Die 7 Phasen der Cyberresilienz: Wie KMU die Achterbahnfahrt für den Datenschutz meistern

Heutzutage sind Daten das mit Abstand wertvollste Gut jedes modernen Unternehmens – unabhängig von der Branche und egal, wie groß es ist. Wenn Unternehmen durch einen technischen Ausfall, einen Cyberangriffs oder eine Naturkatastrophe den Zugriff auf die Daten verlieren, sind Teilbereiche oder sogar der komplette Betrieb gefährdet. Aus diesem Grund sind die Ausfallsicherheit und die Resilienz eine zwingende Notwendigkeit. [...]

KMU konzentrieren sich hauptsächlich auf ihr Kerngeschäft. Sie verwenden nahezu die gesamte Zeit darauf, das Unternehmen zu führen, Marketing und Vertrieb zu managen und ihre Kunden zu bedienen. Die Aufrechterhaltung des Business hat oberste Priorität. Diese Fokussierung schränkt jedoch die Fähigkeit, zusätzliche Aufgaben wie Cybersicherheit zu bewältigen, deutlich ein. (c) photoschmidt/stock.adobe.com

Resiliente Unternehmen im Sinne des Datenschutzes und der Datensicherheit verfügen über Prozesse, die ihnen eine schnelle Erholung von jeder datenkritischen Situation garantieren. Allerdings ist längst nicht jedes Unternehmen mit dieser Widerstandsfähigkeit ausgestattet. Im Gegenteil – die meisten KMU sind es nicht. Eine kürzlich von Arcserve durchgeführte internationale Studie bestätigt, dass nur 23 Prozent der kleinen und mittelständischen Unternehmen über ausgereifte Resilienzstrategien für die Datensicherheit verfügen.

Das ist nicht ideal, gleichwohl aber keine Überraschung. Denn kleine und mittlere Unternehmen konzentrieren sich hauptsächlich auf ihr Kerngeschäft. Sie verwenden nahezu die gesamte Zeit darauf, das Unternehmen zu führen, Marketing und Vertrieb zu managen und ihre Kunden zu bedienen. Die Aufrechterhaltung des Business hat oberste Priorität. Diese Fokussierung schränkt jedoch die Fähigkeit, zusätzliche Aufgaben wie Cybersicherheit zu bewältigen, deutlich ein.

Darüber hinaus bestehen nach wie vor weit verbreitete Missverständnisse im Bereich des Cyberschutzes. Zwar kennen KMU die potenzielle Gefahrenlage durch Cyberbedrohungen, allerdings sind viele der Meinung, dass vornehmlich größere Unternehmen ins Fadenkreuz der Angreifer geraten. In Wahrheit jedoch selektieren Cyberkriminelle nicht nach Branche oder Unternehmensgröße. Sie haben es auf jedes potenzielle Opfer abgesehen, unabhängig davon, wie klein oder groß es sein mag. Ergo sind KMU keineswegs immun gegen Cyberangriffe und je früher sie diese Tatsache realisieren, desto höher ist die Chance, rechtzeitig für Schutz und Datensicherheit zu sorgen.

Die 7 Phasen der Cyberresilienz

Beim Menschen und in der Psychologie existiert ein Prozess, den Fachleute mit „sieben Phasen der Trauer“ beschreiben. Hierbei geht es um eine psychologische Abfolge, wenn Menschen einen tiefgreifenden Verlust oder Trauerfall erleben – einschließlich Schock, Leugnung, Wut und Depression. Wendet man diese „sieben Trauerphasen“ auf KMU mit Datenschutzproblemen an, stellen sich diese wie folgt dar:

  1. Schock und Leugnung: Das ist der Zeitpunkt, an dem sich ein mittelständisches Unternehmen erstmals der potenziellen Risiken für seine Daten bewusst wird. Es ist schockiert über das Ausmaß des potenziellen Schadens durch unterschiedliche Bedrohungen. Manche Unternehmen reagieren anfangs mit einer Verleugnung, weil es den Verantwortlichen schwerfällt zu glauben, dass ihr Unternehmen durch eine derartige Bedrohung Schaden nehmen könnte.
  2. Schmerz und Schuldgefühle: Wenn KMU beginnen, den Ernst der Lage zu begreifen, verursachen mögliche Verluste oder Schäden am Unternehmen Schmerzen. Es ist zudem möglich, dass sich Schuldgefühle entwickeln, insbesondere wenn das Unternehmen den Datenschutz in der Vergangenheit nicht ernst genommen hat und unnötigen Risiken eingegangen ist.
  3. Wut und Verhandlungsbereitschaft: Im Unternehmen kann sich wegen der Umstände, die zur Bedrohung der Daten geführt hat, Wut breitmachen. Durch Cyberkriminelle oder Nachlässigkeiten kann es dazu kommen, dass nach einer schnellen Lösung gesucht wird, was langfristig nicht automatisch zu einer wirksamen Strategie führen muss.
  4. Depression: Die Erkenntnis, dass der Aufwand und die Ressourcen, die für einen wirksamen Schutz von Daten erforderlich sind, kann zu einer Art Depressionen führen. Der Grund: Durch die Komplexität des Datenschutzes und die potenziellen Folgen eines Datenverlusts fühlen sich mittelständische Unternehmen schnell überfordert.
  5. Aufwärtstrend: Sobald mittelständische Unternehmen beginnen ihre Datensicherheit mit konkreten Schritten zur verbessern, geht es aufwärts. Sie erkennen, dass der Prozess anfangs zwar komplex, jedoch machbar ist. Der erste Schritt besteht zum Beispiel darin, die kritischen Betriebssysteme zu definieren. Es gibt solche, die bei einer Kompromittierung nur eine geringfügige Störung verursachen wogegen andere das gesamte Unternehmen zum Stillstand bringen, oder vielleicht sogar ruinieren. Deshalb sollte ein Unternehmen unbedingt herausfinden, wo kritische Daten gespeichert werden und welche Systeme für das Funktionieren des Unternehmens erforderlich sind.
  6. Wiederaufbau und Aufarbeitung: In dieser Phase arbeitet das Unternehmen aktiv an seinen Datensicherungsstrategien. Es implementiert neue Maßnahmen, verbessert seine Systeme, schult Mitarbeiter und führt die notwendigen Arbeiten zur Verbesserung der Datenresilienz durch. Das Unternehmen kann beispielsweise seine Sicherungs- und Wiederherstellungsprozesse verbessern, indem es Datenkopien an getrennten Orten speichert, um Datenverluste, beispielsweise bei einem Cyberangriff, zu verringern. Außerdem kann es eine unveränderliche Datenspeicherung implementieren, bei der alle 90 Sekunden ein Snapshot der Daten erstellt wird. Das hilft bei der Datenwiederherstellung, etwa wenn durch Ransomware Daten verschlüsselt werden.
  7. Akzeptanz und Hoffnung: Mittelständische Unternehmen akzeptieren die enorme Wichtigkeit der Datenausfallsicherheit und den damit verbundenen Aufwand. Sobald die richtigen Kontrollen und Warnsysteme vorhanden sind, ist das Unternehmen in einer viel besseren Ausgangsposition, um unbefugten Zugriff zu verhindern und unerwartete Vorfälle zu beheben. Dann haben die Unternehmen auch wieder Hoffnung, besser vorbereitet auf Datenbedrohungen zu reagieren und sich von möglichen Datenvorfällen schnell zu erholen.

Mehrwerte eines Dienstleisters

Aufgrund mangelnder Ressourcen konzentrieren sich viele mittelständische Unternehmen intensiv auf ihr Tagesgeschäft. Nicht selten kommen dabei die IT und insbesondere der Datenschutz zu kurz. Deshalb ist es für viele KMU eine sinnvolle Option, mit einem spezialisierten Dienstleister zusammenzuarbeiten, der über ausgewiesene Expertise in den Bereichen Datensicherung, Cybersicherheit und Datensicherheit verfügt. Die Zusammenarbeit mit einem Dienstleister, der sich mit Best Practices auskennt und mit führenden Lösungsanbietern zusammenarbeitet, erweitert nicht nur das IT-Knowhow im Unternehmen, sondern sorgt gleichzeitig für einen soliden Plan für die Datensicherheit und die Einhaltung der Datenschutzvorschriften.

Dabei sind naturgemäß auch die Kosten für KMU ein wichtiges Thema. Während größere Unternehmen ausreichend Personal oder sogar eine ganze Abteilung für die Cybersicherheit und Datensicherung abstellen können, ist das bei vielen KMU keine realistische Option. Durch die Zusammenarbeit mit einem Service-Provider kann ein mittelständisches Unternehmen kostengünstig auf die benötigten Verfahren und Fachkenntnisse zugreifen. Dank einer solchen Partnerschaft können sie sich auf ihr Kerngeschäft und das Unternehmenswachstum konzentrieren, während sich sachkundige Experten um die Ausfall- und Wiederherstellungsstrategien kümmern.

Es steht viel auf dem Spiel und die Zuweisung eines Budgets für die Datensicherheit ist von entscheidender Bedeutung. Spezialisierte Service Provider führen skalierbare Lösungen im Portfolio, die den individuellen Bedarf von Unternehmen passgenau und zu einem angemessenen Budget abdecken können. Mithilfe von flexiblen Tools und unterschiedlichen Methoden kann ein solider Backup- und Recovery-Plan aufgestellt werden. Damit ist auch für mittelständische und kleinere Unternehmen gewährleistet, dass sie mit einer überschaubaren Investition optimal auf potenzielle Datenvorfälle vorbereitet sind.

* Der Autor René Claus ist EMEA MSP Sales Director bei Arcserve.


Mehr Artikel

News

KI ist das neue Lernfach für uns alle

Die Mystifizierung künstlicher Intelligenz treibt mitunter seltsame Blüten. Dabei ist sie weder der Motor einer schönen neuen Welt, noch eine apokalyptische Gefahr. Sie ist schlicht und einfach eine neue, wenn auch höchst anspruchsvolle Technologie, mit der wir alle lernen müssen, sinnvoll umzugehen. Und dafür sind wir selbst verantwortlich. […]

Case-Study

Erfolgreiche Migration auf SAP S/4HANA

Energieschub für die IT-Infrastruktur von Burgenland Energie: Der Energieversorger hat zusammen mit Tietoevry Austria die erste Phase des Umstieges auf SAP S/4HANA abgeschlossen. Das burgenländische Green-Tech-Unternehmen profitiert nun von optimierten Finanz-, Logistik- und HR-Prozessen und schafft damit die Basis für die zukünftige Entflechtung von Energiebereitstellung und Netzbetrieb. […]

FH-Hon.Prof. Ing. Dipl.-Ing. (FH) Dipl.-Ing. Dr. techn. Michael Georg Grasser, MBA MPA CMC, Leiter FA IT-Infrastruktur der Steiermärkischen Krankenanstaltengesellschaft m.b.H. (KAGes). (c) © FH CAMPUS 02
Interview

Krankenanstalten im Jahr 2030

Um sich schon heute auf die Herausforderungen in fünf Jahren vorbereiten zu können, hat die Steiermärkische Krankenanstaltengesellschaft (KAGes) die Strategie 2030 formuliert. transform! sprach mit Michael Georg Grasser, Leiter der Fachabteilung IT-Infrastruktur. […]

News

Risiken beim Einsatz von GenAI in vier Schritten senken

Die Themen Datenschutz und Modellverwaltung sind in der Datenwissenschaft zwar nicht neu, doch GenAI hat ihnen eine neue Dimension der Komplexität verliehen, die Datenschutzbeauftragte vor neue Herausforderungen stellt. Die Data-Science-Spezialisten von KNIME haben die Potenziale und Risiken der KI-Nutzung beim Einsatz bei der Datenarbeit zusammengefasst und empfehlen vier Schritte zur Risikominimierung. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*