Cyber-Resilienz Teil II: Praktische Umsetzung Starke Abwehrkräfte für den Ernstfall

Von Susanne Aukes

Anbieter zum Thema

Um eine nachhaltige Cyber-Resilienz zu entwickeln, müssen Unternehmen viele Aspekte beachten und deren Zusammenspiel laufend weiterentwickeln. Das Wissen um die Gefährdungen und deren Abwehr will nicht nur aufgefrischt, sondern auch gelebt werden.

Cyber-Resilienz erfordert einen dauerhaften Anpassungs- und Entwicklungsprozess.
Cyber-Resilienz erfordert einen dauerhaften Anpassungs- und Entwicklungsprozess.
(Bild: ag visuell - stock.adobe.com)

Fehler zu erkennen und zu akzeptieren, ist für Unternehmen der erste Schritt zur Cyber-Resilienz. Die menschliche und die technische Seite sind dabei gleichermaßen wichtig. Wo die Komplexität und Bandbreite zunimmt, nimmt die Widerstandskraft der IT-Systeme ab, weil es nahezu unmöglich wird, jedes Gerät und jede Software tagesaktuell vollständig abzusichern. Hinzu kommt, dass viele Daten nicht mehr nur lokal oder im eigenen Firmennetz gesichert und bearbeitet werden, sondern vermehrt auch Online-Lösungen genutzt werden.

Eine Eco-Umfrage zur IT-Sicherheit 2020 kommt zu dem Ergebnis, dass bei der Vorsorge gegen gravierende Sicherheitsvorfälle generell mehr getan wird. Jedoch zeigt die Vielzahl der Cloud-Ausfälle und Datenverluste in der Cloud andererseits deutlich, dass die Notfallvorsorge im Cloud Computing weiterhin Nachholbedarf hat. Dazu gehören auch Maßnahmen für die Cloud-Resilienz, also für die Widerstandskraft im Fehlerfall und bei Überlastung.

Vorsorge gegen Cyber-Attacken in deutschen Firmen

Dass mittlerweile mehr für Cyber-Resilienz getan wird, zeigt eine Befragung von 379 deutschen Unternehmen unterschiedlicher Größenordnungen durch das Marktforschungsunternehmen Ponemon im Auftrag der IBM-Tochter Resilient. Demnach können deutsche Firmen Cyberattacken im Vergleich zum Vorjahr zwar ein bisschen besser erkennen, bei Vorbeugung, Eingrenzung und Beseitigung der Folgen schätzen sie ihre Fähigkeiten aber um einiges schlechter ein als im Vorjahr. Interessant sind auch die versteckten Kosten, die ein Hack für ein Unternehmen verursachen kann. IBM zählt zu diesen Kostenfaktoren zum Beispiel technische Abklärungen und Wiederherstellung, Benachrichtigungen, rechtliche und regulatorische Maßnahmen, aber auch Geschäftsverluste oder negative Auswirkungen auf die Reputation in Folge von Datenpannen.

Cyber Incident Response und Security Automatisierung

So unangenehm es auch ist, Unternehmen sollten etwaige Krisenszenarien vorab und möglichst realitätsnah und regelmäßig durchspielen. Unterstützend kann Security Automatisierung installiert werden, die auf Datenpannen ohne Diskussionen direkt reagiert. Mit 75 Prozent Nutzung führt Deutschland einerseits weltweit in der Security-Automatisierung, aber nur 30 Prozent der Unternehmen haben Systeme für die Sicherheitsautomatisierung bereits vollständig umgesetzt. Gemessen am globalen Durchschnitt von 21 Prozent ist das der höchste Wert weltweit.

Zwischen den automatisierten und nicht automatisierten Unternehmen zeichnet sich leider auch eine immer größere Kluft ab. Für nicht automatisierte Unternehmen waren Datenpannen 2019 mit im Durchschnitt sechs Millionen US-Dollar mehr als zwei Mal so teuer wie für Unternehmen, die auf künstliche Intelligenz, Machine Learning und Orchestrierung setzen (2,45 Millionen US-Dollar). Und an dieser Stelle kommen die Aspekte der Unternehmens-Resilienz ins Spiel:

Eine große Mehrheit der Unternehmen ist noch immer nicht darauf vorbereitet, angemessen, also in vollem Umfang auf Cyberangriffe zu reagieren. 67 Prozent der deutschen Unternehmen haben keinen einheitlichen, unternehmensweiten Notfallplan und fast die Hälfte der weltweit Befragten (46 %) geben an, dass ihr Unternehmen die Datenschutz-Grundverordnung noch nicht vollständig einhält.

Hinzu kommt, dass mehr als die Hälfte (56 %) der befragten Unternehmen in Deutschland, die über einen Notfallplan verfügen, ihre Pläne nicht regelmäßig testen. Sie verpassen so die Chance, die komplexen Prozesse, notwendige Koordination und Kommunikation innerhalb der Firma, die nach einem Angriff nötig sind, vorzubereiten und zu üben. Die anhaltenden Schwierigkeiten bei der Umsetzung des Notfallplans wirken sich auch auf die Einhaltung der Datenschutz-Grundverordnung (DSGVO) aus.

Hemmschwelle bei der Umsetzung der Cyber-Resilienz

Die Basis einer nachhaltigen Cyber-Resilienz ist eine realistische ganzheitliche Betrachtung des Unternehmens. Für ein abteilungsübergreifendes Bild ist es unumgänglich, dass alle Segmente des Unternehmens eine genaue Darstellung ihrer Prozesse zeichnen. Ebenso sollten die externen Verbindungen zu Kunden, Lieferanten, externen Experten oder auch relevanten Behörden detailliert analysiert und dokumentiert werden. So ergibt sich im Idealfall eine Kombination aus Experten aller Abteilungen des Unternehmens.

„Wenn es darum geht, auf einen Cyberangriff zu reagieren, ist fehlende Planung der erste Schritt zum Misserfolg. Die Notfallpläne müssen daher regelmäßig auf Herz und Nieren geprüft werden“, sagt Ted Julian, VP of Product Management und Mitgründer von IBM Resilient. Fazit: Cyber-Resilienz benötigt Security-Automatisierung und Koordination, interdisziplinäre Kooperation, Kommunikation (intern & extern) und regelmäßiges Training der Notfallpläne inklusive Krisenmanagement.

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zur IT-Sicherheit

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung

Cyber-Resilienz auf einen Blick

Zusammengefasst bietet wirksame Cyber-Resilienz folgende Teilaspekte:

  • 1. Interdisziplinäre Sicht auf die Unternehmensprozesse und Infrastruktur.
  • 2. Getestete Sicherheitsabläufe, Notfallpläne mit Zeitfenstern und Eskalationsstufen.
  • 3. Moderation, Koordination und Meldewesen (SWAT Team für das Krisenmanagement und die Prävention).
  • 4. Definierte, intern kommunizierte Verantwortliche einschließlich Vertreterregelung
  • 5. Schnittstellen zu allen Unternehmensbereichen, interne Kommunikation
  • 6. Flexibilität in Aufbau und Abwehr
  • 7. Perspektivische Weiterentwicklung (Evolution der Attacken fordert Evolution der Abwehr)

Susanne Aukes
Freie Autorin

(ID:47141187)