Suchen

Cyber-Resilience Unternehmen müssen ihre Abwehr stärken

| Autor / Redakteur: Martin Krill / Peter Schmitz

Die Digitalisierung birgt neue Gefahren, aber dem technologischen Fortschritt auszuweichen bedeutet Stillstand. Niemand ist vor Cyber-Piraterie geschützt. Egal ob große Unternehmen, Konzerne oder staatliche Institutionen, selbst Politiker und Stars, es kann jeden treffen. Aber was schützt vor den Gefahren? Es gibt leider noch kein Patentrezept.

Firmen zum Thema

Cyber-Resilience bedeutet die Fähigkeit für Unternehmen, sich auf schadhafte Cybervorfälle einzustellen und diesen entgegenzuwirken.
Cyber-Resilience bedeutet die Fähigkeit für Unternehmen, sich auf schadhafte Cybervorfälle einzustellen und diesen entgegenzuwirken.
(Bild: gemeinfrei / Pixabay )

Cybercrime ist vergleichbar mit einem Grippevirus. Hat man die richtige Abwehr, ist die Gesundheit (ziemlich) sicher, aber wenn das Immunsystem ein Leck hat, kann der Gesundheitsschutz nicht wirksam funktionieren. Ähnlich verhält es sich bei diesem Thema. Jedes Unternehmen fragt sich, ob und wie weit die Abwehr gestärkt werden muss. Generell ist es für jedes Unternehmen essenziell, sich vor Cyber-Angriffen zu schützen und nicht abzuwarten, ob irgendwann etwas passiert. Aber man sollte auch nicht ‚über-impfen‘ und sich durch zu vielen Präventionsmaßnahmen letztendlich gar vor möglichen Kunden schützen.

Im Zuge der Digitalisierung haben sich die Angriffsfelder deutlich verlagert und das Aufkommen erhöht. Sabotage, Datendiebstahl – statistisch ist in den vergangenen zwei Jahren jedes zweite Unternehmen Opfer von Wirtschaftsspionage geworden. Um Cyberattacken abzuwehren oder mindestens den Schaden zu begrenzen, benötigen Unternehmen integrierte Lösungen, die die realen Bedrohungen im Prinzip in Echtzeit erkennen und spezifische Maßnahmen zur Abwehr ergreifen.

Doch, wie auch bei grippalen Infekten, haben sich die Angriffsszenarien und Möglichkeiten verändert. Viele Angriffe werden via Ransomware, Datenscan, etc. von innen, aus dem Unternehmen direkt, ausgeführt. Die Angreifer versuchen nicht mehr durch die Schutzmechanismen einzudringen, um ein System von extern anzugreifen oder Viren einzuschleusen, es gilt vielmehr, einen internen Weg zu finden, um quasi ungestört agieren zu können. Die Identifikation dieser Angriffe erfordert eine sehr sensiblen und auch agile Security.

Viele IT-Entscheider fokussieren Ihre Sicherheitsmaßnahmen verstärkt auf die Anpassung der Sicherheitsarchitektur und weniger darauf, die IT-Sicherheitsstrategien neu aufzusetzen. Stattdessen sind sie damit beschäftigt, neue Security-Tools zu implementieren. Vielfach versucht die Geschäftsführung, das Thema Cyber-Security stärker in der Unternehmensstrategie zu verankern. Dies scheitert häufig daran, dass sie nicht ausreichend Einsicht in die tatsächlichen IT-Prozesse haben, um eine tiefgreifende Neuausrichtung in Eigenregie auf die Beine zu stellen.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat in seinem aktuellen Bericht zur IT-Sicherheit auf einen wichtigen Punkt hingewiesen: Dem immer bedeutsameren Schlüsselfaktor Resilience. Vorfalltrainings sind hier ein wichtiger Faktor und sowohl Konzerne und große Unternehmen sowie KMUs sollten dies auf ihre Agenda bei der Planung ihrer IT-Sicherheitsmaßnahmen setzen.

Cyber-Resilience bedeutet die Fähigkeit, sich auf schadhafte Cybervorfälle einzustellen und diesen entgegenzuwirken. Unabhängig davon, ob Vorfälle mutwillig oder unabsichtlich beziehungsweise von Mitarbeitern oder dritten Parteien ausgelöst wurden. Bei der Cyber-Resilience geht es primär darum, den Betriebsablauf und die unternehmerischen Prozesse während eines Angriffs sicherzustellen.

Wo ist die Nadel im Heuhaufen bei der Rekrutierung?

Die Rekrutierung geeigneter Experten für diese Themenfelder gestaltet sich oftmals schwierig. Es braucht Mitarbeiter mit breit gefächerten Qualifikationen, mit umfangreichen Kenntnissen der Betriebsprozesse und auch in Forensik. Nebenbei müssen sie auch technisch fit sein und nicht lediglich durch die mögliche ‚Schadensbrille‘ schauen, sondern auch das wirtschaftliche Ausmaß potenzieller Angriffsszenarien im Auge behalten.

Zu den Kenntnissen im Bereich der Verschlüsselung mit mathematischem Fokus und einem Fachstudium, ist auch eine fundierte Berufserfahrung im Bereich IT Security (Threat Response/Analysis und Intelligence), CERT, Konzeption von Intrusion Detection und Prevention Systemen erforderlich. Ebenso wichtige Voraussetzungen sind solide Kenntnisse in den Themenfeldern Infrastruktur, Systemarchitektur, IT Sicherheit und Forensik sowie Business und Prozess Analyse. Durch das Antizipieren und kurzfristiges Reagieren auf unerwünschte Vorfälle - sowohl bei internen als auch bei externen Angriffen - soll die Reaktionszeit verkürzt und die Auswirkungen auf das Unternehmen reduziert werden, um eine Business Kontinuität zu gewährleisten.

Es gibt keinen Königsweg, um Experten rund um das Thema Cyber-Security und Cyber-Resilience zu rekrutieren. Bisher sind Unternehmen bei der Rekrutierung von geeigneten Mitarbeitern im IT-Sicherheitsbereich nur bedingt Kompromisse eingegangen. Es ist sehr ratsam für Arbeitgeber, Zugeständnisse zu machen und nicht auf eine 100-prozentige Passgenauigkeit zu beharren.

Fazit

Aus unserer Erfahrung als Personalberatung, die mit verschiedenen Mandanten im Cyber-Security Umfeld regelmäßig zusammen arbeitet, ist es ratsam, sich bei der Platzierung geeigneter Mitarbeiter im Sicherheitsbereich nicht nur auf Kandidaten zu fokussieren, die im Bereich IT und Forensik erfahren sind. Branchenkenntnisse sind, insbesondere im Hinblick auf die Cyber-Resilience, sehr wichtig, um auch ein Verständnis für interne Abläufe und Prozesse zu haben. Untypische Aktionen oder Unregelmäßigkeiten fallen nur dann auf, wenn auch ein normaler Ablauf bekannt ist. Hier nutzten keine reinen IT oder Forensik Kompetenzen, hier bedarf es letztendlich einem ausgeprägten Feingeist und Agilität, um adäquat zu reagieren.

Über den Autor: Martin Krill ist seit knapp zwanzig Jahren für die Hager Unternehmensberatung tätig und wurde 2004 zum Geschäftsführer berufen. Er besetzt gehobene Vertriebs- und Management-Positionen in der Technologiebranche sowie in weiteren ausgewählten Branchen.

(ID:46038147)