Anzeige

Cyber Resilience

Das Risiko für Cyber-Angriffe steigt. Auch mit den besten Security-Maßnahmen wird es nie gelingen, es ganz auszumerzen. Um auch im Ernstfall betriebsfähig zu bleiben, sollten Unternehmen einen Zustand der nachhaltigen Widerstandsfähigkeit anstreben. Aber wie gelingt dies am besten?

Dirk Schrader, Cyber Resilience Strategist & CMO Greenbone, gibt Tipps.

Cyber Resilience geht einen Schritt weiter als IT Security und ist ein eher strategisch ausgerichtetes Konzept. Es umfasst Maßnahmen, um die Angriffsfläche zu minimieren und erfolgreiche Attacken zu vermeiden. Gleichzeitig geht es aber auch darum, trotz eines Cyber-Vorfalls den produktiven Betrieb aufrechtzuerhalten und die Geschäftsziele zu erreichen. Denn Cyberkriminelle wenden immer raffiniertere Techniken an und die Zahl der Angriffe steigt. Auch kleinere und mittelständische Betriebe geraten zunehmend ins Visier der Hacker. Um einen Zustand der nachhaltigen Widerstandsfähigkeit zu erreichen, müssen Unternehmen nicht nur technische Aspekte berücksichtigen, sondern auch Menschen und Kultur sowie Prozesse und Organisation. Alle drei Dimensionen interagieren miteinander.

1. Sensibilisieren Sie Ihre Mitarbeiter

29 Prozent der deutschen Unternehmen führen noch keine Security-Awareness-Trainings für ihre Mitarbeiter durch, so der aktuelle BSI-Lagebericht zur IT-Sicherheit in Deutschland. Ein gefährliches Versäumnis, denn Studien belegen, dass die größte Schwachstelle in Unternehmen nach wie vor der Mensch ist. Wenn Mitarbeiter sich nicht über Risiken bewusst sind, fallen sie leichter auf Phishing-Angriffe herein oder laden Schadsoftware herunter. Ein wichtiger Schritt auf dem Weg zu Cyber Resilience besteht daher darin, Sicherheitsbewusstsein aufzubauen.

2. Etablieren Sie eine positive Fehlerkultur

Fehler sind menschlich und passieren. Jetzt ist es wichtig, sie möglichst schnell zu korrigieren und aus ihnen zu lernen. Häufig haben Mitarbeiter jedoch Angst, Fehler einzugestehen und sie zu melden. Statt mit Strafen zu drohen, sollten Unternehmen eine Kultur etablieren, in der sich Mitarbeiter trauen, ihre Fehlererfahrungen zu teilen. So können sie Ursachen analysieren, sie beheben und den Fehler künftig vermeiden.

3. Identifizieren Sie Ihre kritischen Assets

Um Betriebskontinuität zu garantieren, müssen Unternehmen zunächst einmal ihre Geschäftsprozesse analysieren. Welche technischen Assets sind mit welchen Prozessen verknüpft? Wo können welche Fehler passieren und wie wirken sich diese aus? So gelingt es, die kritischen Assets zu identifizieren, die auf keinen Fall ausfallen dürfen. Sie sollten in einem Hot-Standby-Konzept redundant vorgehalten werden. Das Ersatzsystem ist dann voll durchkonfiguriert und läuft parallel, sodass es bei Bedarf nahtlos übernehmen kann. Bei weniger kritischen Assets reichen auch alternative Konzepte aus. Vielleicht gibt es einen Workaround, wie man einen Prozess übergangsweise auch ohne das betreffende System aufrechterhalten kann? Wer entsprechende Notfallkonzepte entwickelt, bleibt im Ernstfall handlungsfähig.

4. Lösen Sie Konflikte zwischen widersprüchlichen Interessen und Regularien

Resilienz erfordert die Identifikation und Bewertung von Risiken. Dabei kann es zu Interessenskonflikten kommen, zum Beispiel zwischen Safety und Security. Safety sorgt dafür, dass Menschen nicht durch Maschinen verletzt werden. Security schützt dagegen Maschinen vor Cyber-Angriffen. In den beiden Bereichen gibt es manchmal widersprüchliche Regularien. Während es aus Security-Sicht zum Beispiel erforderlich ist, Systeme zu patchen, würde das die ISO-Zertifizierung zur Betriebssicherheit gefährden. Was wiegt schwerer? Es ist Aufgabe des Managements, solche Konflikte zu lösen.

5. Implementieren Sie Vulnerability Management

Ein wichtiges Hilfsmittel, um die Angriffsfläche zu minimieren, ist Vulnerability Management. Eine solche Lösung scannt alle Systeme in einem Netzwerk auf mögliche Schwachstellen und bewertet ihr Risiko. So sind Unternehmen in der Lage, Sicherheitslücken zu priorisieren und zu schließen, bevor Angreifer sie ausnutzen. Vulnerability Management sollte Teil einer durchgängigen Sicherheitsarchitektur sein und mit anderen Sicherheitslösungen wie Firewalls und Intrusion Detection (IDS)- oder Prevention-Systemen zusammenarbeiten.

Fazit: Cyber Resilience muss Chef-Sache sein

Cybervorfälle und Betriebsunterbrechungen gelten weltweit als größte Geschäftsrisiken, so das aktuelle Risk Barometer des Allianz-Konzerns. Das macht deutlich, dass Cyber Resilience keine reine IT-Angelegenheit sein darf, sondern zur Chef-Sache werden muss. Zumal viele Entscheidungen auf dem Weg dorthin nur das Management treffen kann. Die Geschäftsleitung muss abwägen, bis zu welchem Grad das Unternehmen Risiken in Kauf nehmen will. Dafür muss sie verstehen, wie IT-Assets und Geschäftsprozesse miteinander verknüpft sind. Dirk Schrader, Cyber Resilience Strategist & CMO bei Greenbone, erklärt: „Der erste Schritt auf dem Weg zur nachhaltigen Widerstandsfähigkeit besteht darin zu akzeptieren, dass Fehler passieren. Es wird nie gelingen, sämtliche Schwachstellen von Maschinen und Menschen zu beseitigen. Vielmehr geht es darum, Risiken zu identifizieren, zu bewerten und angemessene, wirtschaftlich vertretbare Lösungen zu finden.“ 

Dirk Schrader, CISSP, CISM und ISO/IEC 27001 Practitioner
Dirk Schrader
CISSP, CISM und ISO/IEC 27001 Practitioner, Greenbone Networks

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!

 

Weitere Artikel

Security

Die Nutzung sicherer Kennwörter ist nicht genug

Dass Unternehmen verstärkt versuchen, ihre Infrastruktur und ihre Mitarbeiter bestmöglich abzusichern, verwundert angesichts der sich rapide verschärfenden Bedrohungssituation in Sachen IT-Sicherheit kaum. Auch um regulatorischen Vorgaben wie der DSGVO…
Security Schild

Zero Trust

Der Begriff „Zero Trust“ zeigt in aktuellen Studien, Marktanalysen, IT-Sicherheitsstrategien und Fachbeiträgen eine gewisse Dauerpräsenz. Ob es nun das „Zero Trust Maturity Model“ ist, ein „Zero Trust Network Access (ZTNA)“ oder das „Continous Adaptive Risk…
Cybersecurity

BSIMM: Ein Fahrplan in Richtung Softwaresicherheit

Das Building Security In Maturity-Modell ist ein Studiendesign zu real existierenden Software Security Initiatives, kurz SSIs. Hier werden die Praktiken vieler verschiedener Unternehmen quantifiziert und hinsichtlich von Gemeinsamkeiten sowie individuellen…
Phishing

Fünf Mythen von simulierten Phishing-Nachrichten

Der Nutzen von Cybersecurity-Awareness, insbesondere von Phishing-Simulationen, wird aktuell breit diskutiert. Theoretische Untersuchungen sollen herausgefunden haben, dass simulierte Phishing-Kampagnen einen negativen Einfluss auf das Betriebsklima, die…

Anzeige

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!