Was ist ein Cybersicherheitsvorfall?

Ein Cybersicherheitsvorfall ist eine bestimmte Art von Sicherheitsvorfall, bei dem digitale Ressourcen, Computersysteme, Netzwerke oder Daten verletzt oder kompromittiert werden. Dazu gehören Vorfälle, die mit der absichtlichen Ausnutzung digitaler Schwachstellen wie Malware, Hackerangriffen, Datenverletzungen oder DoS-Angriffen zusammenhängen. Cybersicherheitsvorfälle können hinsichtlich ihres Umfangs, ihrer Auswirkungen und ihrer Schwere sehr unterschiedlich sein. Sie erfordern sofortige Aufmerksamkeit und Reaktion, um potenzielle Schäden zu mindern.

In welcher Beziehung stehen Cybersicherheitsvorfälle zu Sicherheitsereignissen und Sicherheitsvorfällen?

Zusammenfassend lässt sich sagen, dass ein Cybersicherheitsvorfall eine Untergruppe von Sicherheitsvorfällen ist, die bestätigte Verstöße oder Kompromittierungen der digitalen Sicherheit beinhalten, die zu unbefugtem Zugriff oder potenziellen Schäden führen. Es bedeutet einen erheblichen Verstoß gegen Sicherheitsrichtlinien. Im Gegensatz dazu sind Sicherheitsereignisse Frühindikatoren für potenzielle Bedrohungen, die ungewöhnliche Aktivitäten in IT-Umgebungen hervorheben. Während Sicherheitsereignisse potenzielle Vorläufer von Vorfällen sind, ist ein Cybersicherheitsereignis ein weiter gefasster Begriff, der sowohl kleinere Sicherheitsereignisse als auch größere Sicherheitsvorfälle umfasst. Sicherheitsvorfälle sind alle Aktivitäten, die eine Echtzeitbedrohung für die Integrität des Netzwerks einer Organisation darstellen. Organisationen müssen Cybersicherheitsereignisse sorgfältig überwachen und darauf reagieren, um ihre Cybersicherheitslage zu verbessern und sich vor Sicherheitsvorfällen zu schützen.

Ein Beispiel für einen Cybersicherheitsvorfall aus der Praxis ist der Vorfall mit ChatGPT im März 2023. OpenAI gab den Vorfall zu und veröffentlichte eine Erklärung, in der bestätigt wurde, dass Kreditkarteninformationen, E-Mail-IDs, Mitgliedsnummern, Namen und Adressen einiger Benutzer für andere Benutzer sichtbar waren. Diese Informationen waren neun Stunden lang verfügbar, und Benutzer, die während dieser Zeit aktiv waren, liefen Gefahr, dass ihre Daten für andere Benutzer sichtbar wurden. Dieser Verstoß ist auf einen Fehler in der Open-Source-KI zurückzuführen, die von ChatGPT verwendet wurde.

Die wachsende Relevanz der Cybersicherheit

Die mit Cyberkriminalität verbundenen Risiken nehmen mit dem Fortschreiten des digitalen Zeitalters zu. Das CyberCrime Magazine prognostiziert, dass Cyberkriminalität die Welt bis 2025 jährlich über 10 Billionen US-Dollar kosten wird. Es ist schwierig, die Kapitalrendite bei der Budgetierung der Cybersicherheitsausgaben eines Unternehmens zu berechnen, dennoch bleibt dies von größter Bedeutung. Um die Bedeutung der Cybersicherheit zu unterstreichen, sagte Brian Moynihan, CEO der Bank of America, einmal, dass sie über ein unbegrenztes Budget für Cybersicherheit verfügten.

Es ist entscheidend, die Feinheiten von Cybersicherheitsvorfällen zu verstehen und sie von Sicherheitsereignissen und anderen Vorfällen zu unterscheiden.

Unterschied zwischen einem Sicherheitsereignis und einem Sicherheitsvorfall

Es ist wichtig, den Unterschied zwischen einem Sicherheitsereignis und einem Sicherheitsvorfall zu kennen. Ein Sicherheitsereignis ist ein Vorfall im Netzwerk, der zu einer Sicherheitsverletzung führen kann. Wenn bestätigt wird, dass ein Sicherheitsereignis zu einer Verletzung geführt hat, wird das Ereignis als Sicherheitsvorfall bezeichnet. Ein Sicherheitsvorfall führt zu Risiken oder Schäden für die Ressourcen und Vermögenswerte eines Unternehmens. Auf der Grundlage der festgestellten Verletzung müssen ausreichende Maßnahmen ergriffen werden, um den Schaden zu begrenzen und zu verhindern, dass sich der Vorfall verschlimmert.

Sicherheitsereignisse

Sicherheitsereignisse sind der erste Schritt zur Identifizierung einer Bedrohung oder eines vollständigen Angriffs. Ein Unternehmen kann täglich mit Tausenden von Sicherheitsereignissen konfrontiert sein. Allerdings deuten nicht alle Sicherheitsereignisse auf einen Cyberangriff hin. Beispielsweise löst ein Benutzer, der eine Spam-E-Mail erhält, ein Sicherheitsereignis aus. Solche Ereignisse müssen mit einer SIEM-Lösung überwacht werden, um festzustellen, ob ein Sicherheitsereignis zu einem Sicherheitsvorfall führt.

Im Folgenden werden einige der häufigsten Ursachen für Sicherheitsereignisse erläutert, die in einem Netzwerk analysiert werden sollten.

Firewalls

Eine Firewall kontrolliert den Datenverkehr zum und vom Netzwerk. Firewall-Protokolle liefern den ersten Hinweis auf einen Angriff durch Angreifer. Daher müssen Sicherheitsereignisse, die anhand von Firewall-Protokollen erkannt werden, sorgfältig überwacht werden. Im Folgenden finden Sie einige der häufigsten Sicherheitsereignisse und -vorfälle, die Sie anhand von Firewall-Protokollen überwachen sollten.

• Anstieg des ein- oder ausgehenden Datenverkehrs: Ein Anstieg des ein- oder ausgehenden Datenverkehrs ist ein kritisches Sicherheitsereignis. Bei einer weiteren Überprüfung der Firewall-Protokolle stellt sich heraus, dass mehrere Pakete von IP-Adressen empfangen werden, die Ihrer Organisation unbekannt sind. Dies ist ein Sicherheitsvorfall, da es auf einen möglichen DDoS-Angriff hindeutet.
• Konfigurationsänderungen an Firewall-Richtlinien: Änderungen an Firewall-Konfigurationen sind Sicherheitsereignisse, keine Vorfälle. Wenn jedoch ein Benutzer, dessen Berechtigungen kürzlich erweitert wurden, versucht, die Firewall-Konfigurationen zu ändern, wird das Ereignis als Sicherheitsvorfall bezeichnet.
• Änderungen an den Firewall-Einstellungen: Änderungen an den Firewall-Regeln können normale Ereignisse sein, es sei denn, sie ermöglichen Datenverkehr von oder zu einem bösartigen C2C-Server oder einer anderen bösartigen Quelle zum Zwecke der Datenexfiltration. In solchen Fällen wird die Änderung zu einem Sicherheitsvorfall. Daher ist es notwendig, diese Änderungen sorgfältig zu überwachen.

Kritische Server

Kritische Server wie Dateiserver, Webserver und Domänencontroller sind sehr anfällig für Angriffe, da die Kompromittierung dieser Systeme bedeutet, dass man weitgehend die Kontrolle über das Netzwerk oder die Daten erlangt. Die Überwachung aller Benutzeraktivitäten und Änderungen an den Konfigurationen dieser Server ist von entscheidender Bedeutung. Einige der häufigsten Sicherheitsereignisse, die Sie auf kritischen Servern überwachen sollten, sind:

• Benutzeranmeldungen.
• Änderungen der Benutzerberechtigungen für den Zugriff auf die Server.
• Änderungen an den Systemeinstellungen.
• Änderungen an den Sicherheitskonfigurationen.

Wenn sich bei der Untersuchung herausstellt, dass die oben genannten Ereignisse aus einer verdächtigen Quelle stammen oder auf ungewöhnliches Benutzerverhalten hindeuten, handelt es sich um Sicherheitsvorfälle.

Dies sind einige häufige Ereignisse, die Sie überwachen sollten. Je nach Funktionalität der Server können Sie weitere Ereignisse zur Überwachung hinzufügen. Bei einem Webserver ist es beispielsweise unerlässlich, die Protokolle auf Injektionsversuche zu überwachen.

Datenbanken

Datenbanken sind eines der häufigsten Ziele für Angreifer, da sie Mitarbeiterdaten, vertrauliche Geschäftsdaten und vieles mehr speichern. Einige der häufigsten Sicherheitsereignisse in Datenbanken sind:

• Änderungen an Datenbanktabellen: Änderungen an den Tabellen in einer Datenbank durch privilegierte Benutzer sind Sicherheitsereignisse. Wenn ein solcher Benutzer mehrere Tabellen manipuliert, handelt es sich um einen Sicherheitsvorfall.
• Änderungen an Benutzerrechten: Wenn die Berechtigungen eines Benutzers für den Zugriff auf Datenbankressourcen erweitert werden, handelt es sich um ein Sicherheitsereignis. Dies wird zu einem Sicherheitsvorfall, wenn der Benutzer mit kürzlich erweiterten Berechtigungen versucht, die Berechtigungen anderer Benutzer zu ändern, indem er Mitglieder zur Sicherheitsgruppe der Datenbankadministratoren hinzufügt oder daraus entfernt.
• Zugriff auf oder Extraktion von sensiblen Daten: Biometrische Informationen von Mitarbeitern, Kundendaten und Transaktionsdetails sind Beispiele für sensible Unternehmensinformationen. Wenn ein Benutzer versucht, solche Informationen aus der Datenbank zu extrahieren, handelt es sich um einen Sicherheitsvorfall.

Endpunkte

Endpunkte wie Laptops und Desktops generieren täglich eine enorme Menge an Sicherheitsereignissen. Einige der häufigsten Sicherheitsereignisse, die Sie von Endpunkten aus überwachen müssen, sind:

• Fehlgeschlagene Anmeldeversuche Wenn sich ein Benutzer nach wiederholten fehlgeschlagenen Versuchen bei seinem Gerät anmeldet, handelt es sich um ein Sicherheitsereignis. Wenn ein solches Ereignis dazu führt, dass der Benutzer versucht, seine Berechtigungen zu erweitern, handelt es sich um einen Sicherheitsvorfall.
• Unautorisierte Softwareinstallationen: Das Herunterladen und Installieren nicht autorisierter Software auf einem Gerät ist ein Sicherheitsereignis. Wenn eine solche Anwendung die Funktion anderer Anwendungen beeinträchtigt und zu einer Fehlfunktion des Geräts führt, wird dies als Sicherheitsvorfall bezeichnet.

Sicherheitsvorfälle

Ein Sicherheitsvorfall ist ein Sicherheitsereignis, das im Rahmen eines Angriffs oder einer Sicherheitsbedrohung Netzwerkressourcen oder Daten beschädigt. Ein Vorfall verursacht nicht immer einen direkten Schaden, stellt jedoch dennoch ein Risiko für die Sicherheit des Unternehmens dar. Wenn ein Benutzer beispielsweise auf einen Link in einer Spam-E-Mail klickt, handelt es sich um einen Sicherheitsvorfall. Dieser Vorfall verursacht zwar keinen direkten Schaden, kann jedoch zur Installation von Malware führen, die einen Ransomware-Angriff auslöst.

Zu den Sicherheitsvorfällen, die Sie in Ihrem Netzwerk überwachen sollten, gehören:

• Datenverkehr von bekannten bösartigen IP-Adressen: Mehrere IP-Adressen werden aufgrund mutmaßlicher krimineller Aktivitäten, die über sie durchgeführt werden, als bösartig identifiziert. Die Informationen über bösartige IP-Adressen werden als Bedrohungsinformationen oder Bedrohungs-Feed bezeichnet. Um Datenverkehr aus bösartigen Quellen aufzuspüren, sollten Sie Ihre Sicherheitslösung, z. B. ein SIEM-Tool, so konfigurieren, dass sie Daten zwischen diesen dynamisch aktualisierten Bedrohungs-Feeds und Ihren Netzwerkdatenverkehrsinformationen korreliert. Wenn eine solche IP-Adresse versucht, auf das Netzwerk zuzugreifen, kann Ihre SIEM-Lösung den Versuch erkennen und sofort Gegenmaßnahmen ergreifen.
• Verdächtige Malware-Installationen auf Endgeräten: Täglich werden Millionen von bösartigen E-Mails mit echt aussehenden Anhängen an Menschen verschickt. Wenn ein solcher Anhang von einem ahnungslosen Benutzer geöffnet wird, kann dies dazu führen, dass Malware auf dem Gerät installiert wird. Der Angreifer kann über die Malware sensible Informationen extrahieren, die auf dem Gerät des Benutzers gespeichert sind, oder sich Zugang zu den Netzwerkressourcen des Unternehmens verschaffen. Beides stellt einen Sicherheitsvorfall dar.
• Unbekannte Anmeldeversuche: Unternehmen nutzen VPN-Dienste, um Remote-Benutzern die Verbindung zum Netzwerk der Organisation zu ermöglichen. Wenn es einem Hacker gelingt, die Anmeldedaten eines Remote-Benutzers zu knacken, kann er in das Netzwerk eindringen und einen umfassenden Cyberangriff starten. Wenn ein Benutzer meldet, dass seine Anmeldedaten kompromittiert wurden und er sich in letzter Zeit nicht im Netzwerk angemeldet hat, handelt es sich um einen schwerwiegenden Sicherheitsvorfall, der eine schnelle Reaktion des IT-Administrators erfordert.
• Privilegieneskalationen: Sobald ein Angreifer Zugriff auf das Unternehmensnetzwerk erlangt hat, kann er nur begrenzten Schaden anrichten, indem er sich als der Benutzer ausgibt, den er imitiert. Daher ist sein nächster Schritt oft eine Privilegieneskalation. Durch eine Privilegieneskalation erhält der Angreifer mehr Zugriff und damit eine bessere Kontrolle über das Netzwerk.
• Unbefugte Änderungen an den Konfigurationen kritischer Geräte: Ein unbefugter Versuch, Änderungen an kritischen Diensten wie Firewalls vorzunehmen, deutet auf einen möglichen Angriff auf das Netzwerk hin und wird daher als Sicherheitsvorfall protokolliert.
• Malware-Infektion durch Wechselmedien: Das Anschließen von Wechselmedien wie USB-Sticks und Festplatten an einen Arbeitsplatzrechner kann schädlich sein, wenn das externe Gerät Malware enthält. Wenn ein Antivirenprogramm ein externes Gerät mit Malware entdeckt, wird ein Sicherheitsvorfall protokolliert.
• Datenmanipulation in Datenbanken: Wenn die in den Datenbanken eines Unternehmens vorhandenen Daten von einem unbefugten Benutzer gelöscht oder geändert werden, wird dies als Sicherheitsverletzung bezeichnet, und der IT-Administrator muss sofort Maßnahmen ergreifen, um weiteren Schaden für das Netzwerk des Unternehmens zu verhindern.

Unternehmen müssen Cybersicherheitsvorfälle sorgfältig überwachen und darauf reagieren, um ihre Cybersicherheit zu stärken und ihre Cyberabwehr gegen potenzielle Bedrohungen aufzubauen. Die Implementierung einer SIEM-Lösung (Security Information and Event Management) kann bei der Erkennung, Verwaltung und Eindämmung solcher Vorfälle von entscheidender Bedeutung sein und bietet einen proaktiven Ansatz zum Schutz Ihres Netzwerks.