Zeitenwende für die Unternehmens-IT? Resilienz schaffen gegen große Krisen und Konflikte

Anbieter zum Thema

Kyndryl Deutschland GmbH

PresseBox - unn | UNITED NEWS NETWORK GmbH

sysob IT-Distribution GmbH & Co. KG

FTAPI Software GmbH

Der Entwurf zum NIS2-Umsetzungsgesetz legt einen wichtigen Grundstein für den Schutz kritischer Infrastrukturen in Deutschland. Die Richtlinie setzt höhere Sicherheitsstandards und Meldepflichten und verpflichtet Unternehmen, ihre Cyber-Abwehrstrategien zu verstärken. Doch reicht der Fokus auf Cybersecurity aus, um gegenüber anwachsenden geopolitischen Krisen und Konflikten gewappnet zu sein?

Hybride Bedrohungen, d.h. Cyberangriffe auf kritische Infrastrukturen, Desinformationskampagnen und Destabilisierung von Lieferketten, sind Vorreiter und Begleiter der beschworenen Zeitenwende. Der aktuelle Schaden für die deutsche Wirtschaft durch Cyberattacken, vor allem aus China und Russland, beläuft sich nach der Studie Wirtschaftsschutz 2024 des Digitalverbands Bitkom auf 266,6 Milliarden Euro. Dabei ist die Grenze zwischen staatlich motivierten und nicht staatlichen Angriffen nicht immer klar zu ziehen.

Zunehmend finden sich mediale Berichte über Anschlagsvorbereitungen, etwa durch Sprengstofffunde an der NATO-Pipeline, Spionageaktivitäten oder Ausfälle im Transportwesen. Die Bundesregierung reagiert darauf, indem sie die militärische und zivile Verteidigung verstärkt, zivil-militärische Forschungszusammenarbeit intensiviert oder Alarm- und Resilienztests z.B. im Gesundheitswesen durchführt. Darüber hinaus verabschiedete die Bundeswehr den OPLAN DEU (Operationsplan Deutschland), der die Nachschub-Unterstützung von NATO-Truppen durch die Wirtschaft und die Zivilbevölkerung regelt.

Zwar gibt es durch die Weltlage motiviert erste Anstrengungen in den Unternehmen, z.B. lt. der Bitkom-Studie die Verschärfung von Sicherheitsmaßnahmen bei 62 Prozent der Unternehmen oder weitere physische Sicherheitsmaßnahmen bei 54 Prozent. Insbesondere Risiken, die außerhalb der Lebenswirklichkeit der Unternehmensmitarbeiter liegen, finden in der Resilienzstrategie wenig Berücksichtigung. Dabei sollten Erfahrungen aus dem Zivilschutz sowie Lehren aus Krisen sowie jüngeren Kriegen wie Ukraine oder Jugoslawien mitberücksichtigt werden.

Lückenhaftes Risikomanagement

Die „Zeitenwende“ bringt wenig betrachtete Anforderungen für das Risikomanagement mit sich. Laut der Risikomanagement-Studie 2023 von Deloitte sehen fast die Hälfte der befragten deutschen Unternehmen bei diesem noch Verbesserungsbedarf.

Bisher aus ziviler Sicht wenig beachtete Risiken wie die Einberufung oder Abwanderung von Fachkräften müssen z.B. neu bewertet werden: Laut der Neuen Züricher Zeitung erwägt ein Viertel der Deutschen, im Falle eines militärischen Angriffs das Land zu verlassen. Viele erinnern sich sicherlich noch an die Flüchtlingskonvois an der ukrainischen Grenze.

Verkettungen von Risiken im Zusammenhang mit Lieferketten werden häufig vernachlässigt, was obige Bitkom-Studie erneut bestätigt. Z.B. hat das Büro für Technikfolgenabschätzung des Bundestages (TAB) die Auswirkungen von Stromausfällen auf andere Sektoren und die Zivilgesellschaft untersucht . So ist besonders die heute sich im massiven Umbruch befindliche Energieversorgung ein effektives Ziel für Cyberangriffe oder Sabotage.

Die effektive Bewältigung von parallelen Schadensereignissen fällt in den Aufgabenbereich des Krisenmanagements. Eine Umfrage des ASW-Bundesverbandes zeigt jedoch, dass nur 32 Prozent der befragten Unternehmen Werkzeuge für das Lage- und Führungsmanagement nutzen, während 56 Prozent keine spezifische Vorgehensweise dafür haben.

Das Ziel: Eine erweiterte Resilienzstrategie

Eine erweiterte Resilienzstategie sollte dabei mehrere Themengebiete beleuchten, die hier nur exemplarisch ausgeführt werden können:

• Krisensteuerung: Modernes Krisenmanagement benötigt technische Unterstützung für schnelle Lagebeurteilung und Kommunikation. Informationsquellen aus Business, IT, Facility und Dienstleisternetzen zu digitalisieren ist ein zeitkritischer Erfolgsfaktor, was z.T. durch Krisenmanagement-Tools und Apps ermöglicht wird, wie u.a. aus der Ukraine bekannt. Mobilgeräte liefern Lage- und Beweisbilder, GPS-/Funkprotokolle helfen z.B. Personen zu lokalisieren. Außerdem ist es ratsam, Krisenmanagement in mobilen Einsatzleitzentralen zu organisieren.

• Standorte und Rechenzentren (RZ): Die Standort-Umgebung sollte hinsichtlich militärisch-/logistikrelevanter Einrichtungen bewertet werden. Eine Homeoffice-Dezentralisierung kann vorteilhaft sein. Neben alternativen RZ-Standorten sollte Tank- und Evakuierungslogistik beherrscht werden. Facility Management sollte Schutzräume, Nahrungsbevorratung sowie Materialien und Werkzeuge für Reparaturen mit abdecken. Außerdem sollte der Werkschutz auf erweiterte Objektsicherung und Sabotage-/Plünderungsabwehr vorbereitet sein.

• Kommunikation und Netze: Netzwerk- und Kommunikationsredundanz, ergänzt durch Out-of-Band-Techniken, sind von grundlegender Bedeutung. Unternehmen sind daher gut beraten Satellitennetze (z.B. Starlink) und Alternativen wie Iridium-Satellitentelefonie zu prüfen. Die Kommunikationsfähigkeit über Funk sowie grundlegende Reparaturfähigkeit der Kommunikationsinfrastruktur sollte gegeben sein.

• IT-Infrastruktur: Geo-Redundanz von Server- und Speichertechnik sollte bei kritischer IT eigentlich Standard sein. Die Wiederanlauffähigkeit an alternativen Standorten oder bei Cloud-Hostern sollte beherrscht werden und die Redundanz und Portabilität kritischer Sicherheitskomponenten (z.B. HSM, PKI, IAM) sichergestellt sein. Zusätzlich ist es für Unternehmen ratsam, einen Bestand an Geräten und kritischen Ersatzteilen anzulegen und etwa Ressourcen mit angrenzenden Betrieben auszutauschen.

• Applikation und Service: Applikationstransparenz ist Voraussetzung für Resilienzplanung. Automatisierte Recovery, Full-Stack-Patching und portable Mikrosegmentierung sind wichtig, scheitern aber oft an gewachsenen IT-Strukturen, obwohl Full Application Operation – analog SAP oder Cloud – sinnvolle Lösungsmuster bieten. Außerdem sollten Unternehmen redundante Netzzugänge und Reservekapazitäten in anderen Regionen organisieren.

• Personal und Wissen: Unternehmen sollten wichtige Mitarbeiter und Dienstleister identifizieren und deren Verteilung prüfen. Weitere Qualifikationen wie Ersthelfer, Brandschutz und Handwerk (heute schon ein Mangelthema) sollten dem Krisenmanagement bekannt sein. Wissensaustausch, Schulungen und Hospitationen im IT-Betrieb sind wichtig und können im Regelbetrieb Entlastung schaffen. Außerdem sollten Unternehmen ihre Mitarbeiter dabei unterstützen, Helping-Hand-Übungen per Video oder Remote-Tools zu trainieren.

• Prozesse und Tools: Der erweiterte IT-Betrieb sollte ein „Single Pane of Glass” für das operative Risiko- und Krisenmanagement bieten, Medienbrüche und dokumentenbasierte Prozesse vermieden werden. Der Einsatz von flexiblen Mangementframeworks wie Tanium ist ratsam, um Regel- und Sicherheitsprozesse portabel und teamübergreifend zu standardisieren und eine Echtzeit-CMDB mit Asset Discovery und Tagging aufzubauen. Des Weiteren gilt es, die Zersplitterung im Bereich des Schwachstellen- und Patch-Managements zu beseitigen und eine einheitliche Überwachung zu implementieren.

NIS2 und erweitertes Risikomanagement – künftige Wettbewerbsfaktoren

Insbesondere NIS2 betroffene Unternehmen sollten ihre individuelle Ausgangslage gezielt überprüfen und den beschriebenen toten Winkel im Risikomanagement auflösen. So können sie auf Basis der individuellen Ausgangslage eine Roadmap erstellen und die häufig lose kooperierenden IT-Einheiten mit dem operativen Risikomanagement besser verzahnen.

Dies sollte angesichts der sich in Zukunft weiterdrehenden Bedrohungsspirale als Wettbewerbsfaktor verstanden werden. Richtig umgesetzt zahlen sich die erzielbaren Optimierungseffekte und Personalinvestitionen bereits im Regelbetrieb aus.

Über den Autor: Michael Strobl ist Associate Director, Security Consulting bei Kyndryl Deutschland.

(ID:50201128)