IT-Security-Strategie

In vier Schritten zur Cyber-Resilienz

31.05.2019

Von

Michael Heuer ist Vide President DACH beim IT-Sicherheitsanbieter Proofpoint.

Das BSI misst Cyber-Resilienz hohe Bedeutung für Unternehmen bei. Aber was hat es damit auf sich und wie ist sie umzusetzen?

Durch ausgeklügelte Malware und umfangreiche Cyberattacken hat sich die Gefahrenlage grundsätzlich gewandelt. Zudem verändern Cloud Computing, Internet of Things (IoT) und die Zunahme an mobilen Geräten die Anforderungen an Sicherheitsmechanismen. Die meisten IT-Entscheider befassen sich hauptsächlich mit der Anpassung ihrer Sicherheitsarchitektur und können keine Zeit zusätzlich dafür aufwenden, IT-Sicherheitsstrategien neu aufzusetzen. Stattdessen sind sie damit beschäftigt, neue Security-Tools zu implementieren. Die Geschäftsleitung versucht zwar häufig, Cyber-Security stärker in der Unternehmensstrategie zu verankern, hat aber nicht genug Einsicht in die tatsächlichen IT-Prozesse, um eine tiefgreifende Neuausrichtung in Eigenregie auf die Beine stellen zu können.

Cyber-Resilience bedeutet, sich auf schadhafte Cybervorfälle einzustellen und ihnen entgegenzuwirken, egal aus welchem Angriffsvektor sie kommen.
Foto: Jorge Felix Costa - shutterstock.com

Um im Zeitalter der Digitalisierung auch weiterhin ohne Risiko am Markt bestehen zu können, kommt das Bundesamt für Sicherheit in der Informationstechnik (BSI) in seinem aktuellen Lagebericht zur IT-Sicherheit auf einen wichtigen Punkt zu sprechen, den Organisationen beim Aufbau und bei der Umsetzung ihrer Sicherheitsstrategie beachten sollten: "Der Schlüsselfaktor Resilienz, der in Zukunft immer bedeutsamer wird, sollte sowohl bei großen Unternehmen als auch bei KMU mehr Bedeutung bekommen. Vorfalltrainings sind hier ein wichtiger Faktor."

Was ist Cyber-Resilienz

Der Begriff 'Resilienz' kommt eigentlich aus der Psychologie und beschreibt die Widerstandsfähigkeit von Menschen gegen negative Einflüsse. In Bezug auf Cyber-Security bezeichnet Cyber-Resilience die Fähigkeit einer Organisation, sich auf schadhafte Cybervorfälle einzustellen und diesen entgegenzuwirken. Unabhängig davon, ob diese Vorfälle mutwillig oder unabsichtlich beziehungsweise von Mitarbeitern oder dritten Parteien ausgelöst wurden. Der Grad der Widerstandsfähigkeit ermisst sich in der Aufrechterhaltung von Vertraulichkeit, Integrität und Verfügbarkeit der Daten und Dienste, die für das Unternehmen wichtig sind.

Für Bereichsleiter und das C-Level-Management ist es lohnenswert, sich mit der Thematik zu beschäftigen, denn Cyber-Resilience ist mehr als nur ein strategisches Framework. Es muss in praktischen Stufen umgesetzt werden.

Schritte zum Cyber-Resilience-Plan für Unternehmen

Für IT-Fachkräfte im Alltag ist es zuächst schwierig, konkrete Maßnahmen für Resilienz zu erarbeiten. Es gibt jedoch bereits Best-Practices. Im Rahmen des State of Email-Security Report von Mimecast wurden über 1.000 IT-Verantwortliche weltweit unter anderem aus den USA, dem Vereinigten Königreich und Deutschland zu ihren größten Security-Herausforderungen befragt. Vier Dimensionen der Cyber-Resilience können hierbei herausgearbeitet werden:

Bedrohungsschutz (Threat Protection)
Anpassungsfähigkeit (Adaptability)
Beständigkeit (Durability)
Fähigkeit zur Wiederherstellung (Recoverbility)

Threat Protection ist die klassische Defensive, um Angriffen vorzubeugen. Es geht aber um mehr als nur IT-Sicherheitswerkzeuge. Zwar besteht für IT-Verantwortliche die Herausforderung darin, dem Stand der Technik zu entsprechen. Er muss aber auch dem Faktor Mensch Sorge tragen.

Deshalb gilt es, bereits eingesetzte Hersteller und Services zu evaluieren. Zudem sollte geprüft werden, ob es sinnvoll ist, eine neue Technologie zu implementieren. Angestellte sollten regelmäßig geschult und trainiert werden, damit sie Sicherheitsrisiken und gezielte Attacken erkennen. Diese Anpassungsfähigkeit spielt für das Thema Cyber-Resilience eine elementare Rolle und wird häufig noch nicht ausreichend bedacht. Und das obwohl Kriminelle ihre Vorgehensweisen ständig anpassen.

Die dritte Säule betrifft die Fähigkeit, auch im Falle eines erfolgreichen Angriffs alle Unternehmensprozesse aufrechtzuerhalten. Dass man Beständigkeit der Geschäftsprozesse als eigenen Themenbereich ansieht, ist nicht überalldie Regel. Die meisten Unternehmen verfügen zwar über Backups, allerdings müssen IT-Entscheider eigene Mechanismen für die Fortführung des operativen Betriebs einsetzen, damit es im Falle eines Angriffs nicht zur Unterbrechung kommt. Hierbei geht es noch nicht um Wiederherstellung, denn das ist die vierte Säule.

Beim Verlust von persönlichen Daten drohen seit der DSGVO hohe Bußgelder, allerdings liegt der größte monetäre Schaden oftmals in der Ausfallzeit von Systemen. Die Bereiche Durability und Recoverbility sind in der direkten Ausrichtung zwar verschieden, dennoch ist es sinnvoll die Mechanismen zu verzahnen. Im Idealfall besteht eine Redundanz, sodass bei einem Systemausfall eine andere Lösung einspringt und die unterbrechungsfreie Verfügbarkeit garantiert. Die Wiederherstellung der betroffenen Elemente muss genauso reibungslos funktionieren.

Resilienz in der Praxis

Die größte Bedrohung stellen laut der Umfrage E-Mail-basierte Attacken dar. 65 Prozent der Berfagten geben an, dass in den letzten zwölf Monaten die Zahl der Vorfälle gestiegen ist. 73 Prozent aller Opfer von Angriffen mit gefälschten E-Mail-Identitäten erleideten direkte Verluste. Sicherheitsfachkräfte innerhalb des Unternehmens sollten darauf hinarbeiten, das Bewusstsein und das Verständnis der gsamten Belegschaft für E-Mail-Sicherheitsrichtlinien und Best Practices zu schärfen.

Besonders gefährdet sind Geschäftsführungen. 88 Prozent aller Umfrageteilnehmer gaben an, dass sie in den letzten zwölf Monaten verseuchte Inhalte von einem Geschäftspartner erhalten haben. Führungskräfte haben Zugang zu vielen kritischen Informationen, sind oftmals unter Zeitdruck und zudem noch viel unterwegs, so dass eine schädliche E-Mail schnell einmal geöffnet wird. Genau deshalb fokussieren sich Kriminelle auf Entscheidungsträger. Die Folge sind Angriffe wie bei Ubiquite: Dort wurden 46 Millionen US-Dollar in Folge eines solchen CEO-Frauds entwendet.

Die Autoren des State of Email-Security-Reports gehen davon aus, dass in 90 Prozent aller Datenschutzverletzungen der Faktor Mensch eine Kernrolle gespielt hat. Außerdem zeigt sich in einem Feldversuch, dass von 6.500 Nutzern 500 nach weniger als einer Sekunde auf einen schadhaften Link in einer E-Mail klicken. Es ist positiv zu bewerten, dass mittlerweile die meisten Organisationen ihre Belegschaft im Bereich Cyber Awarness trainieren, allerdings führen nur 51 Prozent aller Firmen regelmäßige Trainings und Schulungen durch.

Erst wenn jeder Mitarbeiter in einem Unternehmen, unabhängig vom Titel, versteht, dass er eine Schlüsselrolle in der IT-Security spielt, werden sich die Dinge zum Besseren wenden. Diese kulturellen Veränderungen sind nicht nur eine positive Erinnerung daran, dass jedes Teammitglied ein wichtiger Teil des Prozesses ist, sondern sie sind auch der Schlüssel zur Verbesserung der gesamten Sicherheitslage.

Fazit

Jedes Unternehmen sollte sich die Frage stellen: Wie resilient bin ich tatsächlich? Nicht nur, um aktuelle Bedrohungen abzuwehren, sondern auch um das Gemeingut "sicheres Internet" zu erhalten. Der Grad der Digitalisierung ist so weit vorangeschritten, dass die Abwehr von Cyberattacken nicht mehr nur eine Aufgabe einer einzelnen Institution, Abteilung oder allein die Sache von einigen Sicherheitsunternehmen ist. Jeder muss seinen Teil dazu beitragen, damit der Onlinekriminalität ein Riegel vorgeschoben werden kann.

Der "Schlüsselfaktor Resilienz" muss dabei eine elementare Rolle innerhalb von Unternehmen spielen. In der Praxis sollten sich Entscheider auf die Bereiche Bedrohungsschutz (Threat Protection), Anpassungsfähigkeit (Adaptability), Beständigkeit (Durability) und die Fähigkeit zur Wiederherstellung (Recoverbility) fokussieren. (jd)

Aktuelle IDG-Studien

Seit der Einführung von ChatGPT beherrscht kein anderes IT-Thema so die Schlagzeilen wie (generative) künstliche Intelligenz. Wir schauen auf Einsatzszenarien, Hintergründe und Folgen.

Mehr zur Studie erfahren
Der Einsatz von No-/Low-Code boomt. Lange dauert es wohl nicht mehr, bis Software-Entwicklung und Prozessmodellierung via grafischer UI das klassische Coding überholen. Mehr in der Studie.

Mehr zur Studie erfahren
Unternehmen rüsten auf: Je komplexer die Gefährdungslage, desto stärker der Bedarf an Security Services. Dazu alles zu Cyberattacken und Gegenmaßnahmen.

Mehr zur Studie erfahren
Hybrid Work: Wer als Arbeitgeber für die jungen Generationen interessant und attraktiv sein will, darf nicht auf eine moderne IT-Infrastruktur und -Arbeitsumgebung verzichten. Mehr in der Studie.

Mehr zur Studie erfahren
Das datengesteurte Unternehmen - Realität oder Hirngespinst? Erst wenige Firmen schaffen es, mithilfe von Daten-Insights neue Geschäftsmodelle auf die Beine zu stellen. Mehr in der Studie.

Mehr zur Studie erfahren
Für knapp neun von zehn Unternehmen kommt künftig eine Migration in die Cloud ohne strategischen Ansatz nicht infrage. Trends und Zahlen rund ums Thema in unserer Studie.

Mehr zur Studie erfahren
Unternehmen wollen energieeffizienter und nachhaltiger werden. Dazu müssen sie aber noch ihre IT-Strategien anpassen und die notwendige Datenbasis schaffen. Mehr dazu in der Studie.

Mehr zur Studie erfahren
Integrationsplattformen sind Drehscheiben für die Vernetzung von Anwendungen im Unternehmen und unterstützen zudem die Prozessautomatisierung. Mehr in der Studie.

Mehr zur Studie erfahren
Die End-to-End-Automatisierung von Geschäftsprozessen stellt einen wichtigen Eckpfeiler der digitalen Transformation der Unternehmen dar. Trends und Zahlen rund ums Thema in unserer Studie.

Mehr zur Studie erfahren
Auch in wirtschaftlich schwierigen Zeiten ist das (IT/Enterprise) Service Management geschäftskritsich - gerade mit Hinblick auf eine stärkere (Prozess-)Automatisierung. Trends und Zahlen dazu in der Studie.

Mehr zur Studie erfahren