Cybersicherheit | Nachhaltige Strategie | Aktuelles
Nicht nur bewusst, sondern auch widerstandsfähig: Ein wichtiger Baustein in einer Cyber Security-Strategie ist die Mitarbeiter-Awareness, das Bewusstsein, dass und welche Cyberbedrohungen es gibt. Gepaart mit dem Wissen, wo die Gefahren lauern, wie sie aussehen, wie man sich im Notfall verhält und wie man sich am besten absichert, lässt sich damit die Cyber Resilience, die Widerstandkraft von Unternehmen gegenüber Cyberbedrohungen, deutlich erhöhen.
Cyber Resilience ist dabei mehr als Cyber Security. Letztere ist nur ein Baustein einer ganzheitlichen Strategie zur Stärkung der Widerstandskraft der IT gegenüber Cyberangriffen. Cyber Resilience geht weit über reine Cyber Security hinaus und verfolgt einen umfassenden Ansatz zum Schutz der IT und zur Sicherstellung sowie zur Wiederaufnahme des Betriebs nach erfolgten Angriffen.
Ziel: Dauerhafte Robustheit der IT-Systeme
Ziel ist es, eine hohe Robustheit der IT-Infrastruktur eines Unternehmens oder einer Organisation gegenüber den verschiedenen Bedrohungen zu schaffen und Risiken für Betriebsausfälle zu minimieren. Wichtige Voraussetzung für den Erfolg eines Resilience-Programms ist dabei ein aktives Vorantreiben sämtlicher Aktivitäten durch das Management. Auch die Cyber Resilience muss Chefsache sein. Auf allen Ebenen sollte das Management klar machen, dass von einer ständigen möglichen Bedrohungslage ausgegangen werden muss.
Während die Cyber Security dazu geeignet ist, Daten, Netzwerke und IT-Systeme vor Cyberangriffen zu schützen und dadurch das Risiko zu verringern, Opfer eines Angriffs zu werden, beschränkt sich die Resilience nicht nur auf die Risikominimierung: sie sieht auch Maßnahmen, Prozesse und Methoden vor, den Betrieb während eines Angriffs sicherzustellen oder nach einer Attacke schnell wieder aufzunehmen. Sie sorgt daher für eine hohe Widerstandskraft und Robustheit der kompletten Organisation und IT-Infrastruktur. Resilience-Programme erfordern daher ein ganzheitliches Denken und schnelles, agiles Handeln bei Angriffen.
Erst 36 Prozent der Unternehmen sind hochresilient
Laut einer Studie von Greenbone Networks in Zusammenarbeit mit dem Marktforschungsinstitut Frost & Sullivan haben allerdings erst 36 Prozent der Unternehmen in den fünf größten Volkswirtschaften der Welt (Deutschland, China, Großbritannien, USA, Japan) ein hohes Level an Cyber Resilience erreicht. Die USA schneiden dabei am besten ab: Hier sind bereits 50 Prozent der befragten Unternehmen hochresilient. Europa hinkt mit 36 Prozent noch hinterher. Schlusslicht ist Japan mit 22 Prozent.
Im Branchenvergleich über alle Länder hinweg sind Finanz- und Telekommunikationsunternehmen (46 Prozent) am besten gegen Cyber-Angriffe gerüstet, gefolgt von den Sektoren Wasser (36 Prozent), Gesundheit (34 Prozent) und Energie (32 Prozent). Am schlechtesten sehen sich Transportunternehmen aufgestellt. Nur 22 Prozent von ihnen erreichten ein hohes Resilienz-Niveau.
Was zeichnet hochresiliente Unternehmen aus und was können Organisationen tun, um selbst widerstandsfähiger gegen Cyber-Angriffe zu werden?
Awareness-Trainings: Mithilfe von Trainings bereiten sich resiliente Unternehmen gezielt vor. Bei einem Cyber-Vorfall sind sie in der Lage, schnell neue Prozesse zu implementieren oder bestehende anzupassen, um Sicherheitslücken zu schließen und sich rasch von Angriffen zu erholen.
Schwachstellen identifizieren: 93 Prozent der hochresilienten Unternehmen sind dazu in der Lage, aber nur 41 Prozent der wenig resilienten. In dieser Disziplin hat die Studie den größten Unterschied zwischen hoher und niedriger Cyber Resilience festgestellt. Nur wenn eine Organisation sich ihrer Schwachstellen bewusst ist – egal ob technischer oder organisatorischer Natur – kann sie diese beheben und ihre Angriffsfläche verringern. 94 Prozent der hochresilienten Unternehmen beherrschen dies nach eigener Einschätzung sehr gut, im Gegensatz zu nur 43 Prozent der wenig resilienten.
Agilität eines Unternehmens, schnell auf neu aufkommende Bedrohungen und Angriffe zu reagieren: 96 Prozent der hochresilienten Unternehmen sind zudem in der Lage, die Auswirkung eines Cyber-Angriffs auf kritische Geschäftsprozesse zu mindern. Was sie darüber hinaus von Organisationen mit geringer Widerstandsfähigkeit abhebt, ist, dass sie ihre Cyber Security-Architektur auf ihre Geschäftsprozesse abgestimmt haben.
Klare Verantwortlichkeiten und Abläufe: Sie ermöglichen es, im Ernstfall schnell die richtigen Personen zu mobilisieren und Angriffe abzuwehren, bevor großer Schaden entsteht. Als Best Practice hat sich zum Beispiel herauskristallisiert, dass der Owner eines digitalen Assets auch für dessen Security verantwortlich sein sollte. In 95 Prozent der hochresilienten Unternehmen ist dies der Fall. Owner kann sowohl eine einzelne Person als auch eine Abteilung sein.
Unterstützung durch externe Dienstleister: 97 Prozent der Befragten nehmen externe Hilfe bei der Wahl der geeigneten Technologie in Anspruch.
Mit Awareness zur Resilience
Man könnte auch sagen: Cyber Resilience ist die Zukunft der IT-Security. Es geht nicht nur darum, technische und organisatorische Maßnahmen zu ergreifen, um Cyber-Vorfälle zu vermeiden. Denn vollständig kann dies ohnehin nie gelingen. Ziel ist vielmehr, auch im Falle eines erfolgreichen Angriffs betriebsfähig zu bleiben und Schaden zu minimieren. Cyber Resilience verfolgt den Ansatz, Sicherheit aus den Geschäftsprozessen heraus zu schaffen, statt einen Schutzwall um sie herum zu bauen.
Cybersecurity | Sustainable Strategy | News
Not just aware, but resilient: An important part of any cyber security strategy is making sure your employees know about cyber threats and what they look like. Combined with knowledge of where the dangers lurk, what they look like, how to respond in an emergency and how best to protect oneself, this can significantly increase cyber resilience, i.e. the ability of companies to withstand cyber threats.
Cyber resilience is more than just cyber security. The latter is only one component of a holistic strategy to strengthen IT resilience against cyber attacks. Cyber resilience goes far beyond pure cyber security and takes a comprehensive approach to protecting IT and ensuring that operations can be resumed after attacks.
Goal: Long-term robustness of IT systems
The goal is to make the IT infrastructure of a company or organisation highly robust against various threats and to minimise the risk of operational downtime. An important prerequisite for the success of a resilience programme is the active promotion of all activities by management. Cyber resilience must also be a top priority. Management at all levels should make it clear that a constant threat must be assumed.
While cyber security is designed to protect data, networks and IT systems from cyber attacks and thus reduce the risk of becoming a victim of an attack, resilience is not limited to risk minimisation: it also provides measures, processes and methods to ensure operations continue during an attack or resume quickly after an attack. It therefore ensures a high level of resilience and robustness for the entire organisation and IT infrastructure. Resilience programmes therefore require holistic thinking and fast, agile action in the event of attacks.
Only 36 percent of companies are highly resilient
However, according to a study by Greenbone Networks in collaboration with market research institute Frost & Sullivan, only 36 percent of companies in the world’s five largest economies (Germany, China, the United Kingdom, the United States and Japan) have achieved a high level of cyber resilience. The United States performs best in this regard, with 50 percent of the companies surveyed already highly resilient. Europe lags behind with 36 percent. Japan comes in last with 22 percent.
In a cross-country industry comparison, financial and telecommunications companies (46 percent) are best equipped against cyber attacks, followed by the water (36 percent), healthcare (34 percent) and energy (32 percent) sectors. Transport companies consider themselves to be in the worst position. Only 22 percent of them achieved a high level of resilience.
What distinguishes highly resilient companies and what can organisations do to become more resilient to cyber attacks themselves?
Awareness training: Resilient companies use training to prepare themselves in a targeted manner. In the event of a cyber incident, they are able to quickly implement new processes or adapt existing ones to close security gaps and recover quickly from attacks.
Identifying vulnerabilities: 93 percent of highly resilient companies are able to do this, but only 41 percent of those with low resilience.
The study found the biggest difference between high and low cyber resilience in this area. Only when an organisation is aware of its weaknesses – whether technical or organisational – can it fix them and reduce its attack surface. 94 percent of highly resilient companies say they’re really good at this, compared to only 43 percent of less resilient ones.
Agility of a company to respond quickly to emerging threats and attacks: 96 percent of highly resilient companies are also able to mitigate the impact of a cyber attack on critical business processes. What further sets them apart from organizations with low resilience is that they have aligned their cyber security architecture with their business processes.
Clear responsibilities and processes: These enable the right people to be mobilised quickly in an emergency and attacks to be repelled before major damage occurs. For example, it has emerged as best practice that the owner of a digital asset should also be responsible for its security. This is the case in 95 percent of highly resilient companies. The owner can be either an individual or a department.
Support from external service providers: 97 percent of those surveyed seek external help in choosing the right technology.
Awareness leads to resilience
You could also say that cyber resilience is the future of IT security. It is not just a matter of taking technical and organisational measures to prevent cyber incidents. After all, this can never be completely successful. The aim is rather to remain operational even in the event of a successful attack and to minimise damage. Cyber resilience pursues the approach of creating security from within business processes rather than building a protective wall around them.