kwanchaift - stock.adobe.com
Schnell wieder handlungsfähig: Vom Umgang mit Angriffen
Ein entscheidender Faktor für den soliden Geschäftsbetrieb ist heute, wie schnell sich eine Firma von einem Angriff erholt. Cyberresilienz ist wichtig für die Gesamtstrategie.
Die Frage ist nicht, ob ein Unternehmen von einem IT-Sicherheitsvorfall betroffen sein wird, sondern wann. So berichten 72 Prozent der befragten Unternehmen in einem Report des World Economic Forum (WEF) von einem Anstieg der Cyberrisiken. Darunter: Ransomware-Angriffe, KI-gestützte Taktiken – wie Phishing, Vishing und Deepfakes – und ein deutlicher Anstieg von Angriffen auf die Lieferkette. Diese Entwicklung wirkt sich auch auf kleinere Unternehmen aus: 35 Prozent von ihnen bezeichnen ihre Cyberresilienz als unzureichend, das ist siebenmal so viel wie 2022, so der WEF-Report.
In der Realität können Unternehmen nicht jeden dieser Cybervorfälle vermeiden. Deshalb sollte der Fokus nicht darauf liegen, wie jeder Angriff verhindert werden kann, sondern vielmehr, wie Angriffe überstanden werden können und wie sich Unternehmen schnell davon erholen. Cyberresilienz umfasst einerseits die Fähigkeit eines Unternehmens, Sicherheitsvorfälle vorauszusehen und zu bewältigen, und andererseits die Fähigkeit, sich anschließend schnell und effizient davon zu erholen.
Cyberresilienz – eine neue Herangehensweise
Cyberresilienz ist eine Schlüsselkomponente der Unternehmens- und Geschäftsresilienz. Es geht dabei nicht nur um Schutz, sondern auch um klare Reaktionspläne und verlässliche Backups, damit der Betrieb im Falle eines Zwischenfalls schnell wieder aufgenommen werden kann. Die Basis bilden dabei nicht nur Technologien.
Im Fokus stehen auch Führung, Mitarbeitende und Unternehmenskultur, Geschäftsprozesse, Governance, Risk and Compliance (GRC) sowie das Management des Ökosystems rund um das Unternehmen. Denn für Cyberresilienz gilt: Nur ein proaktiver, agiler und ganzheitlicher Ansatz kann Cyberangriffe effektiv abschwächen und den Unternehmensbetrieb aufrechterhalten.
Vom Sicherheitskonzept zur gelebten Cyberresilienz
Mögliche Herausforderungen lassen sich durch eine effiziente Resilienzstrategie bewältigen. In der Praxis bedeutet Cyberresilienz vor allem, agil zu handeln und sich kontinuierlich an neue Gegebenheiten anzupassen. So können Unternehmen Vorfälle nicht nur abwehren, sondern bewältigen und sich an zukünftige Bedrohungslagen anpassen.
Dabei sind Daten eine entscheidende Voraussetzung für eine schnellere Reaktion in Krisensituationen. Durch das Sammeln von Echtzeitinformationen aus verschiedenen Quellen sowie die Anwendung fortschrittlicher Analysen und KI-Modelle können Probleme frühzeitig sichtbar gemacht werden, was eine schnellere Reaktion ermöglicht. Für eine effiziente Cyberresilienz-Strategie ist es daher entscheidend, die zu schützenden Assets – wie Systeme, Informationen oder Services – zu identifizieren und die kritischen Schwachstellen und Risiken dieser einzelnen Assets anhand von Daten zu ermitteln. Dabei sollte auch über die Unternehmensgrenzen hinaus gedacht und Lieferketten sowie Partner einbezogen werden.
Zudem sollten Maßnahmen zur Stärkung von Systemen und zentrale Sicherheitskontrollen eingesetzt und regelmäßig geprüft werden. Dazu zählen unter anderem die klare Trennung von Systemen und Netzwerken, der Einsatz von Mehrfaktor-Authentifizierung, verlässliche Backup-Strategien, eine strukturierte Protokollierung, die Einbindung aktueller Bedrohungsinformationen sowie die konsequente Umsetzung anerkannter Standards und bewährter Cyberhygiene. Eine gezielte Zugriffskontrolle ist ebenfalls unerlässlich, wobei der Zugriff auf kritische Daten und Ressourcen konsequent auf autorisierte Benutzer, Prozesse und Geräte beschränkt wird, um die Risiken zu verringern, die durch schwache oder kompromittierte Zugangsdaten und zu weit gefasste Berechtigungen entstehen.
Ebenso wichtig ist die Vorbereitung auf den Ernstfall. Ein Incident-Response-Plan sollte ein wichtiger Bestandteil jeder Strategie zur Steigerung der Cyberresilienz sein. Dabei ist eine verständliche, hierarchieübergreifende Kommunikation unabdingbar. Ein Incident-Response-Plan sollte Folgendes beinhalten:
- die Rollen und Zuständigkeiten der einzelnen Beteiligten
- eine Übersicht über kritische Tools, physische Ressourcen und Technologien
- eine Liste der kritischen Datenwiederherstellungs- und Netzwerkprozesse
- einen Plan für die interne und externe Kommunikation
- Erfahrungen früherer Vorfälle und daraus resultierende Learnings für die Zukunft
Cyberresilienz beginnt in der Führungsebene
Die Unternehmenskultur spielt in der Cyberresilienz eine entscheidende Rolle. Denn die Mitarbeitenden sind es, die im Arbeitsalltag sensible Daten und physische Unternehmenswerte schützen und im Incident Response schnell reagieren müssen. Interne Prozesse und eine auf Sicherheit sensibilisierte Arbeitskultur sind deshalb genauso wichtig wie technische Maßnahmen. Ein solches Cyberbewusstsein lebt davon, dass das Melden von Auffälligkeiten und Vorfällen ausdrücklich gewünscht ist und nicht mit Schuldzuweisungen verbunden wird.
„Cyberresilienz lässt sich nur dann wirksam stärken, wenn sie messbar wird. Anstelle starrer Sicherheitskennzahlen, die nur einen Teil der umfassenderen Cyberresilienz erfassen, braucht es ein Zusammenspiel aus technischen, menschlichen und organisatorischen Indikatoren.“
Kirsty Paine, Splunk
Dabei ist die Verantwortung für Cyberresilienz nicht allein bei der IT verortet, sondern sollte von der Führungsebene aus in die gesamte Organisation getragen werden. Mitarbeiterschulungen bleiben dabei ein wichtiges Werkzeug, um Bewusstsein und Kompetenzen zu stärken – sie entfalten ihre Wirkung aber nur dann, wenn sie in eine entsprechende Kultur eingebettet sind. Andernfalls besteht die Gefahr, dass es zu einer reinen Abhakübung wird. Wie wichtig das ist, zeigt der Cisco Security Outcomes Report: Unternehmen mit Sicherheitskultur sind um 46 Prozent widerstandsfähiger. Kultur wächst, wie der Name verrät, organisch und braucht Zeit, um sich zu entwickeln, aber sie beginnt mit Führung und muss in der gesamten Organisation verankert sein.
Resilienz messen und operativ verankern
Cyberresilienz ist kein statischer Zustand, sondern ein kontinuierlicher Prozess. Angreifende finden immer neue Möglichkeiten, um ihre Ziele zu erreichen. Deshalb ist es unerlässlich, agil zu bleiben und Verteidigungsmaßnahmen regelmäßig zu überprüfen, zu aktualisieren und zu stärken, ebenso die Reaktion auf den Fall, dass ein Vorfall eintritt, nicht nur die Frage, ob er eintritt. So bleibt die Resilienz der Organisation nicht nur gewährleistet, sondern kann sich laufend an neue Bedrohungen, Geschäftsanforderungen und Rahmenbedingungen anpassen.
Cyberresilienz lässt sich nur dann wirksam stärken, wenn sie messbar wird. Anstelle starrer Sicherheitskennzahlen, die nur einen Teil der umfassenderen Cyberresilienz erfassen, braucht es ein Zusammenspiel aus technischen, menschlichen und organisatorischen Indikatoren. Reifegradmodelle, Bedrohungssimulationen und operative Resilienzrahmenwerke liefern hierfür wichtige, aber jeweils nur partielle Perspektiven. Entscheidend ist ihre Integration zu einem ganzheitlichen Messsystem. Dieses sollte auf einfache, wiederholbare Tools setzen, die für Mitarbeitende im gesamten Unternehmen leicht verständlich sind. So entsteht ein dynamisches Bild der Widerstandsfähigkeit, das Führungskräften ermöglicht, Veränderungen zu kommunizieren, Teams zu belohnen und bewährte Verfahren hervorzuheben – eine zentrale Voraussetzung, um Resilienz nicht nur zu messen, sondern dauerhaft im Unternehmen zu verankern.
Über die Autorin:
Kirsty Paine ist Field CTO & Strategic Advisor bei Splunk, einem Unternehmen von Cisco.
Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.
