Cyber Resilience (deutsch: Resilienz, Widerstandsfähigkeit) ist ein ganzheitlicher Ansatz, um die Sicherheit vor Cyber-Attacken und die Widerstandskraft der IT-Infrastruktur eines Unternehmens zu organisieren. Zu diesem Zweck werden Konzepte erstellt und Maßnahmen definiert, die die Weiterführung und Wiederaufnahme der Geschäftstätigkeiten während bzw. nach einer Cyber-Attacke gewährleisten. Ziel der Cyber Resilience ist es, gut vorbereitet und schnell auf Sicherheitsverletzungen zu reagieren sowie Sicherheitsvorfällen entgegenzuwirken und gleichzeitig die Steuerbarkeit des Geschäftes zu erhalten.
Oft wird Cyber-Resilienz mit IT-Sicherheit gleichgesetzt. Die Beziehung sieht aber tatsächlich so aus, dass die Cyber Security nur ein Bestandteil der Cyber Resilience ist. Angenommen eine Cyber-Attacke wäre wie ein Brand, der ein Unternehmen bedroht, dann wäre unter dem Thema IT-Sicherheit folgendes angesiedelt:
Diese Vorkehrungen sollen allesamt während eines Brandes Menschenleben schützen und Brandschäden eindämmen. Vor oder nach dem Brand erfüllen sie jedoch keine Aufgabe.
Resilienz hingegen umfasst alle weiteren Maßnahmen, die vor, während und nach einer Bedrohung die Widerstandskraft erhöhen. In diesem Beispiel wären dies unter anderem:
„Eine Attacke muss nur ein einziges Mal Erfolg haben, während die Cyber-Resilienz einer Organisation jedes Mal effektiv sein muss,” so fasst die Cyber Resilience-Studie von Accenture die Situation treffend zusammen.
Während Brandschutzmaßnahmen materielle Vermögensgegenstände vor der völligen Zerstörung schützen, leistet Cyber-Resilienz viel mehr: Resiliente Unternehmen verhindern, dass Daten manipuliert oder internes Wissen gestohlen werden. Dies ist ein wichtiger Beitrag, um die Integrität und das Image des Unternehmens dauerhaft zu wahren und gleichzeitig für höchste Verfügbarkeit der Dienstleistungen zu sorgen.
„In meinem Unternehmen ist noch nie etwas passiert, wieso soll ich also investieren?” Dieser Gedankengang ist verständlich, aber verkennt die Gefahrenlage. Im internationalen Vergleich waren deutsche Firmen 2020 eine beliebte Zielscheibe für Cyber-Angriffe und erlitten den größten finanziellen Schaden – und das zum zweiten Mal in Folge.
Laut Hiscox Cyber Readiness Report beliefen sich die Durchschnittskosten für alle erfassten Vorfälle in Deutschland 2020 auf über 900.000 Euro für mittelgroße Unternehmen, und über 1,3 Millionen Euro für Großunternehmen. Drei Viertel der Unternehmen in Deutschland waren in den vergangenen zwei Jahren schon von Cyber-Attacken in Form von Datendiebstahl, Industriespionage und Sabotage betroffen, umreißt eine Umfrage des Branchenverband Bitkom das Lagebild. Bei 70 Prozent der Unternehmen haben die Attacken Schaden verursacht.
Die Bedrohungslage durch Cyber-Attacken wie etwa durch die Verbreitung von Malware fordert eine ganzheitliche Strategie für die erfolgreiche Abwehr.
Gleichzeitig wächst der Markt für Cyber-Kriminelle, die immer intensivere und längere Attacken für kleines Geld in den Tiefen des Internets anbieten. Laut eines Research Papers von IT-Risiko-Berater Flashpoint kostet eine DDoS-Attacke im Jahre 2019 ca. 100 US-Dollar, ein gemietetes IoT-Botnet etwa 25 US-Dollar pro Tag. Die registrierten Cyber-Attacken offenbaren ebenfalls besorgniserregende Trends: Sowohl die Komplexität der Angriffstechniken als auch die Bandbreite der Angriffe nehmen zu.
Wer hinsichtlich dieser Gefahrenlandschaft auch unter Beschuss geschäftsfähig bleiben will, benötigt also eine Sicherheitsarchitektur, die eng mit den Aufgaben der Geschäftsführung verflochten ist.
Die Accenture Studie 2018 prophezeit, dass Unternehmen innerhalb von zwei bis drei Jahren ein nachhaltiges Maß an Cyber-Resilienz erreichen können. Für eine funktionierende Abwehr gegen Angriffe aus dem Internet muss allerdings der technische Vorsprung der Kriminellen aufgeholt werden. Dies setzt in der Regel eine klare strategische Ausrichtung voraus.
Viele Unternehmen gehen deshalb dazu über, den verantwortlichen Chief of Information Security (CISO) in die Geschäftsentwicklung miteinzubeziehen und bei wichtigen Entscheidungen zu konsultieren. Um sich auf den Ernstfall vorzubreiten, ist der Entwurf von Vorfallsreaktionsplänen ein bewährtes Mittel.
Investitionen sind ebenso wichtig wie die zielgerichtete Implementierung von Cyber Resilience in die Unternehmensstruktur. Eine globale Studie von IT-Berater Wipro Technologies zeigt, dass jeder fünfte der befragten CISOs direkt an die Geschäftsleitung berichtet oder „operative Sichtbarkeit” genießt.
Auch die verfügbaren Ressourcen steigen: Fast ein Drittel der befragten Unternehmen verfügt über ein Sicherheitsbudget, das mehr als 8 % ihres gesamten IT-Etats ausmacht. Diese Zahl wird in den kommenden Jahren voraussichtlich noch steigen.
Die Umsetzung einer erfolgreichen Cyber-Resilienz erfordert eine ganzheitliche Betrachtung – das Big Picture – des eigenen Unternehmens. Allein basierend auf dieser Annahme sind abteilungsübergreifende Analysen, Zusammenarbeit und Verteilung von Verantwortlichkeiten vorausgesetzt. Diese Herausforderung wird noch gesteigert durch die wachsende Komplexität der betriebsinternen Prozesse. Genau aus diesen Gründen ist eine strategische Herangehensweise mithilfe von Fachexperten nötig.
Wie bereits erwähnt sind die strukturelle Einbindung im Unternehmen sowie ein ausreichendes Budget Grundvoraussetzungen für einen erfolgreichen Ansatz. Danach muss das sogenannte Framework für den Aufbau von Cyber Resilience herausgearbeitet werden. Dazu werden die Aufgaben den typischen Phasen eines Angriffs zugeordnet.
„Was braucht mein Unternehmen eigentlich?” Diese Frage kann nur ein Experte beantworten. Falls das nötige Know-how nicht im eigenen Unternehmen angesiedelt ist, muss ein strategischer Partner her, der durch eine Analyse den individuellen Bedarf herausarbeitet und konkrete Maßnahmen vorschlägt, um die betriebsinterne Cyber-Resilienz zu verstärken.
Ein umfangreiches Assessment ist nur der erste Schritt, die aktuelle Widerstandsfähigkeit zu testen und mögliche Risikobereiche zu lokalisieren.
Die Widerstandsfähigkeit gegen Angriffe von außen steht und fällt mit der gelebten Sicherheitskultur im Unternehmen. Denn der beste Sicherheitsplan ist nur so stark wie seine nächste (vermeidbare) Schwachstelle. Das Öffnen eines merkwürdigen E-Mail-Anhangs oder die Verwendung eines infizierten USB-Sticks – gerne getarnt als nettes Werbegeschenk – kann schon der Anfang einer Katastrophe sein.
Jeder Mitarbeiter muss für das Thema IT-Sicherheit sensibilisiert werden – und zwar kontinuierlich. Das bedeutet konkret, dass eine Rundmail pro Monat nicht ausreicht, sondern je nach Unternehmensgröße und Risikopotenzial Mitarbeiterschulungen inklusive konkreter Guidelines erforderlich werden, denen sich alle verschreiben.
Ein Bewusstsein für Sicherheitsthemen und die konkreten Gefahren können Unternehmen nur schaffen, indem wiederholte Maßnahmen alle Mitarbeiter erreichen.
Weiterhin sind Insider-Attacken eine bekannte Gefahrenzone, denn Mitarbeiter kennen Sicherheitslücken am besten und haben in der Regel eine persönliche Motivation. Die Accenture Studie von 2018 zeigt, dass sie auf Platz zwei der größten Cyber-Sicherheitsrisiken sind hinter den externen Attacken. Betrachtet man das Ausmaß von einzelnen Angriffen, belegen die Insider ebenfalls den zweiten Platz.
Auch diese Risikoquelle kann durch eine Sicherheitskultur z.B. in Form eines konsequenten Berechtigungsmanagements verringert werden, denn sie steigert die Hemmschwelle für einen Angriff: Für widerstandsfähige Unternehmen ist eine Attacke durch böswillige oder unvorsichtige Insider weniger bedrohlich und damit sinken die erwarteten Erfolgsaussichten eines Cyber-Angriffs.
Trotzdem bleibt das Risiko hoch, einer Straftat überführt zu werden. Diese abschreckende Wirkung ist also ein absolut positiver Nebeneffekt.
Ähnlich wie bei einem Probefeueralarm sollte der Ernstfall durchgespielt werden. Theorie und Praxis unterscheiden sich deutlich. Die Fehlerquote steigt nochmal an, wenn jede Sekunde zählt. Die Wipro Studie zeigt, dass 31 % der befragten Unternehmen aus 27 Ländern an Angriffssimulationen teilnehmen. Jedes vierte Unternehmen führt außerdem Security Assessments in jedem Entwicklungszyklus durch.
Cyber-Resilienz bedeutet permanente Anpassungen der Sicherheitskonzepte und der Steuerungslösungen. Ein statischer Ansatz, bei dem Prozesse und Schutzlösungen einmalig definiert werden, reicht angesichts der hochdynamischen Sicherheitsrisiken nicht mehr aus. Parallel zu regelmäßigen Riskoanalysen gilt es auch die eigenen Schutzlösungen zu hinterfragen.
Wer clever in neue Technologien investiert, kann den Grad der Widerstandskraft überproportional steigern. Nach Ergebnissen des State of Cyber Resilience Reports 2019 von Accenture konnten diejenigen Unternehmen, die ihre Investitionen am besten skalierten, ihre Cyber Resilience viermal so stark verbessern wie andere.
Wer die passenden IT-Sicherheitslösungen wählt, macht den Brandstiftern im Internet das Leben schwer. Mit einem umfassenden Schutz im Bereich der Cyber-Resilienz wird Ihr Unternehmen schlichtweg unattraktiv für Kriminelle. Falls es doch einmal brennt, sichern die festgelegten Maßnahmen die Weiterführung der Geschäfte ab. So ersticken Sie jeden Brand im Keim.