Das Risiko für Cyber-Angriffe steigt. Auch mit den besten Security-Maßnahmen wird es nie gelingen, es ganz auszumerzen. Um auch im Ernstfall betriebsfähig zu bleiben, sollten Unternehmen einen Zustand der nachhaltigen Widerstandsfähigkeit anstreben. [...]
Cyber Resilience geht einen Schritt weiter als IT Security und ist ein eher strategisch ausgerichtetes Konzept. Es umfasst Maßnahmen, um die Angriffsfläche zu minimieren und erfolgreiche Attacken zu vermeiden. Gleichzeitig geht es aber auch darum, trotz eines Cyber-Vorfalls den produktiven Betrieb aufrechtzuerhalten und die Geschäftsziele zu erreichen. Denn Cyberkriminelle wenden immer raffiniertere Techniken an und die Zahl der Angriffe steigt. Auch kleinere und mittelständische Betriebe geraten zunehmend ins Visier der Hacker. Um einen Zustand der nachhaltigen Widerstandsfähigkeit zu erreichen, müssen Unternehmen nicht nur technische Aspekte berücksichtigen, sondern auch Menschen und Kultur sowie Prozesse und Organisation. Alle drei Dimensionen interagieren miteinander.
Sensibilisieren Sie Ihre Mitarbeiter
29 Prozent der deutschen Unternehmen führen noch keine Security-Awareness-Trainings für ihre Mitarbeiter durch, so der aktuelle BSI-Lagebericht zur IT-Sicherheit in Deutschland. Ein gefährliches Versäumnis, denn Studien belegen, dass die größte Schwachstelle in Unternehmen nach wie vor der Mensch ist. Wenn Mitarbeiter sich nicht über Risiken bewusst sind, fallen sie leichter auf Phishing-Angriffe herein oder laden Schadsoftware herunter. Ein wichtiger Schritt auf dem Weg zu Cyber Resilience besteht daher darin, Sicherheitsbewusstsein aufzubauen.
Etablieren Sie eine positive Fehlerkultur
Fehler sind menschlich und passieren. Jetzt ist es wichtig, sie möglichst schnell zu korrigieren und aus ihnen zu lernen. Häufig haben Mitarbeiter jedoch Angst, Fehler einzugestehen und sie zu melden. Statt mit Strafen zu drohen, sollten Unternehmen eine Kultur etablieren, in der sich Mitarbeiter trauen, ihre Fehlererfahrungen zu teilen. So können sie Ursachen analysieren, sie beheben und den Fehler künftig vermeiden.
Identifizieren Sie Ihre kritischen Assets
Um Betriebskontinuität zu garantieren, müssen Unternehmen zunächst einmal ihre Geschäftsprozesse analysieren. Welche technischen Assets sind mit welchen Prozessen verknüpft? Wo können welche Fehler passieren und wie wirken sich diese aus? So gelingt es, die kritischen Assets zu identifizieren, die auf keinen Fall ausfallen dürfen. Sie sollten in einem Hot-Standby-Konzept redundant vorgehalten werden. Das Ersatzsystem ist dann voll durchkonfiguriert und läuft parallel, sodass es bei Bedarf nahtlos übernehmen kann. Bei weniger kritischen Assets reichen auch alternative Konzepte aus. Vielleicht gibt es einen Workaround, wie man einen Prozess übergangsweise auch ohne das betreffende System aufrechterhalten kann? Wer entsprechende Notfallkonzepte entwickelt, bleibt im Ernstfall handlungsfähig.
Lösen Sie Konflikte zwischen widersprüchlichen Interessen und Regularien
Resilienz erfordert die Identifikation und Bewertung von Risiken. Dabei kann es zu Interessenskonflikten kommen, zum Beispiel zwischen Safety und Security. Safety sorgt dafür, dass Menschen nicht durch Maschinen verletzt werden. Security schützt dagegen Maschinen vor Cyber-Angriffen. In den beiden Bereichen gibt es manchmal widersprüchliche Regularien. Während es aus Security-Sicht zum Beispiel erforderlich ist, Systeme zu patchen, würde das die ISO-Zertifizierung zur Betriebssicherheit gefährden. Was wiegt schwerer? Es ist Aufgabe des Managements, solche Konflikte zu lösen.
Implementieren Sie Vulnerability Management
Ein wichtiges Hilfsmittel, um die Angriffsfläche zu minimieren, ist Vulnerability Management. Eine solche Lösung scannt alle Systeme in einem Netzwerk auf mögliche Schwachstellen und bewertet ihr Risiko. So sind Unternehmen in der Lage, Sicherheitslücken zu priorisieren und zu schließen, bevor Angreifer sie ausnutzen. Vulnerability Management sollte Teil einer durchgängigen Sicherheitsarchitektur sein und mit anderen Sicherheitslösungen wie Firewalls und Intrusion-Detection- (IDS) oder Prevention-Systemen zusammenarbeiten.
Fazit: Cyber Resilience muss Chef-Sache sein
Cybervorfälle und Betriebsunterbrechungen gelten weltweit als größte Geschäftsrisiken, so das aktuelle Risk Barometer des Allianz-Konzerns. Das macht deutlich, dass Cyber Resilience keine reine IT-Angelegenheit sein darf, sondern zur Chef-Sache werden muss. Zumal viele Entscheidungen auf dem Weg dorthin nur das Management treffen kann. Die Geschäftsleitung muss abwägen, bis zu welchem Grad das Unternehmen Risiken in Kauf nehmen will. Dafür muss sie verstehen, wie IT-Assets und Geschäftsprozesse miteinander verknüpft sind. Dirk Schrader, Cyber Resilience Strategist & CMO bei Greenbone, erklärt: „Der erste Schritt auf dem Weg zur nachhaltigen Widerstandsfähigkeit besteht darin zu akzeptieren, dass Fehler passieren. Es wird nie gelingen, sämtliche Schwachstellen von Maschinen und Menschen zu beseitigen. Vielmehr geht es darum, Risiken zu identifizieren, zu bewerten und angemessene, wirtschaftlich vertretbare Lösungen zu finden.“
Dirk Schrader ist Cyber Resilience Strategist & CMO bei Greenbone.
Be the first to comment