Die passende Cyber Resilience Strategie.

Cloud-Computing, Internet of Things und die Zunahme an mobilen Endgeräten haben die Anforderungen an IT-Sicherheit grundlegend verändert. Oftmals wird diesen veränderten Anforderungen nicht genügend Beachtung geschenkt. Denn die Zeit sich grundlegend Gedanken zur IT-Sicherheit zu machen oder das Budget für einen externen IT-Sicherheits-Berater ist oftmals nicht vorhanden. Doch diese Thematik muss bei der rasanten technischen Entwicklungen zwingend beachtet werden.

Das Bundesamt für Sicherheit in der Informationstechnik (kurz: BSI) setzt dabei den Fokus vor allem auf das Thema Cyber Resilience.

Das verbirgt sich hinter Cyber Resilience.

Hinter Cyber Resilience (Widerstandsfähigkeit) verbirgt sich ein ganzheitlicher Ansatz, welcher Unternehmen ermöglicht, Geschäftsprozesse auch während oder nach Angriffen aufrechterhalten zu können. Bei der Cyber Resilience kommen folgende Bereiche zusammen:

• Informationssicherheit
• Business-Kontinuität
• Organisatorische Resilienz

In diesem Zusammenhang ist es erforderlich, dass Schwachstellen frühzeitig erkannt und wirtschaftlich priorisiert werden. Es eine ganzheitliche Strategie, welche die Widerstandsfähigkeit der IT im Unternehmen stärkt. Dabei ist es notwendig, dass sich die Verantwortlichen mit dieser Thematik beschäftigen und sich einen Plan zurechtlegen. Cyber Resilience erfordert ein strategisches Grundgerüst und muss stufenweise umgesetzt werden. Es geht dabei über die reine Cyber Security hinaus.

Letztendlich verfolgt Cyber Resilience den Ansatz die IT vor Cyberangriffen zu schützen und auch nach einem Angriff die Wiederaufnahme zu gewährleisten. Das höchste Ziel der Cyber Resilience ist es, die IT so widerstandsfähig wie möglich zu machen und somit das Risiko der Betriebsausfälle zu minimieren.

Der Plan für Cyber Resilience im Unternehmen.

Das Thema Cyber Resilience ist sehr umfangreich und die Hemmschwellen bei der Umsetzung einer Cyber Resilience Strategie sind oft sehr hoch. Denn dies erfordert abteilungsübergreifende Analysen, Zusammenarbeiten und Verteilungen. Dadurch steigen die Anforderungen und die Komplexität der betriebsinternen Informationen nimmt zu. Für die geeignete Cyber Resilience-Strategie müssen Grundvoraussetzungen wie eine strukturelle Einbindung sowie ausreichend Budget vorhanden sein. Bezüglich Cyber Resilience wurden vier Dimensionen herausgearbeitet:

• Bedrohungsschutz (Threat Protection)
• Anpassungsfähigkeit (Adaptability)
• Beständigkeit (Durability)
• Fähigkeit zur Wiederherstellung (Recoveribilty)

Bedrohungsschutz (Threat Protection)

Um Angriffe vorzubeugen dient der Bedrohungsschutz (Threat Protection) als klassische Defensive. Jedoch handelt es sich hierbei nicht nur um die Werkzeuge der IT-Sicherheit an sich, sondern um viel mehr. IT-Verantwortliche stehen vor der Herausforderung immer auf dem aktuellsten Stand der Technik zu sein. In diesem Rahmen ist es erforderlich die bereits integrierten Services zu evaluieren und in Erwägung zu ziehen, ob es nicht sinnvoll ist neue Technologien zu implementieren und die Technologie gegebenenfalls weiterzuentwickeln.

Anpassungsfähigkeit (Adability)

Eine essentielle Rolle im Rahmen der Cyber Resilience spielt auch die Anpassungsfähigkeit. Dies bezieht sich nicht nur auf Dienste und Services, sondern auch auf die Mitarbeitenden. Regelmäßige Schulungen und Trainings sind unumgänglich. Dieser Anpassungsfähigkeit wird oftmals keinerlei Beachtung geschenkt und birgt dadurch immense Risiken auf das Unternehmen. Schließlich passen Kriminelle immer wieder ihre Vorgehensweisen an und Unternehmen laufen Gefahr ein immer größeres Risiko einzugehen, wenn diese ihre Mitarbeitenden, Prozesse und Dienste nicht an dem aktuellen Stand anpassen. Am Ende geht es in dieser Dimension im Rahmen der Cyber Resilience um die Weiterbildung des Personals und die Bewertung, dem Testen sowie dem Implementieren neuer Technologien.

Beständigkeit (Durability)

Im Rahmen einer Cyber Resilience Strategie ist eine Beständigkeit (Durability) erforderlich. Hier sollten Geschäftsprozesse immer verfügbar und nutzbar sein. Auf dem ersten Blick scheint es, dass dies selbstverständlich ist. Vielfach ist es in der Praxis nicht immer der Fall. Backups werden zwar regelmäßig durchgeführt, jedoch sind auch eigene Mechanismen notwendig um die Geschäftsprozesse weiterhin aufrechterhalten zu können und bei externen Angriffen den Geschäftsbetrieb ohne jegliche Unterbrechung fortzuführen. Eine Wiederherstellung der Daten spielt bei der Beständigkeit noch keine Rolle.

Hier sind vor allem die Entwicklung eines Krisenmanagements als auch ein Fahrplan für Abwicklung der wichtigsten Unternehmensprozesse ohne ein Zugriff auf das System zu haben notwendig. Es empfiehlt sich auch ein Worst-Case-Szenario durchzuspielen um beim Eintritt des Ernstfalls gerüstet zu sein.

Fähigkeit der Wiederherstellung (Recoverbility)

Beim Verlust von Daten geht es nicht zwingend nur darum, dass Bußgelder bezüglich der DSGVO drohen. Deutlich schwerwiegender ist jedoch die Ausfallzeit der Systeme, die mit hohen finanziellen Einbußen verbunden sind. Die Bereiche Beständigkeit (Durability) und auch die Fähigkeit der Wiederherstellung (Recoverbility) sind zwar unterschiedlich, jedoch erfordert es Mechanismen, die es ermöglichen, dass beide Bereiche miteinander verknüpft werden. Im Optimalfall existiert eine Redundanz, die es möglich macht, dass bei einem Systemausfall eine andere Lösung einspringt und es somit möglich ist, dass Systeme weiterhin zur Verfügung stehen. Gleichzeitig sollen dadurch die betroffenen Elemente problemlos wiederhergestellt werden. In diesem Rahmen ist es auch notwendig, dass die Bereiche, die betroffen sein können, priorisiert werden. Eine Definition der erforderlichen Bereiche und Assets, welche besonders kritisch sind, sind unabdingbar.

Die Cyber Resilience Strategie in der Praxis.

In der Praxis nutzt die perfekteste Cyber Resilience Strategie nichts, wenn eine vermeidbare Schwachstelle droht. Diese ist und bleibt – trotz zahlreicher Schulungen – unter anderem der Mitarbeitende. Zu derartigen vermeidbaren Schwachstellen durch den Mitarbeitenden gehören zum Beispiel das Nutzen von nicht erlaubten USB-Sticks oder das Öffnen eines nicht geprüften E-Mail-Anhangs. Eine regelmäßige Sensibilisierung der Mitarbeitenden ist hier essentiell und unabdingbar.

Gleichzeitig empfiehlt es sich auch die aufgestellte Strategie vor Eintritt des Ernstfalls, der hoffentlich nie eintreten wird, zu testen. Denn oftmals sind die Unterschiede zwischen Theorie und Praxis gravierend. Zusätzlich steigt die Fehlerquote, wenn die Notfallsituation eintritt. Es ist ratsam zusätzlch regelmäßig Security Assessments in jeder Entwicklungsphase durchzuführen um potentielle Fehlerquellen zu entdecken.

Im Rahmen der Cyber Resilience ist eine dauerhafte und kontinuierliche Anpassung der Sicherheitskonzepte notwendig. Das bedeutet, dass hierdurch dynamische Konzepte erforderlich sind und ein statischer Ansatz, indem Prozesse und Abläufe einmal definiert werden, würden den sich ständig wechselnden Bedingungen nicht genügen. Die Investition in neue Technologien ist somit unvermeidlich.

Fazit.

Der Weg zu einer passenden Cyber Resilience Strategie ist lange und kleinteilig. Dadurch ist es erforderlich, dass unterschiedliche Bereiche zusammenarbeiten und ein Projektteam bilden. Zusätzlich werden Kapazitäten, die sich mit den permanenten Anpassungen beschäftigen müssen und unterschiedliche Szenarien durchspielen, benötigt. Die Sensibilisierung der Mitarbeitenden bleibt jedoch weiterhin ein essentieller Bestandteil.

Gerne stehen wir Ihnen für eine erste kostenfreie, 20-mintüige Erstberatung zur Verfügung. Vereinbaren Sie noch heute einen Termin.