Anzeige

Kritis

Laut einer Studie von Frost & Sullivan und Greenbone Networks haben erst 36 Prozent der KRITIS-Organisationen in sechs Schlüsselindustrien in Deutschland, Frankreich, Großbritannien, den USA und Japan ein hohes Level an Cyber Resilience erreicht. Da ist noch Luft nach oben. Doch was bedeutet Cyber Resilience und was machen widerstandsfähige Unternehmen anders?

Erfolgreiche Hacker-Angriffe auf Unternehmen kritischer Infrastrukturen (KRITIS) gehören schon fast zum Alltag. Immer wieder werden Meldungen laut, dass sich Angreifer über Schwachstellen in IT-Systemen Zugang zu Netzwerken verschaffen. So können sie beispielsweise Kundendaten klauen und das Unternehmen damit erpressen oder sich schlimmstenfalls sogar Zugriff auf OT-Systeme (Operational Technology) verschaffen. Letzteres ist besonders fatal. Denn wenn Angreifer die Kontrolle etwa über Netzleit- und Netzführungssystems oder Kraftwerks-Leitsysteme von Energieversorgen übernehmen, können sie theoretisch die Stromversorgung für ganze Regionen kappen.

Solchen Szenarien vorzubeugen ist das Ziel der Cyber Resilience. Sie beschreibt die Fähigkeit eines Unternehmens, trotz eines Cyber-Vorfalls geschäftsfähig zu bleiben. Das geht über den reinen Schutz von IT-Netzwerken und -Systemen hinaus. Vielmehr ist es das Ziel, Sicherheit aus den Geschäftsprozessen heraus zu schaffen, statt sie zu verbarrikadieren.

Notwendig dafür ist eine fortschrittliche Technologie. Aber auch die Bereiche „Menschen und Kultur“ sowie „Prozesse und Organisation“ entscheiden über den Erfolg eines Cyber-Resilience-Konzeptes. Verantwortlichkeiten beispielsweise müssen klar und eindeutig festgelegt sein. So zeigt der Frost & Sullivan-Report, dass fast alle hochresilienten Unternehmen (95 Prozent) die Verantwortung eines digitalen Assets bei seinem Owner ansiedeln, etwa einer Einzelperson oder einer Abteilung. Mit solch etablierten Vorgehensweisen und Best Practices lassen sich Sicherheitslücken schneller schließen und eventuelle Schäden beheben.

Geschäftsprozesse unter die Lupe nehmen

In punkto Sicherheit ist ein grundlegendes Verständnis der Geschäftsprozesse und ein Bewusstsein dafür, welches die geschäftskritischen digitalen Ressourcen im Unternehmen sind, wichtiger als Umsatzstärke oder ein hohes IT-Budget. Gerade bei knappen IT-Budgets kommt es darauf an, die zur Verfügung stehenden Mittel auf die wichtigsten Assets zu konzentrieren.

Oftmals geht es um Entscheidungen, die nur Führungskräfte treffen können, denn sie müssen Risiken gegen Kosten abwägen. Cyber Resilience muss daher auf Management-Ebene angesiedelt sein. In 97 Prozent der hochresilienten Unternehmen wird Cyber Security regelmäßig in Senior Management Meetings besprochen. So schaffen sie innerhalb des Managements und der Belegschaft ein Bewusstsein für die kritischen Geschäftsprozesse und Assets und verankern Cyber-Resilienz in der Unternehmenskultur.

Sich dem Unvermeidlichen fügen

Technische wie auch organisatorische Schwachstellen gilt es, mit geeigneten Maßnahmen wie einer leistungsfähigen Schwachstellen-Management-Lösung zu mindern oder zu schließen. Doch trotz bester Security-Maßnahmen gibt es keine hundertprozentige Sicherheit. Wie die Frost & Sullivan-Studie zeigt, sind sich Unternehmen zunehmend bewusst, dass Cyber-Angriffe unvermeidlich sind. Die Fähigkeit, sie zu verhindern, spielt daher eine eher untergeordnete Rolle auf dem Weg zur Resilienz. Als wichtiger erachten die Befragten die Fähigkeit, auf Cyber-Attacken zu reagieren (81 Prozent), ihre Auswirkungen auf kritische Geschäftsprozesse zu mindern (79 Prozent) und identifizierte Schwachstellen zu schließen (78 Prozent). Cyber Resilience bedeutet also nicht nur, Hacker-Angriffe abzuwehren, sondern auch im Falle einer Attacke schnell gegenzusteuern, um trotzdem die gesetzten Geschäftsziele erreichen zu können.

Über den Tellerrand schauen

Cyber Resilience endet nicht an den Grenzen des eigenen Hauses. Vielmehr müssen Unternehmen an alle Beteiligten denken, mit denen sie vernetzt sind oder zu denen es Abhängigkeiten gibt, zum Beispiel Lieferanten, Kunden oder Regulierungsbehörden. Auch die nötige Security-Expertise kann nicht nur aus den eigenen Reihen kommen. Beim Aufsetzen einer Security-Strategie helfen spezialisierte Dienstleister, die einen ungetrübten Blick von außen auf das Unternehmen und sein Netzwerk werfen.

Die meisten Unternehmen in den fünf größten Volkswirtschaften der Welt befinden sich noch am Anfang ihres Weges zu hoher Cyber Resilience. Nur wenn sie die Dimensionen „Technologie und Infrastruktur“, „Menschen und Kultur“ sowie „Organisation und Prozesse“ in einem umfassenden Konzept berücksichtigen, können sie ihr Ziel erreichen. Die Unternehmensgröße ist dabei irrelevant. Denn auch in vielen kleineren und mittelständischen Organisationen, den sogenannten „Hidden Champions“, lohnen sich Industriespionage und Datendiebstahl. Die Fähigkeit, sich auf solche Vorfälle einzustellen, schnell handeln zu können und betriebsfähig zu bleiben, wird daher für Unternehmen aller Größen zu einem entscheidenden Wettbewerbsfaktor.

Über die Greenbone-Studie

Wie können Unternehmen Cyber-Resilienz umsetzen und was zeichnet Unternehmen aus, die bereits besonders widerstandsfähig gegen Cyber-Angriffe sind? Diesen Fragen ist Greenbone mit einer großangelegten globalen Studie in Zusammenarbeit mit dem Marktforschungsunternehmen Frost & Sullivan auf den Grund gegangen. Befragt wurden 370 Unternehmen in den USA, Japan, Deutschland, Frankreich und Großbritannien. Sie stammen aus den sechs KRITIS-Sektoren Energie, Finanzen, Gesundheit, Telekommunikation, Transport und Wasser.

Elmar Geese, COO
Elmar Geese
COO, Greenbone

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!

 

Artikel zu diesem Thema

Auto Digitalisierung
Jul 20, 2020

Automobil-Sektor im Fokus von Hackerattacken

Autonomes Fahren, Elektromobilität, vernetzte Autos und Carsharing – die…
Netzwerkinfrastruktur
Jul 16, 2020

IT-Spezialisten wünschen transparentere Netzwerkinfrastrukturen

Viavi Solutions Inc., ein Anbieter von Mess-, Überwachungs- und Sicherungslösungen für…
Bäume auf Münzstapeln
Jun 11, 2019

Nachhaltige Cyber Resilience für IKT-Anbieter

Unternehmen aus dem IT- und Telekommunikationssektor sind die Top-Angriffsziele für…

Weitere Artikel

IT-Sicherheitsgesetz

IT-Sicherheitsgesetz 2.0 soll Cybersicherheit erhöhen

Das neue IT-Sicherheitsgesetz 2.0 des Bundesinnenministeriums steht kurz vor der Verabschiedung. Es sieht unter anderem Veränderungen im Zusammenhang mit dem Schutz kritischer Infrastrukturen (KRITIS) vor. Für KRITIS-Unternehmen soll es zum Beispiel eine…
Cyber Security

Cyberrisiken für kritische und industrielle Infrastrukturen erreichen ein Allzeithoch

Ein neuer Bericht von Nozomi Networks Labs zeigt, dass Cyber-Bedrohungen für industrielle und kritische Infrastrukturen einen neuen Höhepunkt erreicht haben, da kriminelle Akteure sich auf hochwertige Ziele konzentrieren.
Cyber Security

Sicherheit und Remote IT Management im Jahr 2021

Für viele IT-Profis und Managed Service Provider (MSPs) war Remote Management schon immer ein Teil des Geschäfts. Besonders in der globalen Wirtschaft dieser Generation sind Serviceprovider nicht immer vor Ort bei ihren Kunden, und es ist viel effizienter und…
Cyber Security

Zero Trust: Wichtiger Teil der Sicherheitsstrategie?

Das Zero Trust-Modell hat sich bereits vor einigen Jahren als Sicherheitskonzept etabliert. Nun wurde die IT-Landschaft von Unternehmen innerhalb der letzten zwölf Monate allerdings auf den Kopf gestellt, was auch Folgen für die IT-Sicherheit hat.

Anzeige

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!