4 Minuten Lesezeit
Highlights
- Cyber-Resilienz gewährleistet, dass ein Unternehmen auch bei einem Cyberangriff betriebsfähig bleibt.
- Unternehmen müssen wissen, welche Ressourcen ihnen zur Verfügung stehen, um auf Cyberattacken zu reagieren.
- Mit erweiterten Cyber-Resilienz-Programmen können sich Unternehmen auf Cyberbedrohungen und andere potenzielle Sicherheitsrisiken vorbereiten.
In diesem Artikel
In diesem Artikelinpage
Resilient werden
Die Angriffsfläche wächst ständig, verschärft durch vermehrtes Homeoffice, immer professionellere cyberkriminelle Gruppierungen und menschliche Schwachstellen.
Wenig verwunderlich: Die Gefahr von Cyberattacken sind die größte Sorge der Unternehmen weltweit. Das zeigt das Allianz Risk Barometer 2022.
Nach einem Cyberzwischenfall müssen Unternehmen in der Lage sein, den Betrieb aufrechtzuerhalten. Entscheidend ist das in vielerlei Hinsicht: für das Vertrauen der Kunden, den Umsatz, das Image ihrer Marke und die Rechtssicherheit. Und doch verfügen heute nur wenige Unternehmen über sogenannte Cyber-Resilienz (CR). Viele sind immer noch anfällig für die möglicherweise schwerwiegenden Folgen von Cyberangriffen (siehe Abbildung 1).
Effektive Cyber-Resilienz zahlt sich aus
Die Grundlagen schaffen
Der erste Schritt zum cyberresilienten Unternehmen ist, eine dafür zuständige Einheit aufzustellen.
Der Leiter oder die Leiterin dieser Einheit (CR-Champion) sollte sowohl in IT-Fragen bewandert sein als auch über Erfahrungen mit den geschäftlichen Aspekten des Unternehmens verfügen. Er oder sie benötigt die volle Unterstützung der eigenen Vorgesetzten.
Eine typische Hürde sind organisatorische Silos – wenn also Detailwissen, das für den Aufbau der Resilienz nötig ist, nur auf einzelne Köpfe und Funktionen verteilt ist (siehe Abbildung 2). Idealerweise sollten die Erkenntnisse und die Unterstützung dieser Wissensträger in ein Cyber-Resilienz-Programm einfließen, das vom CR-Champion gesteuert wird.
Cyber-Resilienz geht jeden etwas an.
Erste Schritte
Erfassen Sie alle digitalen Ressourcen.
Zunächst benötigen Unternehmen eine Bestandsaufnahme ihrer gesamten IT-Systeme, Datenbanken und Geschäftsnetzwerke sowie gegebenenfalls der operativen Technologie (OT) und der industriellen Steuerungssysteme (ICS). Da viele Unternehmen zumindest Teile ihrer IT in die Cloud verlagert haben, müssen sie auch die remote betriebenen Anwendungen und remote gespeicherten Daten berücksichtigen. Unterstützt von den Process Ownern aus den Geschäftsbereichen und der IT sollte das CR-Team die digitalen Rollen und Aktivitäten erfassen, die für den Geschäftsbetrieb maßgeblich sind. Auch die IT-Schnittstellen zu Lieferanten und Anbietern sind zu überprüfen – einschließlich Risikoabschätzung und Gefahrendefinition.
Anschließend können Unternehmen den Schutz ihrer wichtigsten Assets priorisieren und diese – ebenso wie die größten Schwachstellen – nahtlos überwachen. Ratsam ist der Aufbau eines Zero-Trust-Sicherheitsframeworks zur Netzwerkabsicherung. Ein striktes Identity- und Access-Management, sichere VPNs und Verschlüsselungsmethoden sind ebenfalls entscheidend. Ihre Netzwerke sollten Unternehmen segmentieren, damit ein erfolgreicher Angriff nur einzelne Teile trifft. Zudem sind klare Abgrenzungen zwischen
IT- und OT-Verbindungen und Steuerungssystemen vorzunehmen. Alle Daten und Systeme sollten auch offline gesichert werden.
Besteht ein erhöhtes Angriffsrisiko, greifen cyberresiliente Unternehmen auf spezialisierte Partner zurück, die bei der Abwehr helfen – oder bei der schnellen Reaktion und Wiederherstellung. Es ist hilfreich, Erkenntnisse über Cyberbedrohungen mit anderen Unternehmen und öffentlichen Stellen zu teilen und gemeinsam an der Behebung von Sicherheitsproblemen zu arbeiten. Nicht jede Attacke lässt sich so verhindern. Aber die gemeinsame Verteidigungsfähigkeit und die Resilienz steigen
Resilienz umsetzen
Implementieren Sie einen einheitlichen Ansatz für das Cyber-Risikomanagement und verknüpfen Sie die Cyber- mit der Geschäftsstrategie.
Folgenabschätzungen, IT-Management-Strategien, Business-Continuity-Methoden: Governance-Dokumente wie diese müssen zunächst überarbeitet werden. Zu definieren sind dabei die Reaktionen auf Cyber-Sicherheitsvorfälle, Wiederherstellungszeitfenster, maximal tolerierbare Ausfallzeiten und Folgen sowie alternative Vorgehensweisen. Sie müssen von IT und Fachabteilungen gemeinsam erarbeitet werden – unter der Führung des CR-Teams. So erst entstehen realistische Erwartungen (siehe Abbildung 3).
Wiederherstellung nach einem Cybervorfall im Zeitverlauf
Resilienz-Checkliste
Das CR-Team leitet zwar das Cyber-Resilienz-Programm, seine Ziele müssen aber in der gesamten Organisation verankert sein.
Die Verantwortlichkeit für das Erstellen und/oder Aktualisieren der jeweiligen Governance-Dokumente zur Cyber-Resilienz sollte bei den Business Units und den IT-Teams liegen. Auf dem Weg zum cyberresilienten Unternehmen kann die folgende Checkliste helfen:
Ernennen Sie einen CR-Champion.
Schärfen Sie bei sämtlichen Beteiligten das Bewusstsein für alle digitalen Ressourcen.
Dokumentieren und verstehen Sie die Abhängigkeiten von Drittanbietern und Lieferanten.
Priorisieren Sie alle digitalen, physischen und von Dritten verwalteten Assets.
Segmentieren Sie Ihre Netzwerke (stärker) und richten Sie einen Data Vault ein.
Setzen Sie auf ein durchgängiges Identity- und Access-Management und führen Sie bei kritischen Systemen ein rollenbasiertes Zugangsmanagement (RBAM) ein.
Arbeiten Sie mit Behörden zusammen, um die Aufmerksamkeit für Bedrohungen und Angriffsrichtungen zu stärken.
Führen Sie CR-Prozesse in Zusammenarbeit mit branchenerfahrenen Partnern effizient ein.
Cyberkriminalität in Zahlen
Reagieren und wiederherstellen
Entwickeln Sie ein Modell für den Zielbetrieb während einer Cyber-Krisensituation. Dazu gehören Vorkehrungen für den Neustart von lahmgelegten Systemen.
Unternehmen müssen ihr Vorgehen beim Krisenmanagement und bei der Business Continuity für den Fall einer Cyberattacke regelmäßig auf den Prüfstand stellen. Kommt es zu einem Vorfall, müssen auch die kommunikativen Abläufe klar sein: Wer gibt welche Informationen frei und wie wird die Öffentlichkeit in Kenntnis gesetzt? Idealerweise werden diese internen Pläne auf vertraulichem Weg mit Behörden ausgetauscht.
Bei Unternehmen, die für kritische Infrastrukturen verantwortlich sind – beispielsweise die Telekommunikation –, ist der Aufbau eines offline verfügbaren Datenarchivs ratsam. Hier werden die wertvollsten Daten vorgehalten und gesichert. Externe Dienstleister können dabei unterstützen. Branchenverbände und Organisationen wiederum entwickeln allgemeine Standards für Datenschutz und -wiederherstellung. Organisationen, die digital isolierte Datentresore nutzen, sollten regelmäßig Wiederherstellungsverfahren testen, um im Falle eines schwerwiegenden Cybervorfalls vorbereitet zu sein.
Eine abschließende Bemerkung: Mit Blick auf die weite Verbreitung von Cyberangriffen und ihr erhebliches Gefährdungspotenzial ist Cyber-Resilienz auch Sache der höchsten Führungsebene. Vorstandsmitglieder und Senior Management sollten regelmäßig über den aktuellen Resilienz-Status ihres Unternehmens informiert werden. An ihnen ist es dann, die Ressourcen zu priorisieren und die Minderung der Risiken voranzutreiben. Diese Unterstützung „von oben“ ist entscheidend, damit der hohe Stellenwert der Maßnahmen unternehmensweit erkannt wird.
Kontakt
Kontakt