Nicht nur bewusst, sondern auch widerstandsfähig: Ein wichtiger Baustein in einer Cyber Security-Strategie ist die Mitarbeiter-Awareness, das Bewusstsein, dass und welche Cyberbedrohungen es gibt. Gepaart mit dem Wissen, wo die Gefahren lauern, wie sie aussehen, wie man sich im Notfall verhält und wie man sich am besten absichert, lässt sich damit die Cyber Resilience, die Widerstandkraft von Unternehmen gegenüber Cyberbedrohungen, deutlich erhöhen.
Cyber Resilience ist dabei mehr als Cyber Security. Letztere ist nur ein Baustein einer ganzheitlichen Strategie zur Stärkung der Widerstandskraft der IT gegenüber Cyberangriffen. Cyber Resilience geht weit über reine Cyber Security hinaus und verfolgt einen umfassenden Ansatz zum Schutz der IT und zur Sicherstellung sowie zur Wiederaufnahme des Betriebs nach erfolgten Angriffen.
Ziel: Dauerhafte Robustheit der IT-Systeme
Ziel ist es, eine hohe Robustheit der IT-Infrastruktur eines Unternehmens oder einer Organisation gegenüber den verschiedenen Bedrohungen zu schaffen und Risiken für Betriebsausfälle zu minimieren. Wichtige Voraussetzung für den Erfolg eines Resilience-Programms ist dabei ein aktives Vorantreiben sämtlicher Aktivitäten durch das Management. Auch die Cyber Resilience muss Chefsache sein. Auf allen Ebenen sollte das Management klar machen, dass von einer ständigen möglichen Bedrohungslage ausgegangen werden muss.
Während die Cyber Security dazu geeignet ist, Daten, Netzwerke und IT-Systeme vor Cyberangriffen zu schützen und dadurch das Risiko zu verringern, Opfer eines Angriffs zu werden, beschränkt sich die Resilience nicht nur auf die Risikominimierung: sie sieht auch Maßnahmen, Prozesse und Methoden vor, den Betrieb während eines Angriffs sicherzustellen oder nach einer Attacke schnell wieder aufzunehmen. Sie sorgt daher für eine hohe Widerstandskraft und Robustheit der kompletten Organisation und IT-Infrastruktur. Resilience-Programme erfordern daher ein ganzheitliches Denken und schnelles, agiles Handeln bei Angriffen.
Erst 36 Prozent der Unternehmen sind hochresilient
Laut einer Studie von Greenbone Networks in Zusammenarbeit mit dem Marktforschungsinstitut Frost & Sullivan haben allerdings erst 36 Prozent der Unternehmen in den fünf größten Volkswirtschaften der Welt (Deutschland, China, Großbritannien, USA, Japan) ein hohes Level an Cyber Resilience erreicht. Die USA schneiden dabei am besten ab: Hier sind bereits 50 Prozent der befragten Unternehmen hochresilient. Europa hinkt mit 36 Prozent noch hinterher. Schlusslicht ist Japan mit 22 Prozent.
Im Branchenvergleich über alle Länder hinweg sind Finanz- und Telekommunikationsunternehmen (46 Prozent) am besten gegen Cyber-Angriffe gerüstet, gefolgt von den Sektoren Wasser (36 Prozent), Gesundheit (34 Prozent) und Energie (32 Prozent). Am schlechtesten sehen sich Transportunternehmen aufgestellt. Nur 22 Prozent von ihnen erreichten ein hohes Resilienz-Niveau.
Was zeichnet hochresiliente Unternehmen aus und was können Organisationen tun, um selbst widerstandsfähiger gegen Cyber-Angriffe zu werden?
Awareness-Trainings: Mithilfe von Trainings bereiten sich resiliente Unternehmen gezielt vor. Bei einem Cyber-Vorfall sind sie in der Lage, schnell neue Prozesse zu implementieren oder bestehende anzupassen, um Sicherheitslücken zu schließen und sich rasch von Angriffen zu erholen.
Schwachstellen identifizieren: 93 Prozent der hochresilienten Unternehmen sind dazu in der Lage, aber nur 41 Prozent der wenig resilienten. In dieser Disziplin hat die Studie den größten Unterschied zwischen hoher und niedriger Cyber Resilience festgestellt. Nur wenn eine Organisation sich ihrer Schwachstellen bewusst ist – egal ob technischer oder organisatorischer Natur – kann sie diese beheben und ihre Angriffsfläche verringern. 94 Prozent der hochresilienten Unternehmen beherrschen dies nach eigener Einschätzung sehr gut, im Gegensatz zu nur 43 Prozent der wenig resilienten.
Agilität eines Unternehmens, schnell auf neu aufkommende Bedrohungen und Angriffe zu reagieren: 96 Prozent der hochresilienten Unternehmen sind zudem in der Lage, die Auswirkung eines Cyber-Angriffs auf kritische Geschäftsprozesse zu mindern. Was sie darüber hinaus von Organisationen mit geringer Widerstandsfähigkeit abhebt, ist, dass sie ihre Cyber Security-Architektur auf ihre Geschäftsprozesse abgestimmt haben.
Klare Verantwortlichkeiten und Abläufe: Sie ermöglichen es, im Ernstfall schnell die richtigen Personen zu mobilisieren und Angriffe abzuwehren, bevor großer Schaden entsteht. Als Best Practice hat sich zum Beispiel herauskristallisiert, dass der Owner eines digitalen Assets auch für dessen Security verantwortlich sein sollte. In 95 Prozent der hochresilienten Unternehmen ist dies der Fall. Owner kann sowohl eine einzelne Person als auch eine Abteilung sein.
Unterstützung durch externe Dienstleister: 97 Prozent der Befragten nehmen externe Hilfe bei der Wahl der geeigneten Technologie in Anspruch.
Mit Awareness zur Resilience
Man könnte auch sagen: Cyber Resilience ist die Zukunft der IT-Security. Es geht nicht nur darum, technische und organisatorische Maßnahmen zu ergreifen, um Cyber-Vorfälle zu vermeiden. Denn vollständig kann dies ohnehin nie gelingen. Ziel ist vielmehr, auch im Falle eines erfolgreichen Angriffs betriebsfähig zu bleiben und Schaden zu minimieren. Cyber Resilience verfolgt den Ansatz, Sicherheit aus den Geschäftsprozessen heraus zu schaffen, statt einen Schutzwall um sie herum zu bauen.