Resilienz-Management

Schutz gegen Geschäfts­unterbrechungen

| Autor / Redakteur: Franziska Hain / Peter Schmitz

Eine aktuelle PwC-Studie zeigt, wie sich resiliente Unternehmen gegen eine Geschäftsunterbrechung schützen können.
Eine aktuelle PwC-Studie zeigt, wie sich resiliente Unternehmen gegen eine Geschäftsunterbrechung schützen können. (Bild: gemeinfrei / Pixabay)

Bei einer erfolgreichen Cyber-Attacke ist es von entscheidender Bedeutung, die Überlebensfähigkeit des Geschäfts sicher zu stellen. PwC-Expertin Franziska Hain zeigt auf Basis einer aktuellen Studie auf, wie Unternehmen mit starker Resilienz und einem gezielten Business Continuity Management heute aufgestellt sind.

Im Herbst 2019 hat PwC weltweit 3.500 Unternehmen auf ihre Eigeneinschätzung hinsichtlich ihrer Fähigkeiten in Resilienz und Business Continuity Management (BCM) untersucht. Die wesentlichen drei Faktoren der Studie waren:

  • Echtzeit-Sichtbarkeit von kritischen Assets und Prozessen
  • Unternehmensweite Strategie(n) im Umgang mit Geschäftsunterbrechung durch Cyber-Angriffe
  • Kontinuierlicher Veränderungs- und Verbesserungsprozess in Resilienz- und BCM-Prozessen

Den Unternehmen, denen es gelungen ist bei allen Fragen stets unter den 25 Prozent am weitesten entwickelten Unternehmen zu sein, haben wir einen hohen Resilienz-Quotienten ausgestellt. Und sie in der Folge mit den Antworten der anderen Unternehmen verglichen. Mit erstaunlichen Ergebnissen.

91 Prozent der Unternehmen mit hohem Resilienz-Quotienten haben ein detailliertes Verzeichnis ihrer Data-Assets und IT-Prozesse erstellt – bei den anderen sind es nur 47 Prozent.

Für ein gezieltes Resilienz-Management ist es entscheidend, sowohl die eigenen Assets, Produkte und Kernprozesse des Unternehmens als auch die relevanten Dienstleistungen von Dritten zu erfassen. Es muss genau definiert werden, welche Data-Assets eigentlich schützenswert sind, wie diese angegriffen werden können und wie im Falle eines Vorfalls ein wichtiges Asset oder ein IT-Prozess trotz allem am Laufen gehalten wird.

Wir halten es für wichtig, dass diese Analyse tiefgehend ist. Hierzu ein Beispiel: Ein Unternehmen, das 50 kritische Assets definiert hatte, hat auf dieser Basis einen Selbsttest durchgeführt. Das Ergebnis: Aufgrund dessen, dass sekundäre und tertiäre Verbindungen im Vorfeld nicht genau durchdacht wurden, wuchs die Anzahl nach dem Test auf 450 Assets an. Stellen Sie sich vor, es wäre nicht ein Test, sondern ein Angriff gewesen: Das Unternehmen hätte nur mit Glück die Geschäftstätigkeit weiter aufrechterhalten können.

Unternehmen mit einem hohen Resilienz-Quotienten haben nicht nur die Anfangsinvestition gemacht, um ein möglichst exaktes Verzeichnis ihrer geschäftskritischen Assets zu erstellen. Mehr als die Hälfte hat auch bereits die nächste Investition getätigt, um einen kontinuierliches Mapping von Assets und Prozessen zu automatisieren – im Vergleich von nur zehn Prozent der restlichen Unternehmen, die wir untersucht haben.

Eine Ausfalltoleranz haben zwei Drittel der Unternehmen mit hohem Resilienz-Quotienten definiert – im Vergleich zu 24 Prozent mit niedrigerem Quotienten.

Schon die Definition der wichtigen Dienstleistungen und Geschäftsprozesse – abseits der Assets und IT-Prozesse – ist alles andere als trivial. Und so ist es nicht verwunderlich, dass gerade einmal 27 Prozent der Unternehmen mit geringerem Resilienz-Quotienten dies bisher umgesetzt haben (Vergleich hohe Resilienz: 73 Prozent). Diese Definition ist aber absolut notwendig, um Limits zu setzen, auf welche Geschäftsprozesse das Unternehmen wie lang und zu welchen Kosten im schlimmsten Fall verzichten kann. Wir nennen dies die Ausfalltoleranz und beziehen uns auf den anzunehmenden maximal tolerierbaren Schaden. Diese ist die entscheidende Größe, um das Kerngeschäft zu priorisieren und mögliche Fallback-Lösungen zu erarbeiten.

Zwei Drittel der Unternehmen mit hohem Resilienz-Quotienten haben dies definiert – im Vergleich zu 24 Prozent mit niedrigem Quotienten. Und die Mehrheit der Unternehmen mit hohem Quotienten hat zudem konkrete Entscheidungsvorlagen auf Basis der Ausfalltoleranz erarbeitet. Ich gebe Ihnen ein Beispiel: Wie entscheiden Sie, ob Sie im Falle eines Ransomware-Erpressungsfalls das Lösegeld bezahlen sollen oder nicht, wenn die Entscheidung wirtschaftlich,nicht ad-hoc und unter Emotionen prinzipiell („Wir zahlen kein Lösegeld!“) basiert sein soll? Sie können das nicht in der notwendigen Zeit entscheiden, wenn Sie nicht im Vorfeld die Ausfalltoleranz festgeschrieben und ein Vorgehen definiert haben. Damit verlieren die Unternehmen, die hier nicht vorgesorgt haben, im Ernstfall weitere kostbare Zeit und damit Geld.

34 Prozent der Unternehmen mit hohem Resilienz-Quotienten sind der Ansicht, dass ‚Resilience by Design‘ in ihrem Unternehmen schon umgesetzt wird – beim Rest ist das in 14 Prozent der Fall.

Viel ist zuletzt von ‚Privacy by Design‘ und ‚Security by Design‘ die Rede gewesen. Dieses Prinzip gilt es künftig auch auf Resilienz und BCM anzuwenden. Konkret bedeutet das: Es muss sichergestellt sein, dass ein unternehmensweites System etabliert wird, das Produkte, Dienstleistungen und unternehmensweitere Prozesse, Kern-Assets und IT-Interdependenzen durchgängig überwacht und anpasst. Ein Team muss gebildet werden, dass im Fall der Fälle möglichst schnell eingreifen kann. Dieses Team kann nicht nur aus einer Abteilung oder eines IT-Response Teams bestehen, sondern muss unterschiedliche Disziplinen und nicht zuletzt zwingend das operative Business einschließen. Ein entscheidender Erfolgsfaktor ist, dass die Verantwortlichen noch bevor der Ernstfall eintritt gemeinsam an einen Tisch zusammenkommen, um entsprechende Vorgehen zu etablieren und als Team gemeinsam Erfahrungswerte aufzubauen.

Abschließend ist wichtig, dass ein Resilienz- und BCM-System von Vorfällen der Vergangenheit lernt und entsprechend stetig angepasst wird. So, wie sich Geschäftsprozesse heute ständig in agiler Art und Weise ständig verändern, muss dies selbstverständlich auch im BCM geschehen. Dazu gehört es, die eigenen Produkte und Leistungen ständig zu hinterfragen. Welches Asset ist wo in der Wertschöpfungskette wirklich notwendig, welches kann zeitweise aufgegeben werden, um einen effizienten Notbetrieb zu ermöglichen? Nur wer die Symbiose aus Prävention und Response versteht und umsetzt, kann dafür sorgen, dass echte Cyber Resilience erreicht wird – die Fähigkeit, Cyberbedrohungen vorzubeugen und im Eintrittsfall bestmöglich zu managen.

Über die Autorin: Franziska Hain ist Directorin bei der PwC und verantwortet das Service Portfolio für „Business Continuity und Krisenmanagement“ innerhalb des Bereichs PwC Cybersecurity & Privacy.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 46358909 / Risk Management)