Startseite » Ratgeber » IT-Notfall » Das IT-Notfallmanagement
Das IT-Notfallmanagement
Ist ein IT-Notfall eingetreten, setzt das sogenannte IT-Notfallmanagement ein. Jedes Unternehmen sollte vorab bereits intensiv über das eigene IT-Notfallmanagement nachgedacht haben. Das ist hauptsächlich deshalb wichtig, weil im Ernstfall verständlicherweise nur wenig Zeit für derartige Überlegungen bleibt.
Zum IT-Notfallmanagement gehören unterschiedliche Aspekte einer ganzheitlichen Sicherheitsstrategie. Es umfasst immer mehr als einen einzelnen Punkt, weil es das gesamte Konstrukt beschreibt, welches Schaden minimieren und die Wiederherstellung nach Ausfällen entsprechend beschleunigen soll.
Vorbereitung auf einen IT-Notfall
Beginnen wir mit ein paar Punkten, die noch vor dem IT-Notfall entscheidend sind. Dazu gehören unter anderem ein ausgearbeiteter IT-Notfallplan, genau wie auch der Kontakt zu digitalen Ersthelfern, sollte es zu einem IT-Notfall kommen. Wer gut vorbereitet ist, kann Cyberangriffe oft erfolgreich abwehren und verhindert so unter Umständen die Infizierung mit Ransomware oder einen sonstigen Datenverlust innerhalb der eigenen IT-Systeme.
Präventive IT-Sicherheitsmaßnahmen
Noch bevor der eigentliche IT-Notfall eintrifft, sollten entsprechende Präventivmaßnahmen in Bezug auf die Cybersicherheit eingeleitet werden. Dazu gehört es, dass entsprechende Firewalls eingerichtet und konfiguriert werden, aber auch, dass Antiviren-Software verhindert, dass sich Schadsoftware auf den IT-Systemen weiter ausbreiten oder überhaupt erst installieren kann. Natürlich schützt das nicht vor besonders ausgeklügelten Hackerangriffen und Cyberattacken, es verhindert aber viele Standardangriffe, die durch Phishing-Mails oder getarnte Dateien und gefälschte Dateitypen vollzogen werden.
Regelmäßige Sicherheitsprüfungen, sogenannte Security Audits, können ebenso dazu beitragen, die Sicherheit im eigenen Unternehmen massiv zu steigern. Vor allem unabhängige Audits von Sicherheitsfirmen offenbaren häufig Schwachstellen, die von der eigenen IT übersehen oder nicht allzu sehr beachtet wurden. Im Bereich der Cybersicherheit gilt, dass selten an alles gedacht werden kann und mehrere Augen oft auch mehr sehen oder zumindest weitere Möglichkeiten entdecken, die zukünftig zu einem Sicherheitsproblem oder einer Schwachstelle werden könnten.
Security Awareness Trainings und Schulungen, die Mitarbeiter für verschiedene Arten von Angriffen sensibilisieren, sind ebenfalls das A und O moderner Sicherheitsmaßnahmen. Nur wenn Mitarbeiter wissen, wie Phishing im Detail funktioniert und abläuft, können sie gesondert darauf achten und wissen, dass eine vermeintlich gefälschte Datei bereits größtmöglichen Schaden verursachen kann.
Zu guter Letzt gehören auch Backup- und Wiederherstellungspläne zu den präventiven IT-Sicherheitsmaßnahmen. Nur mit diesen kann sichergestellt werden, dass alle Daten vorhanden sind und jederzeit problemlos wiederhergestellt werden können. Ein IT-Notfallplan ist ebenfalls fester Bestandteil etwaiger Präventivmaßnahmen. Diesen möchten wir aber noch einmal gesondert behandeln.
IT-Notfallplan in die Praxis umsetzen
Die Incident Response ist die Reaktion auf Sicherheitsvorfälle und diese wird im sogenannten Incident Response Plan festgelegt. Der Incident Response Plan hingegen ist umgangssprachlich oft auch einfach als IT-Notfallplan bekannt, da er die ersten Reaktionen umfasst und maßgebliche Strukturen bereitstellt, die bei einem IT-Notfall von besonderer Bedeutung sind oder sein können. Ob es nun Incident Response oder IT-Notfallreaktion genannt wird, spielt hingegen nur innerhalb der Unternehmenskommunikation eine Rolle. Hier ist wichtig, dass jeder die gleichen Begriffe verwendet, um ein gemeinsames Vokabular zu etablieren, bei dem jeder Mitarbeiter sofort versteht, worum es sich bei den verwendeten Begriffen handelt.
Wie eben bereits angedeutet, ist mit der Incident Response, frei übersetzt und entsprechend gedeutet, die Reaktion auf Sicherheitsvorfälle gemeint. Genau wie der IT-Notfallplan gibt es auch einen Incident Response Plan, der die Reaktion während des IT-Notfalls genauestens beschreibt und damit grundlegend vereinfacht. Im Kern ist der Incident Response Plan also recht ähnlich zu dem IT-Notfallplan und je nach Deutung beinhaltet er manchmal auch schlichtweg dieselbe zugrundeliegende Idee.
Bei einem tatsächlichen IT-Notfall geht, wie immer bei einer Katastrophe, plötzlich alles ganz schnell. Mit einem IT-Notfallplan werden Fehler vermieden, die im Stress eines IT-Sicherheitsvorfalls zwangsläufig begangen werden. Durch genaue und vorherige Planung der Reaktion auf solch einen Vorfall (der Incident Response), wird also primär verhindert, dass spontan falsche Entscheidungen getroffen werden (oder getroffen werden müssen), die später unvorhergesehene Konsequenzen nach sich ziehen können.
Der IT-Notfallplan ermöglicht also ein sofortiges Handeln im Falle eines Cyberangriffs. Durch klare Abfolgen und festgelegte Hierarchien ist bei einem Cyberangriff sofort klar, **wer** im Team, **was** zu sagen hat (Verteilung der Verantwortlichkeiten) und **wie** die weiteren Schritte aussehen, um den Angriff schnellstmöglich einzudämmen. In erster Linie wird im IT-Notfallplan also die Notfallsituation selbst strukturiert, sodass eine schnelle Bewältigung möglich ist und die Auswirkungen weitestgehend minimiert werden.
Das wiederum sorgt dafür, dass die Geschäftskontinuität aufrechterhalten werden kann und kein oder nur ein sehr geringer finanzieller Schaden entsteht. Mal ganz davon abgesehen, dass ein IT-Notfallplan unter Umständen gesetzlich vorgeschrieben ist und Kunden einen solchen für eine konkrete Zusammenarbeit verlangen. Schließlich muss klar sein, dass sich Ihr Unternehmen auch auf mögliche IT-Notfälle vorbereitet und mit einem IT-Notfallplan entsprechend dagegen gewappnet ist. Alles andere wäre auch geradezu fahrlässig.
Digitalen Ersthelfer konsultieren
Hilfreich kann auch der digitale Ersthelfer nach BSI sein. Bei einem digitalen Ersthelfer handelt es sich der Definition nach um eine Person, die einen Unfall sieht und hilft, bevor professionelle Hilfe am Unfallort eintrifft. Auch bei einem IT-Notfall gibt es so einen Ersthelfer, nur dass dieser dann eben digital agiert.
Der digitale Ersthelfer ist also eine Person, die den IT-Notfall bemerkt und eingreift, bevor der IT-Notfalldienst kontaktiert wird. Digitale Ersthelfer besitzen im Unternehmen also etwas mehr Wissen als der Durchschnitt und können daher bereits erste Maßnahmen einleiten oder Systeme offline nehmen, damit diese nicht ebenfalls infiziert oder angegriffen werden. Das ist wichtig, um weiteren Schaden zu vermeiden.
Registrierte Ersthelfer können aber auch tatsächliche Experten sein, die kontaktiert werden, noch bevor der IT-Notdienst eintrifft. Beim BSI können digitale Ersthelfer sogar über eine einfache [Suchmaschine] nach Ort und Postleitzahl gesucht und gefunden werden. Auf diese Weise entdecken Sie im Notfall schnell einen passenden Ersthelfer, der zeitnah reagieren kann, bevor der IT-Notfall einem entsprechenden IT-Notdienst übermittelt wird. Hier geht es vorwiegend darum, den möglichen Schaden durch besonders schnelles Handeln massiv einzudämmen.
Risikobewertung des IT-Notfalls
Um auf einen IT-Notfall reagieren zu können, muss natürlich erst einmal klar sein, worum genau es sich handelt und wie groß das allgemeine Risiko für die eigenen Systeme ausfällt. Eine Risikobewertung ist daher unumgänglich, ebenso wie die Analyse der bestehenden Handlungsoptionen.
Durch die fachkundige Risikobewertung der Schwachstellen oder auch akuten Sicherheitsvorfälle kann die Priorisierung ebendieser erfolgen. Nur durch Priorisierung lassen sich die unternehmenseigenen Ressourcen entsprechend sinnvoll einsetzen und verwalten. Je nach Risiko ist der Einsatz dann mal mehr und mal weniger umfangreich.
Reaktion auf einen IT-Notfall
Die Reaktion auf Cyberangriffe, Systemausfälle und somit alle Arten von IT-Notfällen erfordert stets ein zeitnahes und geschultes Vorgehen. Auf diese Weise lassen sich die Auswirkungen von IT-Notfällen nahezu immer eindämmen und die Implikationen eines Angriffs werden entsprechend reduziert oder zumindest so gering wie möglich gehalten.
Zunächst einmal wird bei einer Reaktion auf einen IT-Notfall das IT-Notfallteam zusammengetrommelt. Durch den IT-Notfallplan weiß selbiges ganz genau, welche Maßnahmen als erstes durchzuführen sind. Außerdem strukturiert der IT-Notfallplan neben den wichtigsten Schritten auch die konkrete Rollenverteilung. Es kommt also nicht zum Kompetenzgerangel, sodass jeder im Team sehr genau weiß, wo seine Aufgaben und Befugnisse liegen und welche Verantwortlichkeiten er dementsprechend besitzt.
Gradlinige Kommunikation und klar verteilte Hierarchien sind es, die die ersten Schritte zur Eindämmung, nach Erkennung des IT-Notfalls, oft besonders effizient gestalten. Wer hier einen klaren IT-Notfallplan aufgesetzt hat, kann meist noch die kritischsten Systeme schützen und verhindert einen weiteren Befall durch schnellstmögliche Eindämmung des Cyberangriffs.
Beseitigung des Vorfalls
Sollte es zu einem IT-Notfall kommen, muss der Cyberangriff (oder andersgeartete Attacken) schnellstmöglich isoliert und gestoppt werden. Das gelingt nicht durch überstürzte und unüberlegte Reaktionen, sondern durch gezielte Maßnahmen von erfahrenen IT-Sicherheitsexperten. Teile des Tagesgeschäfts werden im Zuge der Vorkehrungen daher oft heruntergefahren, Logins gänzlich eingestellt und bestimmte, vielleicht schon befallene Systeme, zeitnah isoliert, um die restliche IT-Infrastruktur zu schützen.
Die Beseitigung des Vorfalls ist ein Thema für sich und kann hier nicht in ihrer Gänze behandelt werden. Als Reaktion auf den IT-Notfall gehört die Lösung des eigentlichen Problems, nämlich die Beendigung des Cyberangriffs, jedoch selbstverständlich mit zu den essenziellen Punkten.
Dokumentation des Vorfalls
Für rechtliche Schritte, aber ebenso für die nachträgliche Analyse im eigenen Unternehmen, ist es unbedingt erforderlich, dass eine genaue Dokumentation der Vorfälle erfolgt. Jeder IT-Notfall sollte daher so genau wie möglich definiert und festgehalten werden. Zeichnen Sie alle Vorgänge und Maßnahmen genauestens auf, um sie hinterher noch einmal tiefgehender analysieren zu können. Die gesammelten Ereignisse und Beweise gilt es dann noch einmal gesondert abzulegen
Wiederherstellung der IT-Systeme
Nach der erfolgten sowie erfolgreichen Reaktion auf den IT-Notfall, gilt es die bestehenden Systeme wieder hochzufahren und wiederherzustellen. Wiederherstellungspläne aus dem IT-Notfallplan sorgen dafür, dass die Wiederherstellung besonders reibungslos und ohne weitere Probleme verläuft. Anschließend kann der schrittweise Betrieb vorsichtig wiederaufgenommen werden, wobei weiterhin besonders auf unvorhergesehene und auffällige Vorkommnisse geachtet werden sollte.
Ruhe bewahren und Maßnahmen einleiten
Wann immer Geschäftsprozesse durch einen IT-Vorfall beeinträchtigt werden oder Daten und IT-Systeme in Gefahr sind, handelt es sich um einen IT-Notfall. Dieser hat Auswirkungen auf Ihr gesamtes Unternehmen und stellt damit einen geschäftsschädigenden Vorfall dar, der auch Kunden oder interne Daten betreffen kann. Ob das nun Ransomware, Datendiebstahl, DDoS-Attacken oder andere Formen von Cyberangriffen sind, spielt erst einmal keine Rolle. Der IT-Notfall fordert eine sofortige Reaktion und entsprechende Maßnahmen, die den gefährlichen Vorgang eindämmen, beseitigen und abschließend analysieren.
Dabei helfen IT-Notfallpläne, ein ausgefeiltes IT-Notfallmanagement sowie die anderen hier beschriebenen Maßnahmen. Vor allem aber helfen Ihnen spezialisierte Dienstleister, die sich mit derartigen Angriffen bestens auskennen, die Vorgehensweisen bereits genau kennen und deshalb meist weitaus effizienter reagieren können als das IT-Team im eigenen Unternehmen. Diese IT-Notfalldienste haben wir Ihnen hier ebenfalls verlinkt, genau wie auch die wichtigen digitalen Ersthelfer.
Mit der IT-Notfallkarte und unserer eigenen IT-Notfall Checkliste sind Sie nun bestens gegen etwaige Cyberangriffe und Sicherheitsvorfälle gewappnet. Sorgfältig darauf vorbereitet, ist am Ende jeder IT-Notfall nur halb so schlimm und kann mit Ruhe und Gelassenheit beseitigt werden. Bewahren Sie daher immer die Fassung und kontaktieren Sie im Zweifelsfall einen IT-Sicherheitsexperten, der Ihnen bei Ihrem IT-Notfall mit Rat und Tat sowie auch aktiv handelnd zur Seite steht. Wir wünschen Ihnen dabei viel Erfolg und denken, wir könnten eine entsprechende Hilfestellung leisten.