IT-Incident Management: Klare Strategie statt offene Fragen

Florian HumplikSecurity Blog

Beim Betrieb von IT-Systemen sind Störfälle und Sicherheitsvorfälle – sogenannte „Incidents“ – ein wichtiges Thema. So kommunizierte z.B. das US-Online Unternehmen UBER, das sein Taxi-ähnliches Service in ca. 45 Ländern ausschließlich online anbietet, Ende Februar 2015 einen solchen Sicherheitsvorfall: Unbefugte hatten Zugang zu vermutlich 50.000 personenbezogenen Unternehmensdaten erlangt (http://blog.uber.com/2-27-15). Dabei war laut UBER der Zugriff auf die Namen und Führerscheinnummern von Partnern erfolgt, die das Mitfahrservice in den jeweiligen Ländern im Rahmen von UBER anbieten.

Risiken am Prüfstand

Die zentrale Frage für Organisationen und Unternehmen ist: Wie reagiert man richtig, wenn es zu einem „incident“ kommt? Alle damit verbundenen technischen und organisatorischen Maßnahmen sind im IT-Incident Management zu regeln. Die Reaktion auf einen Sicherheitsvorfall wird sich von Organisation zu Organisation unterscheiden und von der Strategie des jeweiligen Unternehmens abhängig sein. Die Risiken für die eingesetzten IT-Systeme sind individuell abzuwägen. Diese Risikobewertung kann sich im Laufe der Zeit selbstverständlich ändern. Klar ist: Je höher die Anforderungen an Qualität und Sicherheit sind, desto höher werden auch die Ressourcen für den Betrieb und die Behebung von Incidents ausfallen müssen.

Vorbereitung macht den Unterschied

Im Fall des Falls sollte es für Online-Unternehmen wie UBER, Amazon, Facebook oder Google nicht die erste Handlungsoption sein, wichtige Online-Dienste vom Netz zu nehmen. Derartige Unternehmen werden hingegen weder Mühen noch Kosten scheuen, um identifizierte Probleme rasch zu beheben. Anders verhält es sich bei einer Supermarktkette ohne Online-Shop: Die temporäre Abschaltung der Unternehmenshomepage ist für ein solches Unternehmen durchaus eine Handlungsoption.

Wichtig für erfolgreiches IT-Incident-Management ist es, dass sich eine Organisation professionell auf derartige Vorfälle vorbereitet. Dabei gelten klare Grundsätze:

  • Die Rollen für den Fall des Falls sind für alle Akteure klar verteilt. So wird keine wertvolle Zeit für langwierige Abstimmungen vergeudet.
  • Die technische Lösung eines Incidents innerhalb der eigenen Organisation ist nur ein Teil des IT-Incident Managements: Bei Incidents mit externer Wirkung stellt die Kommunikation mit externen Stakeholdern (z.B. Kunden) eine der größten Herausforderungen dar.
  • Organisationen, die wegen eines Incidents zum ersten Mal auf negative Berichterstattung in den Medien reagieren müssen, werden ohne entsprechende Vorbereitung darauf weder zeitnah noch angemessen reagieren können.
  • Auf Zeit zu spielen, ist in Sicherheitsfragen nie eine überzeugende Handlungsoption.
Offene Fragen

Das Beispiel UBER zeigt, dass auch Online-Profis wie UBER erheblichen Handlungsbedarf haben: UBER hat den am 13. Mai 2014 erfolgten Zugriff erst am 17. September 2014 bemerkt. Und kommuniziert wurde der Vorfall erst am 27. Februar 2015 – also fünf Monate später. Diese Vorgangsweise wirft zahlreiche Fragen auf. Aus dem nur auf der Website veröffentlichten UBER-Statement geht etwa nicht eindeutig hervor, ob der Einbruch tatsächlich nur auf Führerscheindaten der UBER-Fahrer abzielte, sondern auch auf Kreditkarteninformationen der Kunden. Einerseits wurde nämlich kommuniziert, dass keine Kreditkarteninformationen entwendet wurden. Andererseits wurden den Kunden aber unentgeltlich kommerzielle Services eines anderen Unternehmens angeboten, damit sie allfällige suspekte Kontotransaktionen erkennen können. Offen blieb auch, warum UBER so sicher war, dass die Eindringlinge nicht einfach nur einen Fehler beim Clean-up nach dem Einbruch begangen habe – oder ob sie vielleicht absichtlich Spuren hinterlassen haben. Unklar ist schließlich auch, ob UBER so viel Zeit bis zur Information seiner Kunden verstreichen hat lassen, um das Risiko besser einschätzen zu können – oder ob nicht doch noch andere Daten entwendet wurden.

EU-Initiative für mehr Datensicherheit

Der professionelle Umgang mit Incidents wird übrigens auch bald zur rechtlichen Verpflichtung in der Europäischen Union: Nachdem die Europäische Agentur für Netz- und Informationssicherheit (ENISA) 2011 einen Bericht über Meldungen von Verletzungen der Datensicherheit („Data Breach Notifications“) veröffentlichte, wurde auf europäischer Ebene die Forderung nach einer verpflichtenden „Data Breach Notification“ im Rahmen der elektronischen Kommunikation (gemäß e-Privacy-Richtlinie 2002/58/EG) erhoben. Damit soll ein entscheidender Beitrag zur langfristigen Verbesserung der Datensicherheit in Europa geleistet werden. Ein entsprechender Entwurf der EU-Kommission befindet sich in Diskussion.

Teilen