Anzeige

Rechenzentrum Unternehmer

Cyber-Resilienz ist die Fähigkeit, trotz eines erfolgreichen Cyber-Angriffs die Produktivität aufrechtzuerhalten und die Geschäftsziele zu erreichen. Angesichts der wachsenden Bedrohungslage ist dies unverzichtbar.

ist dies unverzichtbar.

Denn das Risiko für eine Cyber-Attacke lässt sich nie ganz ausmerzen. Vielmehr geht es darum, die Wahrscheinlichkeit für einen Vorfall zu minimieren und gleichzeitig Maßnahmen zu ergreifen, um auch im Ernstfall betriebsfähig zu bleiben. Gerade für Unternehmen der kritischen Infrastrukturen ist es essenziell, ein hohes Resilienz-Level zu erreichen. Denn fallen sie aus, gefährdet das die gesamte Gesellschaft. Wie weit sind KRITIS-Organisationen auf ihrem Weg zur nachhaltigen Widerstandsfähigkeit und was machen resiliente Unternehmen anders als solche, die noch am Anfang stehen? Befragt wurden 370 Unternehmen in den USA, Japan, Deutschland, Frankreich und Großbritannien. Sie stammen aus den sechs KRITIS-Sektoren Energie, Finanzen, Gesundheit, Telekommunikation, Transport und Wasser. 

Die vier Haupt-Kriterien, um Resilienz zu messen

Cyber-Resilienz ist ein umfassendes Konzept, das einen Schritt weiter geht als IT-Security. Es verfolgt den Ansatz, Sicherheit bereits innerhalb der Geschäftsprozesse zu etablieren, statt erst im Nachgang einen Schutzwall um sie herum aufzubauen. Um Resilienz zu messen, spielen vier Hauptkriterien eine entscheidende Rolle: 

  • Können Cyber-Angriffe im Unternehmen ausreichend bewältigt werden? 
  • Wie gut können Auswirkungen von potenziell schwerwiegenden Cyber-Angriffen gemindert werden? 
  • Sind Best Practices und eine sensibilisierte Unternehmenskultur im Hinblick auf Cyber-Resilienz etabliert?
  • Welche Fähigkeiten sind besonders wichtig, um sich nach einem Cyber-Vorfall schnell wieder zu erholen? 

Anhand von Detail-Fragen konnte ermittelt werden, wie gut sich die Studienteilnehmer in den vier Bereichen für die nächsten zwölf Monate aufgestellt sehen und welche Prioritäten sie bei der Bewältigung von Cyber-Angriffen setzen. Lediglich 36 Prozent der befragten KRITIS-Unternehmen haben nach eigener Einschätzung bereits ein hohes Level an Cyber-Resilienz erreicht. Dabei sind die USA schon weiter fortgeschritten. 50 Prozent der befragten amerikanischen Unternehmen zählen zu den hochresilienten Organisationen, aber nur 36 Prozent der europäischen und 22 Prozent der japanischen.

Sechs Merkmale, die resiliente Unternehmen auszeichnen

Was machen die 36 Prozent der resilienten Unternehmen besser als die anderen? Die folgenden sechs Merkmale haben sich aus ihren Fähigkeiten, Best Practices und ihrer Unternehmenskultur als besonders wichtig herauskristallisiert.

1. Resiliente Unternehmen sind in der Lage, kritische Geschäftsprozesse, damit verbundene Assets und deren Schwachstellen zu identifizieren.

Das setzt voraus, dass sie ihre kritischen Geschäftsprozesse genau analysiert haben und wissen, welche digitalen Assets unverzichtbar sind, um diese Prozesse aufrechtzuerhalten. Anschließend geht es darum, Schwachstellen aufzuspüren und geeignete Maßnahmen zu ergreifen, um sie zu mindern oder zu schließen. Dafür spielt eine Schwachstellen-Management-Lösung eine entscheidende Rolle. Die Fähigkeit, Schwachstellen zu managen, unterscheidet hochresiliente Unternehmen am deutlichsten von weniger resilienten. 

2. Resiliente Unternehmen sind besser darin, Schäden nach einem Cyber-Vorfall gering zu halten. Lieferengpässe, Kundenunzufriedenheit, Schaden am Equipment oder Produktions- und Service-Verzögerungen können zeitnah behoben werden. 

Dies gelingt durch ihre Fähigkeit, schnell auf Cyber-Angriffe zu reagieren, Schwachstellen zu schließen und die Gefahr einzudämmen. Dafür benötigen sie eine Cyber-Security-Architektur, die auf ihre Geschäftsprozesse abgestimmt ist. Zudem können resiliente Unternehmen agil handeln und haben klare Security-Abläufe und Verantwortlichkeiten definiert. 

3. Durch ein zeitiges Etablieren von Best Practices sind resiliente Unternehmen in der Lage, frühzeitig zu reagieren. 

Dafür haben sie innerhalb des Managements und der Belegschaft ein Bewusstsein für die kritischen Geschäftsprozesse und Assets geschaffen und Cyber-Resilienz in der Unternehmenskultur verankert. In 95 Prozent der hochresilienten Unternehmen ist der Owner eines digitalen Assets auch für dessen Sicherung verantwortlich. Die gesammelten Erfahrungen und dadurch etablierte Vorgehensweise tragen dazu bei, schnell alle Organisationsebenen zu mobilisieren, um Lücken zu schließen und Schäden durch Angriffe schnell wieder zu beheben. 

4. Resiliente Unternehmen holen sich eher Unterstützung von Drittanbietern oder sind bereit, dies zu tun. 

Sie nutzen die Expertise von spezialisierten Dienstleistern nicht nur, um Security-Technologien zu managen, sondern auch, um sich beraten zu lassen. Die Consultants helfen zum Beispiel dabei, eine Security-Strategie für das Unternehmen zu entwickeln, geeignete Technologie auszuwählen, Managed Security Services zu implementieren oder den ROI mit Security-Metriken zu ermitteln. 

5. Für besonders wichtig erachten resiliente Unternehmen die Fähigkeiten, auf Cyber-Vorfälle zu reagieren und die Auswirkungen auf kritische Geschäftsprozesse zu mindern.

Dies versetzt sie nach eigener Einschätzung am besten in die Lage, sich nach einem Cyber-Angriff schnell wieder zu erholen. Europäische Unternehmen haben hier andere Prioritäten als amerikanische. Sie finden die Fähigkeit, Schwachstellen zu beseitigen, am wichtigsten. In den USA fokussieren Unternehmen dagegen stärker auf ihre kritischen Geschäftsprozesse. Die Fähigkeit, Cyber-Vorfällen zu verhindern, spielt bei allen Befragten nur eine untergeordnete Rolle. Es gibt also ein wachsendes Bewusstsein dafür, dass Cyber-Angriffe und ihre Auswirkungen unvermeidlich sind.

6. Resiliente Unternehmen bereiten sich durch Simulationen auf Cyber-Angriffe vor. 

Sie simulieren in Trainings verschiedene Was-wäre-wenn-Szenarien und beziehen dabei auch die Asset-Owner außerhalb der IT-Abteilung ein. Außerdem wenden sie dieselben Cyber-Security-Regeln für alle digitalen Assets an. Das macht es einfacher, sie konsistent einzuhalten. 

Der Schlüssel zu mehr Cyber-Resilienz

Die Studienergebnisse haben gezeigt, dass Cyber-Resilienz keine Frage des IT-Budgets ist und weitaus mehr erfordert als geeignete Security-Technik. Der Schüssel besteht darin, die geschäftskritischen Prozesse und digitalen Assets zu identifizieren und in den Mittelpunkt sämtlicher Maßnahmen zu stellen. Best Practices sollten an den Geschäftsprozessen ausgerichtet sein und quer über alle Unternehmensbereiche hinweg gelebt werden. Dafür ist es wichtig, ein Bewusstsein für die kritischen Prozesse und Assets und die damit verbundenen Risiken beim Management und den Mitarbeitern zu schaffen. Wenn dies gelingt, können Unternehmen ihre Cyber-Resilienz erheblich erhöhen. 

Weitere Informationen:

Den vollständigen Studien-Report können Sie hier anfordern.

www.greenbone.net


Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!

 

Artikel zu diesem Thema

Cyber Resilience
Apr 01, 2020

5 Tipps für eine widerstandsfähige Unternehmens-IT

Das Risiko für Cyber-Angriffe steigt. Auch mit den besten Security-Maßnahmen wird es nie…
Cyber Risk
Mär 05, 2020

Cyber Resilienz: Unternehmen rüsten sich für den Ernstfall

Viele Mittelständler arbeiten intensiv an ihrer Cyber-Resilienz. Doch einige KMUs sind…
Industrie
Feb 12, 2020

Cyberbedrohungen in der Fertigungsindustrie

Über Jahrzehnte hinweg wurden Systeme innerhalb der Informationstechnologie (IT) getrennt…

Weitere Artikel

Cyber Security

IT-Sicherheit im Pandemiejahr: Auf den richtigen Fokus kommt es an!

Vielen war es klar, jetzt ist es quantifiziert: Die Zahl der erfolgreichen Cyberattacken auf Unternehmen ist in diesem Jahr auf 78 Prozent und damit deutlich im Vergleich zu 2018, gestiegen. Das zeigt die aktuelle IDC-Studie zum Thema IT Sicherheit 2020. Im…
Authentifizierung

Airlock erweitert IAM um eigene Zwei-Faktor-Authentifizierung

Die Schweizer Sicherheitsplattform der Ergon Informatik AG, der Airlock Secure Access Hub, erhält das Update 7.3 für das Customer Identity and Access Management (IAM). Dieses implementiert eine integrierte Zwei-Faktor-Authentifizierung (2FA), um die…
Passwort-Eingabe

Passwort-Richtlinien - Schutz oder Risiko ?

Während sich das BSI von lang gehegten Passwortregeln wie der Angabe einer exakten Mindestlänge verabschiedet, stellen sich Unternehmen sowie Sicherheitsexperten die Frage: „Wann schaden Passwort-Richtlinien mehr als sie nützen?“ Wenn es um die sichere…

Anzeige

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!