Auf den ersten Blick klingt die Überschrift widersinnig, riskieren wir einen zweiten Blick. Informationssicherheitsvorfälle sind Vorkommnisse, die hinsichtlich der Schutzziele Vertraulichkeit, Integrität und Verfügbarkeit Schäden an Informationswerten einer Organisation anrichten. Teilweise führen die Vorkommnisse zur Verletzung von vertraglichen, regulatorischen oder gesetzlichen Vorgaben mit entsprechenden Konsequenzen, im schlimmsten Fall sind sie irreversibel. Was also kann an Informationssicherheitsvorfällen gut sein?
Security Incident – wirklich ein seltenes Ereignis?
Die Aufrechterhaltung und Verbesserung der Informationssicherheit leben davon, dass man vollständige Transparenz bezüglich der Wirksamkeit der Maßnahmen hat. Die Zahl der Bedrohungen, Vorfälle und Schäden steigt stetig steil an. Hält man Auditberichte dagegen, so bekommt man den Eindruck Informationssicherheitsvorfälle sind bedauerliche Einzelereignisse. Mit Informationssicherheitsvorfällen verhält es sich scheinbar wie mit der Volksmusik, sie verzeichnet die größten Umsätze in der Musikbranche, aber keiner gibt zu diese zu hören. In der Informationssicherheit liefern Informationssicherheitsvorfälle über einen zeitlichen Verlauf wichtige Kennzahlen. Bei Überprüfungen liegen dagegen oft nur eine Handvoll mühsam zusammengetragener Vorfälle vor. Damit nimmt man sich selbst die Möglichkeit wirksam zu handeln.
Frei nach Tom DeMarco: „Du kannst nicht kontrollieren, was Du nicht messen kannst.“
Wo helfen Informationssicherheitsvorfälle?
- Sind meine Erkennungsmechanismen tatsächlich wirksam?
Man sollte sich bei einer geringen Anzahl an bekannten Vorfällen fragen, was dies bedeute. Gibt es keine oder wenig Vorfälle, oder werden sie nicht wirksam erkannt? Dabei sollte man nicht nur die Gesamtzahl betrachten, sondern auch Themenblöcke, z. B. physische Sicherheit, Netzwerksicherheit oder Endpoint Protection, um Problem-Felder zu erkennen.
- Sind meine Maßnahmen wirksam?
Kennzahlen und Trends geben die besten Hinweise darauf, in welchem Umfang Maßnahmen notwendig sind und ob die umgesetzten Maßnahmen wirken. Äußere Einflüsse, etwa die Verschärfung der Bedrohungslage oder eine Veränderung der Schwachstelle(n) haben direkten Einfluss auf einen Trend. Eine Maßnahme kann auch bei steigender Trendlinie sinnvoll und wirksam sein – nur möglicherweise nicht ausreichend. Im Ergebnis sollten Experten das bewerten, und das tun sie am besten auf Basis einer aussagekräftigen und relevanten Anzahl von Vorfällen.
- Haben MitarbeiterInnen, Partner und Dienstleister das nötige Sicherheitsbewusstsein?
Viele Maßnahmen im Bereich Sicherheitsbewusstsein sind organisatorisch, beispielsweise Schulungen, regelmäßige Kommunikation, sowie Leit- bzw. Richtlinien. Zunehmend viele Organisationen unternehmen Phishing-Tests. Warum? Weil die Fehlerquote, also eine Anzahl von Sicherheitsvorfällen eine wichtige Kennzahl liefert dafür, ob es Handlungsbedarf bei der Bildung des Sicherheitsbewusstseins gibt.
- Kann ich angemessen auf Vorfälle reagieren (Incident Response)?
Nichts ist so ernst wie das wahre Leben. Die Fähigkeit wirkungsvoll Schaden abzuwenden, kann am belastbarsten anhand echter Vorfälle bewertet werden. Das soll keinesfalls den Nutzen von Notfalltests infrage stellen, sie sind wichtig und sinnvoll aber am Ende oft zu theoretisch. Die Frage, ob man nach der Behandlung eines echten Vorfalls ruhig schläft, ist ein sehr guter Indikator für das Vertrauen der Verantwortlichen in die ergriffenen Maßnahmen.
- Wie identifiziere ich Schwachstellen?
Nicht nur in der Summe, auch einzelne Vorfälle helfen dabei, bisher unbemerkte Gefährdungen wie Schwachstellen zu identifizieren. Dazu gehört die Bewertung jedes Vorfalls. Oft werden Impulse von außen gesetzt, Schwachstellen-Datenbanken, Newsletter oder Herstellerinformationen. Jedoch sollte man nicht außer Acht lassen, dass ein Teil der Risiken organisationsspezifisch ist. Diese Risiken können nur durch hoffentlich schadensarme Vorfälle entdeckt und zukünftig verhindert werden.
Was kann man verbessern?
Die goldene Regel des Testens von E. W. Dijkstra lautet: „Durch Testen kann man stets nur die Anwesenheit, nie aber die Abwesenheit von Fehlern beweisen.“ Das gilt im übertragenen Sinne auch für Informationssicherheitsvorfälle. Durch einen diszipliniert gelebten Risikoprozess können Bedrohungen und Schwachstellen identifiziert werden. Aber eben lange nicht alle. Hier leisten echte Vorfälle einen wichtigen Beitrag zur Verbesserung der eigenen Informationssicherheit.
Die folgenden Vorschläge können helfen, Gewinn aus Informationsvorfällen zu ziehen:
- Fehler- und Sicherheitskultur schaffen
Sicherheitsbewusste MitarbeiterInnen, Partner und Dienstleister sind ein effektiver Schutz gegen Informationssicherheitsrisiken. Gehen sie ernst und offen mit Vorfällen um. Bestärken sie alle Beteiligten, offen und schnell auch bei Verdacht zu melden.
- Schulung
Vielen ist unter Umständen gar nicht bewusst, wann genau ein Informationssicherheitsvorfall vorliegt. Das Erkennen von Vorfällen und damit verbunden die Meldung sind elementar. Tatsächlich nimmt man sich bei zu wenig Meldungen die Chance, Risiken zu identifizieren.
- Analysieren und Lernen
Ein Sprichwort sagt „fool me once, shame on you. Fool me twice, shame on me “. Die Bewertung aller Vorfälle und die Ausleitung geeigneter Maßnahmen ist elementar. Je mehr Vorfälle, desto mehr kann man lernen. Sich wiederholende Vorfälle sind oft Hinweise auf eine verpasste Chance!
- Einfache Meldewege
Je einfacher und alltäglicher die Möglichkeiten sind, einen Vorfall geeignet und gegebenenfalls auch anonym zu adressieren, desto mehr Vorfälle werden auch gemeldet werden. Hier spielen Kultur und Schulung eine sehr wichtige Rolle.
- Daten sammeln und bewerten
Vorfälle sollten in einer Form gesammelt werden, die auch bei größeren Zahlen eine Erkennung von Mustern erlaubt, z. B. gehäuftes Auftreten innerhalb eines bestimmten Zeitraums, oder einer Benutzer , System- oder Gerätegruppe. Hier kann man sich hervorragend am klassischen Problem Management orientieren.
Praktische Tipps für die Umsetzung eines Security Incident Managements
Schulen Sie ihre MitarbeiterInnen wie sie Beobachtungen und Vorfälle melden können.
Ermutigen Sie MitarbeiterInnen mögliche Sicherheitsvorfälle zu melden und dokumentieren Sie alle Vorfälle sorgfältig.
Legen Sie SLAs für alle wesentlichen IT-Systeme fest, z.B. 9h x 5 Tage x maximal 15 Minuten Ausfallszeit pro Monat.
Unterscheiden Sie bei der Bewertung von möglichen Sicherheitsvorfällen zwischen Störungen (Behebung innerhalb der tolerierbaren SLAs) und Sicherheitsvorfällen (Verletzung der definierten SLAs).
Denken Sie bei Sicherheitsvorfällen nicht nur an Vertraulichkeitsverletzungen wie Informationsdiebstahl bei einer Ransomware-Attacke, sondern viel häufiger an die Verfügbarkeitsverletzung wesentlicher IT-Dienste durch fehlende Redundanzen oder unvollständig getestete Patches und Updates.
Versuchen Sie aus allen Sicherheitsvorfällen innerbetrieblichen Sicherheitsverbesserungen abzuleiten, indem man bei jedem Vorfall eine Ursachenanalyse durchführt, wobei die Ursache für den Vorfall kritisch hinterfragt wird.
Gastbeitrag von Frank Eppinger:
Frank Eppinger hat 25+ Jahre IT-Erfahrung in den Branchen Automotive, Finance, Media und Consulting. Er ist Experte in Informationssicherheit (Informationssicherheitsbeauftragter, berufener TISAX Lead Auditor), eine erfahrene Führungskraft mit umfangreichen Kenntnissen in IT Governance und Risikomanagement, Projektmanagement, Datenintegration und IT-Betrieb. Seine Schwerpunkte liegen im Bereich der Informationssicherheit, IT-Sicherheit (ISO 27001, VDA-ISA / TISAX), Qualitätsmanagement, Projektmanagement, IT Service Management / ITIL, Finanz- und Automobilgeschäftskompetenz, Personalentwicklung, Internationales Rollout- und Release-Management, Organisatorisches Änderungsmanagement und IT-Post-Merger-Integration.
