Sicherheitsvorfall
In der IT ist ein Ereignis alles, was eine Bedeutung für die Hard- oder Software hat. Ein Vorfall ist ein Ereignis, das den normalen Betrieb unterbricht. Sicherheitsereignisse werden in der Regel von Sicherheitsvorfällen durch den Schweregrad und dass damit verbundene potenzielle Risiko für die Organisation unterschieden.
Wenn ein einzelner Anwender beispielsweise der Zugriff auf einen angeforderten Dienst verweigert wird, kann dies als Sicherheitsereignis betrachtet werden. Denn in diesem Fall besteht die Möglichkeit, dass dieser Vorgang auf ein kompromittiertes System hindeutet. Das Zugriffsversagen könnte aber auch durch viele andere Dinge verursacht werden. Und dieses einzelne Ereignis hat normalerweise keine schwerwiegenden Auswirkungen auf das Unternehmen. Wenn jedoch einer größeren Anzahl von Benutzern der Zugriff verweigert wird, bedeutet dies hingegen, dass vermutlich ein schwerwiegendes Problem vorliegt. Dies könnte beispielsweise ein Denial-of-Service-Angriff sein, daher würde man dies dann als Sicherheitsvorfall einstufen.
Gemäß der NIST Special Publication 800-61 ist ein Sicherheitsvorfall die Verletzung einer expliziten oder impliziten Sicherheitsrichtlinie. In seinem IT-Grundschutzkompendium (Ausgabe Februar 2021) weist das Bundesamt für Sicherheit in der Informationstechnik (BSI) darauf hin, dass in einer Institution klar definiert sein muss, was ein Sicherheitsvorfall ist. Und alle an der Behandlung von Sicherheitsvorfällen beteiligten Mitarbeiter müssen diese Definition eines Sicherheitsvorfalls kennen.
Sicherheitsvorfälle können beispielsweise folgende Vorkommnisse sein:
- Versuche von nicht autorisierten Quellen auf Systeme oder Daten zuzugreifen;
- Ungeplante Unterbrechung eines Dienstes oder ein Denial-of-Service-Angriff;
- Unbefugte Verarbeitung oder Speicherung von Daten;
- Unerlaubte Änderungen an Hardware, Firmware oder Software.
Zu den Prozessen und Produkten, die für den Umgang mit Sicherheitsvorfällen entwickelt wurden, gehören ein Vorfallreaktionsplan (IRP, Incident Response Plan), sowie Security-Awareness-Schulungen und SIEM-Lösungen (Security Information and Event Management).