Digitale Resilienz (Digital Resilience)

Was ist digitale Resilienz (Digital Resilience)?

Digitale Resilienz ist die Fähigkeit eines Unternehmens, Risiken und Störungen seiner Infrastruktur, Dienste und Anwendungen zu bewältigen, so schnell wie möglich die volle Funktionsfähigkeit wiederherzustellen und gleichzeitig aus den Erfahrungen zu lernen. Digitale Resilienz umfasst vier verschiedene Elemente:

1. Vorbereitung. Führungskräfte aus Wirtschaft und Technologie führen Risikoanalysen durch, um potenzielle Probleme, die Wahrscheinlichkeit ihres Auftretens und ihre Auswirkungen auf den Betrieb zu identifizieren. Die Vorbereitung ermöglicht es einem digital resilienten Unternehmen, Technologien und Richtlinien zu entwickeln und einzusetzen, die Störungen mindern sollen. Beispielsweise kann die Wahrscheinlichkeit eines Datenverlusts dazu führen, Backups und Recoveries sorgfältiger zu planen und somit eine erfolgreiche Umsetzung im Notfall zu gewährleisten.
2. Reaktion. Zunächst muss das Unternehmen in der Lage sein, eine Betriebsstörung zu erkennen und dann zu bewältigen. Überwachung und Warnmeldungen schärfen das Bewusstsein für eine laufende Störung. Ein gut vorbereitetes, digital resilientes Unternehmen minimiert den Schaden durch vorhersehbare und unvorhergesehene Störungen. Beispielsweise ist eine Plattform zur Erkennung oder Verhinderung von Eindringlingen (Intrusion Detection and Prevention) in der Lage, einen Netzwerkangriff abzufangen und abzuschwächen.
3. Wiederherstellung. Reaktionen sind selten perfekt, und viele Vorfälle führen zu Schäden, sei es durch versehentlich gelöschte Dateien, das Eindringen von Ransomware oder Naturkatastrophen. Ein Unternehmen mit digitaler Resilienz reagiert schnell auf einen Vorfall und stellt den Betrieb wieder her – manchmal noch bevor die Störung von Mitarbeitern und Kunden bemerkt wird. Beispielsweise ermöglicht ein geschäftskritischer Anwendungsserver mit redundanter Ausfallsicherung, dass der redundante Server einspringt (Failover) und die Verarbeitung ohne nennenswerten Datenverlust fortsetzt. Dennoch erfordert ein ausgefallenes Speichersubsystem in der Regel eine Reparatur und die Datenwiederherstellung aus einem Backup.
4. Anpassung. Jeder Vorfall ist eine Lernerfahrung. Ein digital resilientes Unternehmen bewertet die Auswirkungen von Störungen und passt Technologien und Praktiken so an, dass zukünftige Störungen gemindert werden. Dieser Schritt spiegelt wider, wie ein Unternehmen mit Veränderungen in seiner Bedrohungslandschaft umgeht. Die gewonnenen Erkenntnisse wirken sich auch auf die zukünftige Vorbereitung aus, von der Risikomanagementanalyse bis zur gesamten Geschäftsstrategie.

Warum ist digitale Resilienz wichtig?

Digitale Resilienz ermöglicht es Unternehmen, Störungen zu bekämpfen, sich schnell davon zu erholen und sich an veränderte Bedrohungen anzupassen. Darüber hinaus nutzen adaptive Unternehmen digitale Resilienz, um Wettbewerbsvorteile oder sich wandelnde Geschäftsanforderungen zu erkennen und zu verfolgen. Tatsächlich stärkt digitale Resilienz ein Unternehmen in mehreren Schlüsselbereichen, darunter die folgenden:

• Verbesserte Sicherheit. Durch die Bewertung und Evaluierung von Störungsrisiken investiert ein digital resilientes Unternehmen strategisch in Technologien und Prozesse, die darauf ausgelegt sind, die wahrscheinlichsten und schwerwiegendsten Bedrohungen zu mindern. Dies verbessert oft die Sicherheit gegenüber bekannten Bedrohungen, einschließlich Datenverletzungen, und trägt zur Entwicklung solider Verfahren für die Incident Response (Reaktion auf Vorfälle) und die Wiederherstellung bei.
• Datenintegrität. Digitale Resilienz konzentriert sich auf Fragen der Datenqualität, wie Genauigkeit, Vollständigkeit, Integrität und Verfügbarkeit. Digital resiliente Unternehmen setzen Technologien und Verfahren ein, die zum Schutz von Daten und zur Gewährleistung ihrer Qualität erforderlich sind, was für Systeme wie Geschäftsanalysen, maschinelles Lernen (ML) und künstliche Intelligenz (KI) von entscheidender Bedeutung ist.
• Business Continuity (Geschäftskontinuität). Störungen wirken sich erheblich auf den Betrieb und den Umsatz sowie auf das Vertrauen der Stakeholder und den Ruf des Unternehmens aus. Digitale Resilienz gewährleistet die Business Continuity (BC), indem sie Störungen mindert und, was noch wichtiger ist, wichtige Dienste aufrechterhält, wenn Vorfälle auftreten. BC ist in einigen Branchen und Rechtsordnungen ein zentrales Element der Einhaltung gesetzlicher Vorschriften.
• Kostenkontrolle. Störungen bedeuten Umsatzverluste und erfordern Maßnahmen wie Fehlerbehebung, Datenwiederherstellung, Systemwiederherstellung und -tests sowie andere Aufgaben im Rahmen des Incident Managements. Digitale Resilienz reduziert kostspielige Ausfallzeiten und reaktive Maßnahmen, die unnötige Ausgaben für Geld und Personal verursachen.
• Wettbewerbspositionierung. Ein digital resilientes Unternehmen wird wettbewerbsfähiger, indem es den Betrieb und die Dienstleistungen während aktiver Vorfälle aufrechterhält. Digitale Resilienz schafft Vertrauen bei Kunden, Mitarbeitern und anderen Stakeholdern und verbessert den Ruf und die Marke des Unternehmens. Gleichzeitig unterstützt digitale Resilienz sowohl die Analyse als auch die Anpassung, sodass sich das Unternehmen an veränderte Bedrohungen oder neue Geschäftsanforderungen anpassen kann, einschließlich Möglichkeiten zur Optimierung von Infrastruktur und Praktiken.

Digitale Resilienz und Cyberresilienz im Vergleich

Digitale Resilienz und Cyberresilienz sind verwandte Konzepte, die sich allerdings in einigen Bereichen unterscheiden.

Cyberresilienz ist ein Teilbereich der digitalen Resilienz. Ihr Schwerpunkt liegt auf der Fähigkeit eines Unternehmens, eine Vielzahl von Cyberangriffen zu erkennen, sich davor zu schützen und sich davon zu erholen. Cyberresilienz umfasst in erster Linie Aufgaben wie die Planung von Vorfallreaktionen (Incident Response Planning), Backup und Recovery, Schwachstellenmanagement, Erkennung und Abwehr von Bedrohungen sowie Sicherheitsschulungen.

Digitale Resilienz umfasst ein wesentlich breiteres Spektrum an Störfällen, die bewältigt werden müssen, darunter Softwarefehler, Hardwareausfälle, Cyberangriffe, Stromausfälle und Naturkatastrophen. Darüber hinaus bezieht sie sich auf weiter gefasste Bereiche wie Business-Continuity-Planung, Disaster Recovery, Änderungsmanagement, Data Loss Prevention (DLP) sowie Risikomanagement.

Die folgende Tabelle vergleicht die beiden Konzepte.

Wichtige Elemente einer Strategie für digitale Resilienz

Eine umfassende Strategie für digitale Resilienz erfordert die sorgfältige Berücksichtigung von vier großen Bereichen: Cyberresilienz, Risikomanagement, Kontinuitätsplanung und kontinuierliche Verbesserung. Alle vier Bereiche bilden zusammen eine robuste Strategie für digitale Resilienz.

Cyberresilienz

Cyberresilienz konzentriert sich auf die Sicherheitsaspekte der digitalen Umgebung des Unternehmens. Sie umfasst in der Regel die folgenden Elemente:

• Starke und proaktive Sicherheit. Eine gut gesicherte, sorgfältig konzipierte Infrastruktur umfasst Firewalls, Netzwerksegmentierung, Intrusion Detection und Prevention, Datenverschlüsselung im Ruhezustand (Data at Rest) und während der Übertragung (Data in Flight), Backup- und Wiederherstellungstechnologien sowie Endpoint-Schutzplattformen. Eine sichere Infrastruktur nutzt häufig auch Zero-Trust-Methoden für eine starke Authentifizierung und Zugriffskontrolle.
• Schwachstellenanalysen. Regelmäßige Schwachstellenanalysen bewerten mögliche Angriffsflächen und identifizieren Schwachstellen wie nicht gepatchte Betriebssysteme oder Anwendungen. Regelmäßige Bewertungen zielen auf bekannte und neu auftretende Bedrohungen ab und bilden in der Regel die Grundlage für Strategien zur Risikominderung und operative Richtlinien für die Minimierung von Bedrohungen.
• Incident Response. Incident Response bietet einen umfassenden Ansatz zur Identifizierung, Reaktion und Wiederherstellung nach Cybersicherheitsvorfällen. Dieser Ansatz umfasst Tools für Überwachung, Berichterstattung und Alarmierung, Mechanismen zur Intrusion Prevention, DLP-Plattformen, Antimalware-Tools, Wiederherstellungs- und Testverfahren sowie Nachbesprechungen zur Ausrichtung künftiger Maßnahmen.

Risikomanagement

Das Risikomanagement nutzt einen breiteren Blickwinkel, um das gesamte digitale Ökosystem des Unternehmens zu bewerten. Das Risikomanagement umfasst eine Vielzahl von Maßnahmen, darunter die folgenden:

• Risikobewertung. Unternehmen sind mit weitaus umfassenderen Bedrohungen als nur Cyberrisiken konfrontiert. Eine Risikobewertung evaluiert eine Obermenge potenzieller Bedrohungen und Schwachstellen. Zu den üblichen Risiken zählen Serverausfälle, Stromausfälle, Naturkatastrophen und Insider-Bedrohungen. Regelmäßige Risikobewertungen bilden die Grundlage für Strategien zur Risikominderung im Unternehmen und eine resiliente digitale Umgebung.
• Auswirkungsanalyse (Business Impact Analysis). Eine Risikobewertung berücksichtigt die Wahrscheinlichkeit und Schwere jeder möglichen Störung und bewertet deren Auswirkungen auf das Unternehmen und kritische Betriebsabläufe. Nach Abschluss der Auswirkungsanalyse (BIA) priorisiert das Unternehmen seine Investitionen in die Risikominderung, um die wahrscheinlichsten und schwerwiegendsten Ereignisse anzugehen, und passt die Infrastruktur und Praktiken an die stärksten Schutzmaßnahmen und schnellsten Abhilfemaßnahmen an.
• Risiken durch Dritte. Unternehmen sind mehr denn je auf die Dienste und den Support von Drittanbietern angewiesen, beispielsweise auf Public Clouds und Software as a Service (SaaS). Drittanbieter haben oft auch Zugriff auf sensible Daten – ein direktes Risiko für Compliance und Sicherheit. Das Risikomanagement muss eine sorgfältige Bewertung der Sicherheits- und Compliance-Situation aller Drittparteien umfassen.

Kontinuitätsplanung

Führungskräfte aus Wirtschaft und Technologie müssen sich überlegen, wie sie bei Störungen wiederherstellen können. Dies sind einige gängige Elemente der Geschäftskontinuitätsplanung:

• Infrastrukturredundanz. Systeme fallen aus, das ist unvermeidlich. Geschäftskritische Systeme und Infrastrukturen, die mit unterschiedlichen Redundanzstufen ausgelegt sind, stellen sicher, dass ein Fehler in einem Element nahtlos durch redundante Elemente wie einen Failover-Server oder verteiltes Rechnen ausgeglichen wird. Redundanz ist zwar kostspielig, aber oft kostengünstiger als eine Störung.
• Disaster Recovery. Nicht alle Störungen sind auf Cyberangriffe zurückzuführen. Auch Erdbeben, Überschwemmungen, Brände und Kriegshandlungen oder Terroranschläge können Ausfälle verursachen und möglicherweise ein lokales Rechenzentrum beschädigen oder zerstören oder die Netzwerkkonnektivität in großem Umfang unterbrechen. Die DR-Planung berücksichtigt diese hypothetischen Störungen und erstellt Wiederherstellungspläne für den Fall eines Ereignisses.
• Data Protection. Daten sind für ein modernes Unternehmen möglicherweise wertvoller als seine IT-Infrastruktur. Zu diesen wichtigen Betriebsinformationen gehören Verbraucherdaten, Entwürfe, Pläne und Messungen aus dem Internet der Dinge (Internet of Things, IoT). Daten sind die Grundlage für Geschäftsanalysen, maschinelles Lernen und künstliche Intelligenz. Unternehmen investieren viel in diese Data-Protection-Technologien, die alles schützen und wiederherstellen, von einzelnen Datendateien bis hin zu ganzen kritischen Systemen.

Kontinuierliche Optimierung

Bewertungen und die aus tatsächlichen Störungen gewonnenen Erkenntnisse bilden die Grundlage für kontinuierliche Verbesserungen. Indem das Unternehmen herausfindet, was nicht funktioniert, nimmt es Änderungen an Analysen, Infrastrukturen und Praktiken vor, um eine effektivere Reaktion auf ähnliche zukünftige Störungen zu gewährleisten. Zu diesen Verbesserungen gehören:

• Testen und Validieren. Übungen und simulierte Störungen helfen dem Unternehmen, seine Strategien zur digitalen Resilienz zu validieren und Schwachstellen – oder unbeabsichtigte Folgen – zu finden, die korrigiert werden müssen.
• Überwachen und Alarmieren. Die Überwachung zeigt den Zustand und die Leistung von Systemen und Anwendungen im Zeitverlauf. Die Alarmierung lenkt die Aufmerksamkeit schnell auf Ereignisse und Störungen, wie zum Beispiel Systemausfälle. Beide Aktivitäten erfordern geeignete Tools und objektive Metriken für genaue Vergleiche.
• Mitarbeiterschulung. Selbst eine digital resiliente Umgebung ist durch das Verhalten eines unachtsamen Mitarbeiters gefährdet. Regelmäßige Schulungen vermitteln den Mitarbeitern Kenntnisse über akzeptable Nutzung, Cybersicherheit und andere Themen, die die digitale Resilienz beeinflussen.

So entwickeln Sie eine Strategie für digitale Resilienz

Digitale Resilienz ist eine vielschichtige Aufgabe, die Menschen, Prozesse, Tools und Technologien aus dem gesamten Unternehmen miteinander verbindet. Der Weg zur digitalen Resilienz variiert natürlich je nach den spezifischen Anforderungen und Zielen. Unabhängig von der Branche oder dem Unternehmen umfasst eine solide Strategie für digitale Resilienz die folgenden sechs Prinzipien.

1. Schwachstellenanalysen durchführen

Regelmäßige Schwachstellenanalysen bieten einen tiefen Einblick in die digitale Umgebung eines Unternehmens. Sehen Sie sich potenzielle Schwachstellen innerhalb und außerhalb des Unternehmens genau an und berücksichtigen Sie die Wahrscheinlichkeit und Schwere eines Vorfalls. Einige Unternehmen versuchen bewusst, Ereignisse zu simulieren, die die Menschen, Prozesse und Technologien, die den Betrieb verwalten, unter Druck setzen. Entdeckte Schwachstellen führen zu einer stärkeren und widerstandsfähigeren digitalen Umgebung, während die gewonnenen Erkenntnisse die zukünftigen Reaktionen verbessern.

2. Achten Sie auf aktuelle Bedrohungen

Sobald Schwachstellen erkannt wurden, sucht das Unternehmen als Nächstes nach Bedrohungen oder Anomalien, die bereits in der digitalen Umgebung vorhanden sind. Führen Sie beispielsweise Antimalware-Tools aus, um nach Viren zu suchen, und werten Sie die Berichte von Plattformen zur Erkennung und Verhinderung von Eindringlingen aus. Stellen Sie außerdem sicher, dass die aktuelle Software ordnungsgemäß aktualisiert und gepatcht ist. Überprüfen Sie ebenfalls, ob die Kontrollen von Datenpartnern Dritter ausreichend sind, und bewerten Sie, ob eine Failover-WAN-Konnektivität erforderlich ist, um Internetausfälle zu beheben. Überwachungsplattformen helfen auch dabei, Echtzeit-Bedrohungsinformationen zu organisieren und in einen Kontext zu setzen.

3. Bewerten Sie die Architektur

Ein gut entwickeltes Architekturdiagramm der aktuellen Infrastruktur zeigt potenzielle Schwachstellen auf. Anhand dieser Beschreibung können Führungskräfte besser verstehen, wie kritische Systeme miteinander interagieren. Anschließend führt das Unternehmen Designänderungen ein, die der digitalen Resilienz Vorrang einräumen, wie beispielsweise redundante Server oder verteiltes Rechnen. Das Verständnis des Informationsflusses, oft als statische Risikomodellierung bezeichnet, wird häufig zur Festlegung einer Basislinie verwendet.

4. Festlegen einer Basislinie

Fortschrittliche Sicherheits- und Überwachungs-Tools – insbesondere solche, die ML- und KI-Technologien einsetzen – basieren auf einer Basislinie, die ein bekanntes gutes oder normales Profil der digitalen Umgebung festlegt. Dies wird manchmal als dynamische Risikomodellierung bezeichnet. Basislinien umfassen typische Netzwerkverkehrsmuster und Serverauslastungen und bilden die Grundlage für die Erkennung von Anomalien. Anomalien sind Abweichungen von der Norm und oft der erste Indikator für eine Bedrohung oder einen laufenden Vorfall. Warnmeldungen und automatisierte Reaktionen basieren in der Regel auf der Basislinie.

5. Planung der Risikominderung

Die Risikominderung umfasst Personen, Prozesse und Technologien sowohl innerhalb als auch außerhalb des Unternehmens. Beispielsweise mindern strengere Kontrollen wie Zero-Trust-Modelle ebenso wie klare Arbeitsabläufe und regelmäßige Schulungen menschliche Risiken. Prozessrisiken werden durch die Klärung, Anpassung oder Aktualisierung problematischer Aufgaben angegangen. Technische Risiken werden durch Cloud-basierte Backups und Wiederherstellungen, also einen Offsite-Ansatz, begrenzt. Die Planung der Risikominderung ist ein fortlaufender Prozess, der in der Regel mit regelmäßigen Schwachstellenanalysen einhergeht.

6. Überwachung und Berichterstattung

Kontrollen und Prozesse müssen überwacht werden. Diese Aufgabe umfasst in der Regel objektive, für das Unternehmen relevante Kennzahlen, darunter die Anzahl der erkannten Anomalien, abgewehrten Angriffe oder verhinderten Malware-Infektionen. Durch die Überwachung wird sichergestellt, dass Kontrollen und Prozesse ordnungsgemäß funktionieren. Sinkende Ergebnisse deuten oft auf eine sich verändernde oder neu auftretende Bedrohung hin, die eine Reaktion erfordert. Die Berichterstattung stellt sicher, dass alle Beteiligten ein realistisches Bild der aktuellen digitalen Resilienz erhalten.

Beispiele für digitale Resilienz

Digitale Resilienz ist für jedes Unternehmen relevant, aber spezifische Geschäftsanforderungen und Branchenerwartungen bestimmen ihre notwendige Form. Dennoch gibt es mehrere Beispiele für digitale Resilienz, die sich unabhängig vom Unternehmen als wirksam erwiesen haben:

• Einführung von Cloud Computing. Unternehmen wenden sich an Public-Cloud-Anbieter (Cloud Service Provider, CSP), um Ressourcen und Dienste wie Datenbanken, Speicher und Backups, redundante Rechenleistung und sogar die Bereitstellung Cloud-nativer Anwendungen zu erhalten. Clouds bieten eine beträchtliche Resilienz gegen Datenverlust und verschiedene Katastrophenszenarien.
• Robuste Backup- und Recovery-Techniken. Daten sind ein unschätzbarer Unternehmenswert und müssen stets geschützt werden. Robuste Backups schützen Daten auf Datei- oder Ordnerebene sowie auf System-Image-Ebene. Da Backups lokal, remote oder in der Cloud verfügbar sind, können Unternehmen diese leistungsstarke Technik flexibel an ihre Bedürfnisse anpassen.
• Redundante Architekturen. Geschäftskritische Workloads, von Datenbanken bis hin zu Enterprise-Resource-Planning-Systemen (ERP), werden durch redundante Architekturen gestärkt, darunter verteilte oder redundante Server sowie RAID- (Redundant Array of Independent Disks) oder andere fehlertolerante Speichersysteme. Denken Sie daran, dass die Kosten und die Komplexität von Redundanz oft weniger kosten als Unterbrechungen und Ausfallzeiten.
• Unterstützung für Remote-Arbeit. Ein digital resilientes Unternehmen ermöglicht Mitarbeitern und Partnern den Zugriff auf Unternehmensdaten und Workloads von nahezu jedem Ort aus, wobei Leistungs- und Sicherheitsstandards gewahrt bleiben.
• Aufrechterhaltung eines hohen Sicherheitsniveaus. Digitale Resilienz minimiert Risiken. Die Einrichtung eines Zero-Trust-Modells oder des Prinzips der geringsten Privilegien (POLP), eine robuste rollenbasierte Zugriffskontrolle (RBAC), ein umfassendes Identitäts- und Zugriffsmanagement (IAM), Verschlüsselung und Multi-Faktor-Authentifizierung (MFA) tragen alle zu einer hohen Sicherheit bei.
• Schnelle und effektive Reaktion auf Vorfälle. Während der Erkennung, Eindämmung und Wiederherstellung erfordert digitale Resilienz eine schnelle und erfolgreiche Reaktion auf Vorfälle (Incident Response). Diese Reaktionen erfordern jedoch zunächst eine klare Planung und Prozesse sowie regelmäßige Tests. Außerdem sorgen sinnvolle Simulationen dafür, dass Mitarbeiter die Tools und Maßnahmen, die zur Bewältigung von Vorfällen innerhalb oder außerhalb des Unternehmens erforderlich sind, einüben und kennen.

Tools und Technologien für digitale Resilienz

Angesichts der Vielschichtigkeit der digitalen Resilienz gibt es unzählige Tools und Technologien, die Unternehmen unterstützen. Im Folgenden finden Sie eine kurze Auswahl:

• Fortschrittliche Tools zur Erkennung von Bedrohungen. Diese Tools (Thread Detection) sind eine Weiterentwicklung von Tools zur Erkennung von Anomalien und nutzen ML und KI, um komplexe Cyberangriffe zu identifizieren und abzuwehren.
• Tools zur Erkennung und Prävention von Anomalien. Diese Tools wurden entwickelt, um das Verhalten von Systemen und Netzwerken anhand festgelegter Basiswerte zu überwachen, und warnen Administratoren bei Abweichungen, die auf einen möglichen Vorfall oder Angriff hindeuten.
• Automatisierungs- und Orchestrierungs-Tools. Diese automatisieren komplexe Geschäfts- und IT-Workflows, begrenzen menschliche Fehler und beschleunigen die Ausführung von Aufgaben und die Reaktion auf Vorfälle.
• Backup- und Wiederherstellungs-Tools. Diese Tools schützen Daten aus einzelnen Dateien, Ordnern oder sogar ganzen System-Images und ermöglichen schnelle und granulare Wiederherstellungsszenarien.
• BC-Tools. Mit diesen Tools können Unternehmen Pläne (Business-Continuity-Plan) erstellen und testen, um sicherzustellen, dass wichtige Geschäftsabläufe ohne Unterbrechung fortgesetzt werden können.
• Tools für die Cloud-Migration und -Verwaltung. Nachdem sie Unternehmen bei der Verlagerung von Daten und Workloads in die Cloud unterstützt haben, verwalten diese Tools auch diese Ressourcen im Hinblick auf Ausfallsicherheit und Cloud-Skalierbarkeit.
• Tools für Datenmanagement und Governance. Diese Technologie schützt und verwaltet sensible Geschäftsdaten, um Compliance, Datenqualität und Sicherheit während der gesamten Aufbewahrungsdauer zu gewährleisten.
• DR-Tools. Diese Tools für Disaster Recovery planen die Wiederherstellung von Systemen und Diensten im Falle größerer Katastrophen.
• Tools für das Vorfallmanagement. Diese leistungsstarken Instrumente für das Incident Management verfolgen, verwalten und mindern eine Vielzahl von Ereignissen, von Cyberangriffen bis hin zu Systemausfällen.
• Tools zur Bewertung der Resilienz. Diese Tools wurden speziell entwickelt, um Unternehmen bei der Identifizierung von Schwachstellen zu unterstützen, und messen die allgemeine Resilienz der Organisation.
• Tools zur Überwachung des Systemzustands. Diese Tools überwachen die Leistung und Verfügbarkeit von Systemen und Diensten und alarmieren Administratoren, wenn potenzielle Probleme auftreten.
• Tools für das Lieferantenmanagement. Diese Tools bewerten und verfolgen die Beziehungen und die Ausfallsicherheit externer Lieferanten und gewährleisten die Sicherheit und den normalen Betrieb während Störungen.

Digitale Resilienz und rechtliche Vorgaben in Deutschland

Digitale Resilienz in Deutschland bedeutet nicht nur technische oder organisatorische Themen zu betrachten, sondern auch rechtliche Rahmenbedingungen zu berücksichtigen. Hier sind einige relevanten Rechtsgrundlagen und Anforderungen, die fachlich einbezogen werden sollten (Stand 2025).

IT-Sicherheitsgesetz (IT-SiG, IT-SiG 2.0)

Dieses Gesetz (IT-SiG 2.0) verpflichtet Betreiber kritischer Infrastrukturen (KRITIS) sowie andere Unternehmen im besonderen öffentlichen Interesse zu spezifischen Maßnahmen zur IT-Sicherheit (§ 2 Abs. 14 BSIG). Es enthält Anforderungen zu Mindeststandards, Meldepflicht bei IT-Störungen und -Angriffen sowie zur Absicherung der Systeme nach dem aktuellen Stand der Technik.

Digitale Resilienz hängt direkt damit zusammen, da Vorbereitung, Reaktion und Wiederherstellung Teil dieser Pflichten sind.

NIS2-Richtlinie und Umsetzung in Deutschland (NIS2UmsuCG, ab 2024/25)

Das NIS2-Umsetzungsgesetz erweitert die deutsche KRITIS-Regulierung ab 2025 und stärkt Cybersicherheit bei Betreibern und Einrichtungen und sorgt für eine Umsetzung der NIS2-Richtlinien. Diese Erweiterung der EU-Richtlinie soll die Netz- und Informationssicherheit optimieren. Hierbei werden mehr als KRITIS-Unternehmen in die Verantwortung genommen, beispielsweise mittelgroße Firmen aus Branchen wie Energie, Verkehr, Gesundheit, Digitalinfrastruktur und Verwaltung.

Zu den Kernpflichten gehören unter anderem die Bereiche Risikomanagement, Business Continuity, Disaster Recovery, Vorfallmanagement, Schulungen und Lieferkettensicherheit. Maßnahmen und Optimierungen in diesen Bereichen tragen direkt zu dem Aufbau einer Strategie für digitale Resilienz bei.

Datenschutz-Grundverordnung (DSGVO) und Bundesdatenschutzgesetz (BDSG)

Die DSGVO ist eine EU-weite Verordnung, die einen allgemeinen Rechtsrahmen für den Datenschutz vorgibt, während das BDSG (Bundesdatenschutzgesetz) ein deutsches Gesetz ist, das die DSGVO durch nationale Regelungen in bestimmten Bereichen, wie dem Arbeitsrecht oder dem Datenschutz für öffentliche Stellen, ergänzt und konkretisiert. Beide Gesetze müssen zusammen angewendet werden; die DSGVO hat dabei einen Anwendungsvorrang, und das BDSG greift nur dort ein, wo die DSGVO nationalen Gestaltungsspielraum lässt.

Beide fordern geeignete technische und organisatorische Maßnahmen, die auch Aspekte von Resilienz abdecken. Dazu gehören unter anderem:

• Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit von IT-Systemen
• die Fähigkeit, die Verfügbarkeit und den Zugang zu personenbezogenen Daten nach einem Vorfall rasch wiederherzustellen.
• Sensibler und rechtskonformer Umgang mit personenbezogenen Daten (PII)

Unternehmen, die ihre Strategie auf diese Vorgaben ausrichten, können damit direkt ihre digitale Resilienz stärken.

Handels- und Gesellschaftsrecht (HGB, AktG, GmbHG)

Darüber hinaus können weitere rechtliche Vorgaben für die digitale Resilienz wichtig sein, darunter Regelungen für Handels- und Gesellschaftsrecht. So haben Geschäftsführer einer GmbH und Vorstandsmitglieder einer AG eine gesetzliche Sorgfaltspflicht, die sich aus § 43 GmbHG beziehungsweise § 93 AktG ergibt. Sie müssen ihre Pflichten mit der Sorgfalt eines ordentlichen Geschäftsleiters erfüllen, was bedeutet, im besten Interesse des Unternehmens zu handeln, Risiken sorgfältig abzuwägen und bei einer Pflichtverletzung für den entstandenen Schaden persönlich zu haften.

Zu dieser Sorgfaltspflicht gehört ein angemessenes Risikomanagement und interne Kontrollsysteme (IKS). Im Rahmen digitaler Resilienz heißt das: Unternehmensleitungen müssen sicherstellen, dass Vorsorge gegen IT-Ausfälle, Cyberangriffe und Datenverlust getroffen wird.

Branchenspezifische Anforderungen

In einigen Branchen kommen weitere Richtlinien hinzu, mit deren Einhaltung auch die digitale Resilienz gestärkt wird, da entsprechende Maßnahmen umgesetzt werden müssen. Beispiele für diese Branchen sind hier aufgeführt:

Finanzsektor

• BAIT/KAIT/VAIT (Banken-, Kapitalverwaltungs-, Versicherungsaufsichtliche Anforderungen an die IT).
• DORA-Verordnung (Digital Operational Resilience Act, EU 2022/2554). Diese Richtlinie ist wichtig, da sie digitale operative Resilienz explizit fordert (inklusive Pentests, ICT-Risikomanagement, Teststrategien, Meldepflichten). DORA wird die oben genannten Regelungen BAIT/KAIT/VAIT schrittweise ablösen.

Gesundheitswesen

• SGB V und B3S (Branchenspezifische Sicherheitsstandards) verpflichten zu Sicherheits- und Resilienzmaßnahmen. Der § 75c des Fünften Sozialgesetzbuchs (SGB V) verpflichtet Krankenhäuser seit 2022 zur Umsetzung angemessener IT-Sicherheitsmaßnahmen, wobei der Stand der Technik maßgeblich ist. Branchenspezifische Sicherheitsstandards (B3S) wie der B3S Medizinische Versorgung dienen dazu, die Anforderungen des SGB V und des BSI-Gesetzes (BSIG) für Krankenhäuser zu konkretisieren und die Einhaltung der IT-Sicherheit zu ermöglichen.

Telekommunikation

• TKG (Telekommunikationsgesetz) mit Anforderungen an Netzwerkresilienz und Ausfallsicherheit. So können Verbraucher beispielsweise fordern, dass Störungen unverzüglich beseitigt werden, wofür der Anbieter entsprechende Vorkehrungen im Vorfeld treffen muss.

Haftungs- und Versicherungsrecht

Das Haftungs- und Versicherungsrecht mögen auf den ersten Blick nicht in eine Strategie für digitale Resilienz passen. Allerdings gibt es auch hier Richtlinien zu berücksichtigen, die durchaus aufgrund der erforderlichen Maßnahmen für ihre Aufrechterhaltung zur digitalen Resilienz beitragen.

• Zivilrechtliche Haftung: Das kann zum Beispiel Schadensersatz bei Datenverlust oder Ausfall von Dienstleistungen sein. Anbieter müssen vorab sicherstellen, dass sich Daten wiederherstellen lassen, beziehungsweise Dienste eine hohe Verfügbarkeit haben (zum Beispiel 99,999 Prozent im Jahr).
• Produkthaftung: Wenn IT-Produkte mangelhaft sind, muss der Hersteller diese ersetzen oder finanzielle Kompensation bieten. Dieses Risiko kann durch umfassende Quality-of-Service-Maßnahmen verringert werden, was wiederum die Resilienz erhöht.
• Cyberversicherungen: Mit Cyberversicherungen sichern sich Firmen vor den Schäden nach Cyberangriffen ab. Diese Versicherungen verlangen in der Regel den Nachweis, dass spezifische Vorsorgemaßnahmen für die digitale Resilienz getroffen wurden. Nur dann erhält der Kunde den Versicherungsschutz. Damit können Firmen zwei Ziele erreichen: Schaden durch Cyberangriffe minimieren und von vornherein die digitale Resilienz erhöhen.

Digitale Resilienz: Das Wichtigste in Kürze

Digitale Resilienz beschreibt die Fähigkeit eines Unternehmens, Störungen vorzubeugen, auf Vorfälle zu reagieren, Systeme rasch wiederherzustellen und daraus zu lernen. Sie ist damit ein zentrales Prinzip moderner Unternehmensführung. Wer Resilienz als festen Bestandteil seiner Strukturen und Prozesse verankert, schafft die Grundlage für Stabilität, Sicherheit und Vertrauen.