Cyber-Resilienz

Alte Bedrohung, neue Perspektive

Auch mit den besten Sicherheitsmaßnahmen wird es nie gelingen, das Risiko für Cyberangriffe ganz auszumerzen. Unternehmen müssen daher über die traditionelle IT-Security hinausdenken und auf einen Zustand der Resilienz hinarbeiten. Das Ziel: auch bei einem erfolgreichen Cyberangriff noch betriebsfähig zu bleiben.

Ein Fernrohr vor eine unruhigen Küste

Ein neuer Blickwinkel birgt auch in der IT-Sicherheit viel Potenzial.

Das Risiko für Cyberangriffe steigt. Laut dem „Cyber Readiness Report“ des Spezialversicherers Hiscox waren 2018 bereits 61 Prozent der deutschen Unternehmen von einem Vorfall betroffen. 2017 lag die Zahl noch bei 48 Prozent. Viele Organisationen denken daher darüber nach, wie sie ihre Cyber Security verbessern können. Fakt ist: 100-prozentige Sicherheit wird es nie geben. Auch bei den besten Schutzvorkehrungen besteht immer noch ein Restrisiko für einen erfolgreichen Angriff. Denn Hacker entwickeln immer effektivere Techniken, Systeme können einmal versagen und Menschen machen Fehler. Unternehmen sollten sich dessen bewusst sein und einen Zustand der „Sustainable Cyber Resilience“ anstreben, der nachhaltigen Widerstandsfähigkeit. Dabei handelt es sich um ein Konzept, das über die reine IT-Sicherheit hinausgeht. Es umfasst zusätzlich Maßnahmen, um trotz eines erfolgreichen Cyberangriffs betriebsfähig zu bleiben. Dafür müssen Unternehmen drei Bereiche berücksichtigen: Technologie und Infrastruktur, Prozesse und Organisation sowie Menschen und Kultur.

Geschäftsprozesse widerstandsfähig machen

An IT-Sicherheit denken Verantwortliche in Unternehmen oft erst im zweiten Schritt. Sie entwickeln einen neuen Geschäftsprozess, ohne dabei mögliche Risiken abzuwägen. Erst im Anschluss wird die IT-Abteilung hinzugezogen, um den Prozess technisch abzusichern. Doch dieses Vorgehen ist nicht mehr zeitgemäß. Denn die IT spielt heute eine entscheidende Rolle für nahezu alle Geschäftsprozesse und durch die zunehmende Vernetzung sind Geräte und Systeme einem wachsenden Risiko für Cyberangriffe ausgesetzt. Dirk Schrader, Cyber Resilience Strategist und CMO bei Greenbone Networks, erklärt: „Um die Betriebsfähigkeit zu sichern, ist es wichtig, schon bei der Konzeption eines Geschäftsprozesses zu berücksichtigen, wie man ihn resilient machen kann. Dafür müssen IT- und Fachabteilungen eng zusammenarbeiten.“

Im ersten Schritt geht es darum zu analysieren, welche Assets mit einem Geschäftsprozess verknüpft sind und wie sich eine Störung dieser Assets auswirken würde. Je höher der Schaden, desto kritischer ist das Asset und umso besser muss es geschützt werden. Zum Beispiel lässt sich ein Teilprozess in der Verwaltung vielleicht auch vorübergehend ohne das gewohnte System abwickeln, indem man wieder auf Papier arbeitet. Fällt dagegen eine wichtige Maschine in der Werkshalle aus, beeinträchtigt das die Produktion erheblich und jede Ausfallminute kostet bares Geld. Hier gilt es, Risiken abzuwägen und die kritischen Assets zu identifizieren. Anschließend sollten Unternehmen Maßnahmen ergreifen, um die Assets dem Risiko angemessen abzusichern.

Auf technischer Seite hilft eine Vulnerability-Management-Lösung dabei, Schwachstellen der Systeme aufzudecken und zu schließen. Sie scannt alle Geräte, die sich im Netzwerk befinden, und prüft sie auf mögliche Sicherheitslücken. Anschließend bewertet sie, wie gefährlich die gefundenen Schwachstellen sind, und stößt Prozesse an, um sie zu schließen. Vielleicht müssen z. B. Patches oder Updates eingespielt oder unsichere Programmkonfigurationen angepasst werden. In einer durchgängigen IT-Sicherheitsarchitektur arbeitet eine VM-Lösung eng mit anderen Sicherheitssystemen wie Firewalls und Intrusion-Detection- (IDS) oder Prevention-Systemen (IPS) zusammen. Über sogenannte Konnektoren lässt sie sich nahtlos mit Enterprise-Security-Lösungen integrieren.

Die wichtigsten Assets sollte man zudem redundant vorhalten, um für Ausfallsicherheit zu sorgen. So kann das eine System nahtlos übernehmen, wenn das andere einmal nicht mehr funktioniert. Dafür muss es in einem Hot-Standby-Konzept komplett durchkonfiguriert sein und parallel laufen. Solche Redundanzen sind in der Regel jedoch teuer. Deshalb sollte man sie nur für die Assets umsetzen, die zuvor in der Risikoanalyse als besonders kritisch eingestuft wurden. Denn Resilienzmaßnahmen müssen immer auch aus wirtschaftlicher Sicht vertretbar sein und dem Risiko entsprechen.

Den Menschen berücksichtigen

Neben technischen Faktoren muss ein Resilienzkonzept berücksichtigen, dass Menschen Fehler machen. Denn die Mitarbeiter sind nach wie vor die größte Schwachstelle im Unternehmen, so eine aktuelle IDC-Studie. Mangelndes Sicherheitsbewusstsein und fehlendes Know-how oder einfach Unaufmerksamkeit führen häufig dazu, dass sie auf Phishing-Angriffe hereinfallen oder Schadsoftware downloaden und so die Tür für Angreifer öffnen. Eine wichtige Maßnahme sind daher Schulungen zur Mitarbeitersensibilisierung. Viele Unternehmen vernachlässigen dies leider noch. So ergab der aktuelle BSI-Lagebericht zur IT-Sicherheit in Deutschland, dass 29 Prozent der Befragten keine entsprechenden Trainings durchführen und dies auch nicht planen. Genauso wichtig ist es, eine Fehlerkultur zu etablieren. Dirk Schrader erklärt: „Unternehmen müssen davon ausgehen, dass Fehler passieren. Das ist der erste Schritt auf dem Weg zur Resilienz. Die entscheidende Frage ist: Wie geht man mit Fehlern um? Mitarbeiter an den Pranger zu stellen und abzustrafen, führt nur dazu, dass Fehler totgeschwiegen werden. Stattdessen sollte man über Fehler reden und aus ihnen lernen.“

Ist ein Fehler einmal passiert und war ein Cyberangriff erfolgreich, brauchen Unternehmen Prozesse, um ihn schnell und effektiv zu behandeln. Jetzt geht es darum, Schaden zu begrenzen, den Vorfall zu analysieren und die richtigen Maßnahmen zu ergreifen, um schnell wieder voll betriebsfähig zu sein. Außerdem sind unter Umständen rechtliche Vorgaben einzuhalten. Einen Datenschutzvorfall müssen Unternehmen z. B. gemäß der DSGVO innerhalb von 72 Stunden bei der zuständigen Aufsichtsbehörde melden. Je nach Einzelfall sind auch Lieferanten, Geschäftspartner oder betroffene Kunden zu verständigen. Zudem spielen Krisenkommunikation und Reputations-Management eine wichtige Rolle. Damit all das im Ernstfall schnell und reibungslos funktioniert, müssen Unternehmen entsprechend vorbereitet sein. Sie sollten klare Verantwortlichkeiten festlegen und Abläufe trainieren.

Resilienz zur Chefsache machen

Wer Resilienz erreichen will, braucht also nicht nur geeignete Technik, sondern auch entsprechenden Prozesse und organisatorische Maßnahmen. Wichtig ist zudem eine Unternehmenskultur, die die Fehlerkommunikation fördert. Das ist weitaus mehr als eine IT-Angelegenheit. Resilienz sollte daher ganz oben auf Management-Ebene angesiedelt sein. Zumal viele Entscheidungen nur die Geschäftsleitung treffen kann. Sie muss beispielsweise Risiken und Kosten gegeneinander abwägen. Welchen Schaden ist das Unternehmen bei einem möglichen Cybervorfall bereit, in Kauf zu nehmen? An welcher Stelle ist höchste Sicherheit gefragt, auch wenn es etwas teurer wird? Um das zu entscheiden, braucht die Geschäftsleitung ein grundlegendes Verständnis für die Verknüpfung von IT-Assets und Geschäftsprozessen. Nur wenn Resilienz von Grund auf in die Unternehmensstrategie integriert ist und sich über alle Abteilungen erstreckt, kann sie erfolgreich etabliert werden.

Bildquelle: Getty Images / iStock / Getty Images Plus

©2020Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok