  Sicher­heits­vor­fäl­len (Ver­let­zung der defi­nier­ten SLAs).

Den­ken Sie bei Sicher­heits­vor­fäl­len nicht nur an Ver­trau­lich­keits­ver­let­zun­gen wie Infor­ma­ti­ons­dieb­stahl bei einer Ran­som­wa­re-Atta­cke, son­dern viel häu­fi­ger an die Ver­füg­bar­keits­ver­let­zung wesent­li­cher IT-Diens­te durch feh­len­de Red­un­dan­zen oder unvoll­stän­dig getes­te­te Patches und Updates.

Ver­su­chen Sie aus allen Sicher­heits­vor­fäl­len inner­be­trieb­li­chen Sicher­heits­ver­bes­se­run­gen abzu­lei­ten, indem man bei jedem Vor­fall eine Ursa­chen­ana­ly­se durch­führt, wobei die Ursa­che für den Vor­fall kri­tisch hin­ter­fragt wird.

Gast­bei­trag von Frank Eppinger:

Frank Eppin­g­er hat 25+ Jah­re IT-Erfah­rung in den Bran­chen Auto­mo­ti­ve, Finan­ce, Media und Con­sul­ting. Er ist Exper­te in Infor­ma­ti­ons­si­cher­heit (Infor­ma­ti­ons­si­cher­heits­be­auf­trag­ter, beru­fe­ner TISAX Lead Audi­tor), eine erfah­re­ne Füh­rungs­kraft mit umfang­rei­chen Kennt­nis­sen in IT Gover­nan­ce und Risi­ko­ma­nage­ment, Pro­jekt­ma­nage­ment, Daten­in­te­gra­ti­on und IT-Betrieb. Sei­ne Schwer­punk­te lie­gen im Bereich der Infor­ma­ti­ons­si­cher­heit, IT-Sicher­heit (ISO 27001, VDA-ISA / TISAX), Qua­li­täts­ma­nage­ment, Pro­jekt­ma­nage­ment, IT Ser­vice Manage­ment / ITIL, Finanz- und Auto­mo­bil­ge­schäfts­kom­pe­tenz, Per­so­nal­ent­wick­lung, Inter­na­tio­na­les Roll­out- und Release-Manage­ment, Orga­ni­sa­to­ri­sches Ände­rungs­ma­nage­ment und IT-Post-Merger-Integration.