26. März 2025 Klaus Lorbeer

Resilienz als strategischer Erfolgsfaktor

Resiliente Unternehmen gelangen besser durch die multiplen Krisen der Gegenwart und sind zudem erfolgreicher. Im ITWelt.at-Roundtable verraten drei Experten wie Resilienz gemessen und umgesetzt werden kann. [...]

Die Teilnehmer des Roundtables (v.l.n.r.): Rainer Schneemayer (Timewarp), David Blum (Accenture), Reinhard Schröckner (Mann&Mouse) und Klaus Lorbeer (ITWelt.at). (c) timeline/Rudi Handl
Die Teilnehmer des Roundtables (v.l.n.r.): Rainer Schneemayer (Timewarp), David Blum (Accenture), Reinhard Schröckner (Mann&Mouse) und Klaus Lorbeer (ITWelt.at). (c) timeline/Rudi Handl

Durch Krieg unterbrochene Lieferketten, gestiegene Energiekosten, Inflation und dank künstlicher Intelligenz immer besser ausgeführte Cyberangriffe: unsere Gegenwart ist gezeichnet von multiplen Krisen. Das bringt Unternehmen in eine schwierige Lage. Das Zauberwort, um Betriebe aller Art mehr oder minder sicher durch die Herausforderungen der Gegenwart zu führen, heißt Resilienz.

So ergab die Mitte Jänner 2025 veröffentlichte Studie »Company Resilience – Achieving Growth in Times of Polycrisis«, dass sich resiliente Unternehmen deutlich besser in der aktuellen Lage behaupten können. Demnach befinden sich nur 3,2 Prozent resilienter Firmen derzeit in einer Rezession, während 35 Prozent der nicht-resilienten Firmen angeben, sich aktuell in einer Rezession zu befinden.

Die Accenture-Studie »Resiliency in the making. Turning adversity into advantage« (2024) zeigt zudem, dass Unternehmen mit der größten Resilienz ein zusätzliches Umsatzwachstum von 3,6 Prozent und eine um 17,4 Prozent vielseitigere qualifizierte Belegschaft aufweisen.

Doch was macht Unternehmen widerstandsfähig? Welche Maßnahmen sind erforderlich, um resiliente IT-Strukturen aufzubauen und langfristig zu erhalten? Diese und weitere Fragen diskutierten Reinhard Schröckner (Managing Director bei Mann&Mouse IT Services), David Blum (Defense and Security Lead bei Accenture) und Rainer Schneemeyer (Geschäftsführer bei Timewarp) beim Roundtable der ITWelt.

Das Fundament: Analyse und Bewertung der eigenen Resilienz 

»Ein effektives IT-Resilienz-Management beginnt mit einer fundierten Analyse der bestehenden IT-Strukturen«, erklärt Reinhard Schröckner, weshalb Mann&Mouse zuallererst auf ein Reifegrad-Modell setzt, das bereits in der Akquise-Phase neuer Kunden zum Einsatz kommt. Diese Reifegradmodelle konzentrieren sich auf IT-Security und Infrastruktur und dienen dazu, den aktuellen Stand der IT-Umgebung eines Unternehmens zu erfassen. Dabei werden grundlegende Fragen gestellt, etwa zur Organisation des Update- und Patch-Managements oder zum Vorhandensein umfassender Monitoring-Lösungen.

David Blum,
Defense & Security Lead
bei Accenture

Die gewonnenen Erkenntnisse bilden die Basis für gezielte Handlungsempfehlungen und Strategien zur schrittweisen Optimierung der IT-Resilienz. »Unser Ansatz ist es, eine solide Basis zu schaffen, denn ohne eine stabile Grundlage ist eine nachhaltige IT-Resilienz nicht möglich«, betont Schröckner. Die Bewertung des Reifegrads kann bei Neukunden etwa zwei bis drei Wochen in Anspruch nehmen, abhängig von der Bereitstellung der notwendigen Informationen. Für Bestandskunden erfolgt diese Bewertung in der Regel jährlich.

Ganz wichtig sei, fügt Schröckner noch hinzu, dass IT-Resilienz nicht als einmalige Maßnahme betrachtet werden dürfe, sondern als ein kontinuierlicher Prozess, der ständig an neue technologische Entwicklungen, Herausforderungen und gesetzliche Vorgaben angepasst werden müsse.

Dem stimmt David Blum vollkommen zu, verweist aber noch auf einen entscheidenden Aspekt der IT-Resilienz, nämlich ihre enge Verknüpfung mit den übergeordneten Unternehmenszielen. »Resilienz ist ein umfassender Begriff, der viele Facetten umfasst – eine davon ist die IT-Resilienz. Doch auch andere Unternehmensbereiche müssen widerstandsfähig sein. Daher ist es essenziell, Resilienzmaßnahmen stets im Kontext der übergeordneten Unternehmensstrategie zu betrachten.« Das strukturierte Reifegrad-Assessment von Accenture berücksichtige deswegen bewusst die Unternehmensziele, da diese die Grundlage für die Identifikation schützenswerter Güter und Interessen bilden, so Blum.

Aber natürlich sei die Bestandsaufnahme des aktuellen Resilienz-Niveaus ein wichtiger erster Schritt, betont Blum. Hier könne ein externer Partner wertvolle Unterstützung leisten, indem er eine objektive Außenperspektive einbringt. Der Ansicht Schröckners, dass Resilienz ein kontinuierliche Prozess ist, pflichtet auch Blum bei. »Wer sich ausschließlich auf die Behebung einzelner Vorfälle konzentriert«, so Blum, »läuft Gefahr, erhebliche Mittel in kurzfristige Lösungen zu investieren, während die eigentliche strukturelle Schwäche unadressiert bleibt.« Für nachhaltige Resilienz sei ein umfassendes Wissen über die eigenen Assets sowie über die Risiken und Bedrohungen, denen diese ausgesetzt sind, unabdingbar, ist Blum überzeugt.

»Im Gegensatz zu klassischen Beratungsunternehmen wie Accenture liegt der Fokus bei Timewarp primär auf der IT-Infrastruktur und deren optimalen Unterstützung der Unternehmensabläufe«, erklärt Rainer Schneemayer. Timewarp habe ein auf einem Quick-Check basierendes, praxisnahes Modell entwickelt, mit dem »gezielt die Schwachstellen der IT-Infrastruktur analysiert werden, denn mit der fortschreitenden Digitalisierung nimmt die Abhängigkeit von funktionierenden IT-Systemen stetig zu«, so Schneemayer und fügt hinzu: »Während es früher möglich war, eine Woche ohne IT auszukommen, kann dies heute für viele Unternehmen existenzbedrohend sein.«

Rainer Schneemayer,
Geschäftsführer und Head of Sales bei Timewarp

Grundsätzlich entwickle man keine umfassenden IT-Strategien für Unternehmen, sondern identifiziere die aktuellen Herausforderungen und entwickle passgenaue Lösungen, die optimal auf die jeweiligen IT-Services abgestimmt sind. 

Ein wesentlicher Bestandteil resilienter IT ist ein funktionierendes Risikomanagement. »Resilienz bedeutet, basierend auf einem Risikomanagement, die notwendigen Maßnahmen zu setzen, um Ausfallrisiken zu minimieren. Dennoch gibt es immer ein Restrisiko, auf das Unternehmen vorbereitet sein müssen«, erläutert Rainer Schneemeyer. Viele Unternehmen bemerken oft erst im Krisenfall, dass ihre Wiederherstellungszeiten nicht den geschäftlichen Anforderungen entsprechen.  Deswegen unterstütze man Unternehmen, Risiken zu bewerten und geeignete Maßnahmen zu ergreifen, wobei auch die wirtschaftliche Tragbarkeit der Maßnahmen berücksichtigt werde, so Schneemayer. »Unternehmen müssen abwägen, ob sie bereit sind, diese Investitionen zu tätigen oder bewusst ein gewisses Restrisiko in Kauf nehmen.« Timewarp verfolge jedenfalls eine pragmatische Herangehensweise: »Anstatt die 100-Prozent-Lösung anzustreben, setzen wir auf wirtschaftlich sinnvolle Alternativen, die einen Notfallbetrieb gewährleisten.«

Compliance – Treiber oder Hemmnis?

Einig sind sich alle Diskutanten, dass Compliance-Regeln, insbesondere NIS2 und DORA, eine zunehmend wichtige Rolle bei der Stärkung der Unternehmensresilienz spielen. »Grundsätzlich lässt sich sagen: Regulatorik ist stets Fluch und Segen zugleich«, merkt Blum an. Während die Anforderungen zunächst als Belastung wahrgenommen werden können, haben viele der formulierten Forderungen angesichts der veränderten Sicherheitslage enorm an Relevanz gewonnen. Im Kern geht es bei NIS2 darum, so Blum, sich konsequent um grundlegende Sicherheitsmaßnahmen wie Risikomanagement und Business-Continuity-Management zu kümmern. Besonders hebt Blum den Fokus auf Lieferkettensicherheit und die Bewusstseinsbildung im Top-Management hervor. Er betont: »Vor dem Hintergrund der aktuellen weltpolitischen Lage und der damit verbundenen Bedrohungen halte ich diesen Punkt für absolut essenziell.«

Auch Rainer Schneemayer ist ein »überzeugter Befürworter aktueller Regulierungen – allen voran NIS2 und DORA«. Er stimmt Blum zu, und weist darauf hin, dass die in den Regularien geforderten Maßnahmen das absolute Fundament seien. Er konstatiert bei vielen Unternehmen hier noch Nachholbedarf und rät eindringlich: »Jetzt ist der Zeitpunkt, um diese Versäumnisse dringend zu korrigieren. 

Reinhard Schröckner,
Managing Director bei Mann&Mouse

Insbesondere im Bereich kritische Infrastrukturen geht es hier nicht nur um unternehmerisches Risiko, sondern um gesamtgesellschaftliche Sicherheit«, so Schneemayer.

Mit dem Gesagten ist auch Reinhard Schröckner einverstanden und verweist zudem auf einen Vorteil für IT-Verantwortliche: »NIS2 gibt ihnen ein starkes Argument an die Hand, um notwendige Sicherheitsmaßnahmen durchzusetzen.« Damit erhöhe NIS2 nicht nur die IT-Sicherheit, sondern verschiebe auch die Verantwortung stärker in Richtung der Geschäftsleitung. Wobei es auch einen Nutzen für die Unternehmensführung gibt.Schröckner: »Investitionen in Security bedeuten eine konkrete Reduzierung des Unternehmensrisikos – und damit auch des persönlichen Risikos in Haftungsfragen.« 

KI als Gamechanger bei der Resilienz

Im Bereich des Wissens- und Datenmanagements sehen die Experten großes Potenzial. KI-gestützte Systeme können helfen, unstrukturierte Daten aus verschiedenen Quellen intelligent zu konsolidieren und den Mitarbeitern in benutzerfreundlicher Form zugänglich zu machen. Dies kann insbesondere beim Onboarding neuer Mitarbeiter und in der Weiterbildung erhebliche Effizienzgewinne bringen. »Unser Ziel ist es, sämtliche vorhandenen Informationen intelligent zu konsolidieren und den Mitarbeitern in Form von Chatbots oder anderen benutzerfreundlichen Anwendungen zur Verfügung zu stellen«, sagt Schneemayer. »Unternehmen erhalten durch KI-gestützte Systeme wieder einen strukturierten Überblick über das eigene Wissen – unabhängig davon, wo die Informationen ursprünglich abgelegt wurden.«

Das Knowledge Management sei ein sehr wichtiger Bereich, stimmt Schröckner zu. Doch auch in der Security geht ohne KI nichts mehr. Intelligente Systeme ermöglichen die frühzeitige Identifizierung potenzieller Bedrohungen, die Analyse von Schadsoftware und die Einleitung entsprechender Gegenmaßnahmen. KI-gestützte Systeme können beispielsweise im Netzwerkbereich missbräuchliche Portnutzung erkennen oder im Storage-Umfeld Angriffe automatisiert abwehren. »Gerade im IT-Security-Umfeld wäre es ohne KI nicht mehr möglich, das zu managen«, konstatiert Schröckner. »KI ist damit der Schlüssel, um Unternehmen resilient, sicher und zukunftsfähig aufzustellen.«

David Blum ergänzt, dass in der Praxis häufig zu beobachten sei, dass Risikomanagement innerhalb von Unternehmen in unterschiedlichen Abteilungen isoliert betrieben werde. »Dies führt nicht selten dazu, dass verschiedene Bewertungsmethoden parallel existieren und die daraus resultierende Silo-Mentalität, eine inkonsistente Risikoeinschätzungen zur Folge haben kann«, warnt Blum. Doch hier setze Accenture an: »Mit Hilfe von KI sind wir in der Lage, Risikodaten bereichsübergreifend zu konsolidieren und zu harmonisieren. Entscheidend sei hierbei jedoch, dass der Mensch weiterhin im Zentrum bleibe und die Ergebnisse der KI validiere. Blum: »KI soll als Werkzeug dienen, nicht als autonomer Entscheider.«

Zukunftsausblick: Resilienz als kontinuierlicher Prozess

Die Experten sind sich einig: IT-Resilienz ist kein einmaliges Projekt, sondern ein kontinuierlicher Prozess. Durch die Digitalisierung und Vernetzung von Unternehmen müsse die Resilienzstrategie laufend angepasst werden, betont Schröckner, insbesondere in der Produktion und bei kritischen Wertschöpfungsketten. »Resilienz muss unternehmensweit bis hinunter zur Fertigungsmaschine gedacht werden.«

Die Zukunft der Unternehmensresilienz erfordert ein tiefes Verständnis der fundamentalen Elemente wie Risikomanagement und Business Continuity Management, die miteinander in Einklang gebracht werden müssen, ist David Blum überzeugt. Dafür bedürfe es nicht zwingend komplexer Technik, sondern vielmehr eines umfassenden Überblicks über die Bedrohungslage und daraus resultierenden Prozessen.

Nach Ansicht von Blum werden geopolitische Entwicklungen zunehmend relevant und müssen in die Resilienzstrategien einfließen. Als Beispiel nennt er die Warnung von US-Sicherheitsbehörden, dass, sollte China in Taiwan einmarschieren, China bereits über die Fähigkeiten verfügt, in diesem Moment kritische Infrastrukturen in westlichen Ländern über bereits eingesetzte Advanced Persistent Threats (APT) so lahmzulegen, dass diese Staaten zunächst mit sich selbst beschäftigt wären und nicht angemessen auf die geopolitischen Auswirkungen reagieren könnten. Eine Beschäftigung mit dieser Art von Bedrohung, die künftig vermehrt zu beobachten sein wird, wäre dringend angeraten, so Blum.

Rainer Schneemayer verzeichnet eine Zunahme an Anfragen von Unternehmen, die wissen wollen, wie sie im Falle eines Desasters schnell wieder handlungsfähig werden können. Dabei beobachtet er, dass es gerade im (gehobenen) Mittelstand noch zahlreiche Firmen gibt, die lediglich über ein einziges Rechenzentrum verfügen. Doch was tun, wenn dieses ausfällt? Deswegen gäbe es einen starken Trend hin zu einer umfassenderen Betrachtung von Notfallmanagement und Resilienzstrategien, so Schneemayer, der KI auch als Technologie sieht, die künftig eine noch wichtigere Rolle spielen werde. Das berge Risiken, aber auch großes Potenzial. Hier seien Awareness-Trainings eine der wichtigsten Maßnahmen, ist Schneemayer überzeugt.


Mehr Artikel

News

6 Grundsätze für eine KI-taugliche Datenbasis

28. März 2025

Wer Künstliche Intelligenz nutzen will, muss über eine vertrauenswürdige Datengrundlage verfügen. Daten sind das Lebenselixier von KI-Systemen und bestimmen maßgeblich die Qualität und Zuverlässigkeit der Ergebnisse. Nur so können KI-Modelle robust, anpassungsfähig und vertrauenswürdig arbeiten. […]

News

Cybersicherheitsbudgets werden falsch priorisiert

28. März 2025

Der ICS/OT Cybersecurity Budget Report 2025 von OPSWAT deckt erhebliche Lücken in den Cybersicherheitsbudgets sowie einen Anstieg von ICS/OT-fokussierten Angriffen auf. Ferner wird deutlich, wie durch eine unzureichende Finanzierung, falsch gesetzte Prioritäten und uneinheitliche Abwehrmaßnahmen kritische Infrastrukturen immer raffinierteren Bedrohungen ausgesetzt sind. […]

News

Nach dem Hype: Diese vier KI-Trends werden 2025 weiterhin prägen

28. März 2025

Die vergangenen zwei Jahre haben einen regelrechten KI-Boom erlebt. Insbesondere generative Modelle (GenAI) haben sich rasant weiterentwickelt und etablieren sich zunehmend als feste Größe in den Arbeitsprozessen von Organisationen weltweit. Angesichts dieser Dynamik fragen sich nun viele Unternehmen, welche Entwicklungen das Jahr 2025 bestimmen werden und welche Potenziale sich daraus ergeben. […]

News

Generative KI als Sicherheitsrisiko

27. März 2025

Eine neue Studie von Netskope zeigt einen 30-fachen Anstieg der Daten, die von Unternehmensanwendern im letzten Jahr an GenAI-Apps (generative KI) gesendet wurden. Dazu gehören sensible Daten wie Quellcode, regulierte Daten, Passwörter und Schlüssel sowie geistiges Eigentum. Dies erhöht das Risiko von kostspieligen Sicherheitsverletzungen, Compliance-Verstößen und Diebstahl geistigen Eigentums erheblich. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*