Was gehört in den Notfallkoffer?

Wie Kommunen den IT-Sicherheitsvorfall mit guter Dokumentation erfolgreich aufarbeiten 

Was tun, bevor ein Informationssicherheitsvorfall eintritt? Antworten dazu gab es auf der diesjährigen eXPO24 – 
der Hausmesse der ekom21 – von Dirk Müller (Foto) und Jens Funk (beide: Kommunales Dienstleistungszentrum Cybersicherheit der ekom21)

Es ist nicht die Frage, „ob“ es kracht, sondern „wann“

Ein fehlerhaftes Update einer Sicherheitssoftware des Herstellers CrowdStrike hat in diesem Sommer weltweit zu Störungen sowie Ausfällen von Computern geführt und gezeigt: Nicht immer sind kriminelle Cyberangriffe der Grund für Informationssicherheitsvorfälle. Auch Baumaßnahmen, technische Defekte der Hardware, Ausfälle bei Dienstleistern, Klimaereignisse oder fehlerhafte Software können zu Ausfällen der IT führen.

Im Folgenden stellen wir einige vorbereitende Maßnahmen vor, die Kommunen treffen können, um ihren Betrieb nach einem Informationssicherheitsvorfall erfolgreich und geordnet wiederaufnehmen zu können.

Das IT-Notfallhandbuch – Der Fahrplan zur Wiederherstellung

Im IT-Notfallhandbuch sind alle wichtigen Informationen zur eigenen IT-Infrastruktur dokumentiert.
Damit gibt es nach einem Informationssicherheitsvorfall den Fahrplan zur Wiederherstellung vor.
Jedes gute IT-Notfallhandbuch sollte folgende Themenbereiche behandeln:

  • Datensicherung

    Welche Daten werden aktuell für welches Fachverfahren benötigt?
    Wie oft müssen welche Daten gesichert werden?

  • Installations- und Konfigurationskonzept 

    Wie sind die Arbeitsrechner bespielt, welche Anwendungen sind dort installiert?

  • Patch- und Änderungskonzept

    Wann sind welche Patches (d. h. Sicherheitsupdates) gelaufen?
    Auf welchem Stand befindet sich die Sicherheitssoftware?
    Ist sie angreifbar (durch fehlende Sicherheitsupdates und Sicherheitslücken) oder nicht?

  • Netzdokumentation und -plan 

    Welche Geräte gehören zum Inventar?
    Wie sieht das IP-Schema aus?
    Wie sind Server, Router und Switches miteinander verbunden?

  • Systemprotokolle

    Vom Betriebssystem generierte Systemprotokolle sind ein wichtiger Teil der Dokumentation und sollten nach einem Informationssicherheitsvorfall gesammelt, gesichert und anschließend geprüft werden. Sie geben Aufschluss über sicherheitsrelevante Systemereignisse und liefern damit Hinweise auf Ursachen und Ausmaß des Informationssicherheitsvorfalls:

    Was läuft noch?
    Was läuft nicht mehr?
    Was hat zum Ausfall geführt?
    Im Fall eines kriminellen Cyberangriffs: An welcher Stelle sind Cyberkriminelle in das System eingedrungen?

  • Rechtlich-regulatorische Anforderungen

    Wo und wem muss der Informationssicherheitsvorfall gemeldet werden?

  • Berechtigungskonzept

    Wer hat welche Zugriffe, wer hat welche Zugriffsschlüssel?

Besonders wichtig: Das Notfallhandbuch muss zentral verfügbar sein – und das sowohl digital als auch analog. Selbst ein vorbildlich gepflegtes Notfallhandbuch ist unbrauchbar, wenn es digital auf den betroffenen Systemen abgelegt ist. Außerdem sollte das Notfallhandbuch regelmäßig auf seine Aktualität und Vollständigkeit geprüft werden.

Das Bewältigungskonzept – Sicherheit und Orientierung in den ersten Stunden und Tagen

Neben der Dokumentation der IT-Infrastruktur im Notfallhandbuch gibt ein gut ausgearbeitetes
Bewältigungskonzept Orientierung und Sicherheit für die nächsten organisatorischen Schritte:

  • Meldungen und Pflichten

    Wer muss den Informationssicherheitsvorfall wo oder wem melden?

    Neben der rechtlichen Meldepflicht sind Kommunen außerdem in der Verantwortung, ihre
    Bürgerinnen und Bürger zu informieren:

    Über welchen Kanal erhalten Bürgerinnen und Bürger Informationen über etwaige Ausfälle von
    Verwaltungsleistungen und -diensten?

  • Handlungsspielräume und Befugnisse

    Wer kann welche Möglichkeiten ausschöpfen und welche Ressourcen mobilisieren, um die Situation zu entschärfen und zu bewältigen?

    Wie sehen die ersten 48 Stunden nach dem Vorfall für die Bürgermeisterin oder den Bürgermeister, die Chefin oder den Chef der IT-Abteilung, die Pressesprecherin oder den Pressesprecher und andere relevante Personen aus?

  • Kommunikation und Aushändigung des Notfallplans

    Wer erstellt und kommuniziert den Notfallplan (wem)?

Versicherungen – Ansprüche später geltend machen

Ein Versicherungsschutz hilft im Moment des Ausfalls nicht dabei, den Betrieb wiederherzustellen.
Dennoch ist eine übersichtliche Dokumentation abgeschlossener Versicherungen jetzt wichtig, denn sie enthält Informationen zu den Versicherungsbedingungen. Diese sollten bei der Aufarbeitung des Vorfalls von Beginn an bekannt sein und eingehalten werden, damit der Versicherungsschutz bestehen bleibt. Bei den Versicherungsbedingungen kann es sich zum Beispiel um Vorgaben zur forensischen Sicherung der Beweiskette handeln oder aber um die Vorgabe, dass ein versicherungseigener Incident Responder (Vorfalls-Experte) hinzuzuziehen ist. In einem späteren Schritt können die Versicherungsansprüche dann mithilfe einer guten Dokumentation geprüft und gegebenenfalls geltend gemacht werden.


Weitere organisatorische Aspekte

Präventiv sollten weitere organisatorische Aspekte geklärt und schriftlich festgehalten werden.

  • Incident Responder und Auftragsverarbeitungsvertrag (AVV)

    Sind die internen Ressourcen begrenzt, so kann zur Bewältigung eines Informationssicherheitsvorfalls externe Unterstützung durch einen Incident Responder (Vorfalls-Experte) hinzugezogen werden. Ein Incident Responder ist ein Unternehmen oder Fachpersonal, das sich im Auftrag um die Aufarbeitung des Vorfalls kümmert. Als Institutionen, die mit personenbezogenen Daten arbeiten, sollten Verwaltungen mit ihrem Incident Responder vorab einen Auftragsverarbeitungsvertrag schließen, der die Bedingungen für die Verarbeitung personenbezogener Daten regelt.

  • Dienstleister: Ansprechpartner, Erreichbarkeiten, Exit-Strategie

    Auch Störungen bei IT- und Clouddienstleistern können zu Ausfällen in der Verwaltung führen.
    Für diesen Fall sollte geklärt sein:

    Wer ist Ansprechpartner für Schnittstellen?
    Wie sind die Erreichbarkeiten des Dienstleisters?
    Was ist im SLA (Service Level Agreement) vereinbart? Wie lange betragen beispielsweise die
    Reaktionszeiten? Wie sieht der Notbetrieb aus?
    Wie sieht die Exit-Strategie aus? Gibt es einen Alternativdienstleister?

Technische Aspekte: Backups

Backups sind ein wichtiger Teil des Datensicherungskonzepts, bei dem es weitere Aspekte zu beachten gibt.

  • 3-2-1-Regel

    Backups sollten nach der 3-2-1-Regel durchgeführt werden.
    3-2-1 bedeutet, dass die Daten mindestens 3-fach auf mindestens 2 verschieden Medientypen gesichert werden sollten, wovon sich mindestens 1 Sicherung offsite befinden sollte, also auf einem Medium, das sich physisch an einem anderen Ort als die übrigen Kopien befindet.

  • Regelmäßige Funktionsprüfung

    Neben der korrekten Sicherung sollte regelmäßig eine Funktionsprüfung der Backups stattfinden und ein entsprechendes Prüfprotokoll erstellt und aufbewahrt werden.

Unser Leitfaden ist im Einzelfall noch zu erweitern und dient zunächst als Orientierung und Anregung für die ersten Dokumentationsschritte – gerne unterstützen wir Sie in allen weiteren Schritten und bei Detailfragen.

Anlaufstellen für individuelle Beratung und weitere Unterstützung

Informationssicherheit: KDLZ-CS (Kommunales Dienstleistungszentrum Cybersicherheit)
Das KDLZ-CS steht Kommunen in allen Fragen der Informationssicherheit zur Seite.
Das breite Leistungsspektrum reicht von der individuellen Bestandsaufnahme mit Maßnahmenempfehlungen bis zur Sensibilisierung durch Awareness-Veranstaltungen.

Notfallmanagement: HECAAZ L/K (Hessisches Cyberabwehrausbildungszentrum Land/Kommune | Hessen3C CyberCompetenceCenter
Das neue Ausbildungsprogramm zur Cyberabwehr des Landes Hessen stärkt die Cyberresilienz hessischer Städte, Gemeinden und Landkreise. Realistische Übungsszenarien bereiten auf mögliche Cyberangriffe vor. Der Schwerpunkt liegt auf Maßnahmen des Business Continuity Managements, also auf Maßnahmen des Notfall- und Krisenmanagements, die eine schnelle Bewältigung des Vorfalls zum Ziel haben.