Anzeige

Kritis

Laut einer Studie von Frost & Sullivan und Greenbone Networks haben erst 36 Prozent der KRITIS-Organisationen in sechs Schlüsselindustrien in Deutschland, Frankreich, Großbritannien, den USA und Japan ein hohes Level an Cyber Resilience erreicht. Da ist noch Luft nach oben. Doch was bedeutet Cyber Resilience und was machen widerstandsfähige Unternehmen anders?

pan> und was machen widerstandsfähige Unternehmen anders?

Erfolgreiche Hacker-Angriffe auf Unternehmen kritischer Infrastrukturen (KRITIS) gehören schon fast zum Alltag. Immer wieder werden Meldungen laut, dass sich Angreifer über Schwachstellen in IT-Systemen Zugang zu Netzwerken verschaffen. So können sie beispielsweise Kundendaten klauen und das Unternehmen damit erpressen oder sich schlimmstenfalls sogar Zugriff auf OT-Systeme (Operational Technology) verschaffen. Letzteres ist besonders fatal. Denn wenn Angreifer die Kontrolle etwa über Netzleit- und Netzführungssystems oder Kraftwerks-Leitsysteme von Energieversorgen übernehmen, können sie theoretisch die Stromversorgung für ganze Regionen kappen.

Solchen Szenarien vorzubeugen ist das Ziel der Cyber Resilience. Sie beschreibt die Fähigkeit eines Unternehmens, trotz eines Cyber-Vorfalls geschäftsfähig zu bleiben. Das geht über den reinen Schutz von IT-Netzwerken und -Systemen hinaus. Vielmehr ist es das Ziel, Sicherheit aus den Geschäftsprozessen heraus zu schaffen, statt sie zu verbarrikadieren.

Notwendig dafür ist eine fortschrittliche Technologie. Aber auch die Bereiche „Menschen und Kultur“ sowie „Prozesse und Organisation“ entscheiden über den Erfolg eines Cyber-Resilience-Konzeptes. Verantwortlichkeiten beispielsweise müssen klar und eindeutig festgelegt sein. So zeigt der Frost & Sullivan-Report, dass fast alle hochresilienten Unternehmen (95 Prozent) die Verantwortung eines digitalen Assets bei seinem Owner ansiedeln, etwa einer Einzelperson oder einer Abteilung. Mit solch etablierten Vorgehensweisen und Best Practices lassen sich Sicherheitslücken schneller schließen und eventuelle Schäden beheben.

Geschäftsprozesse unter die Lupe nehmen

In punkto Sicherheit ist ein grundlegendes Verständnis der Geschäftsprozesse und ein Bewusstsein dafür, welches die geschäftskritischen digitalen Ressourcen im Unternehmen sind, wichtiger als Umsatzstärke oder ein hohes IT-Budget. Gerade bei knappen IT-Budgets kommt es darauf an, die zur Verfügung stehenden Mittel auf die wichtigsten Assets zu konzentrieren.

Oftmals geht es um Entscheidungen, die nur Führungskräfte treffen können, denn sie müssen Risiken gegen Kosten abwägen. Cyber Resilience muss daher auf Management-Ebene angesiedelt sein. In 97 Prozent der hochresilienten Unternehmen wird Cyber Security regelmäßig in Senior Management Meetings besprochen. So schaffen sie innerhalb des Managements und der Belegschaft ein Bewusstsein für die kritischen Geschäftsprozesse und Assets und verankern Cyber-Resilienz in der Unternehmenskultur.

Sich dem Unvermeidlichen fügen

Technische wie auch organisatorische Schwachstellen gilt es, mit geeigneten Maßnahmen wie einer leistungsfähigen Schwachstellen-Management-Lösung zu mindern oder zu schließen. Doch trotz bester Security-Maßnahmen gibt es keine hundertprozentige Sicherheit. Wie die Frost & Sullivan-Studie zeigt, sind sich Unternehmen zunehmend bewusst, dass Cyber-Angriffe unvermeidlich sind. Die Fähigkeit, sie zu verhindern, spielt daher eine eher untergeordnete Rolle auf dem Weg zur Resilienz. Als wichtiger erachten die Befragten die Fähigkeit, auf Cyber-Attacken zu reagieren (81 Prozent), ihre Auswirkungen auf kritische Geschäftsprozesse zu mindern (79 Prozent) und identifizierte Schwachstellen zu schließen (78 Prozent). Cyber Resilience bedeutet also nicht nur, Hacker-Angriffe abzuwehren, sondern auch im Falle einer Attacke schnell gegenzusteuern, um trotzdem die gesetzten Geschäftsziele erreichen zu können.

Über den Tellerrand schauen

Cyber Resilience endet nicht an den Grenzen des eigenen Hauses. Vielmehr müssen Unternehmen an alle Beteiligten denken, mit denen sie vernetzt sind oder zu denen es Abhängigkeiten gibt, zum Beispiel Lieferanten, Kunden oder Regulierungsbehörden. Auch die nötige Security-Expertise kann nicht nur aus den eigenen Reihen kommen. Beim Aufsetzen einer Security-Strategie helfen spezialisierte Dienstleister, die einen ungetrübten Blick von außen auf das Unternehmen und sein Netzwerk werfen.

Die meisten Unternehmen in den fünf größten Volkswirtschaften der Welt befinden sich noch am Anfang ihres Weges zu hoher Cyber Resilience. Nur wenn sie die Dimensionen „Technologie und Infrastruktur“, „Menschen und Kultur“ sowie „Organisation und Prozesse“ in einem umfassenden Konzept berücksichtigen, können sie ihr Ziel erreichen. Die Unternehmensgröße ist dabei irrelevant. Denn auch in vielen kleineren und mittelständischen Organisationen, den sogenannten „Hidden Champions“, lohnen sich Industriespionage und Datendiebstahl. Die Fähigkeit, sich auf solche Vorfälle einzustellen, schnell handeln zu können und betriebsfähig zu bleiben, wird daher für Unternehmen aller Größen zu einem entscheidenden Wettbewerbsfaktor.

Über die Greenbone-Studie

Wie können Unternehmen Cyber-Resilienz umsetzen und was zeichnet Unternehmen aus, die bereits besonders widerstandsfähig gegen Cyber-Angriffe sind? Diesen Fragen ist Greenbone mit einer großangelegten globalen Studie in Zusammenarbeit mit dem Marktforschungsunternehmen Frost & Sullivan auf den Grund gegangen. Befragt wurden 370 Unternehmen in den USA, Japan, Deutschland, Frankreich und Großbritannien. Sie stammen aus den sechs KRITIS-Sektoren Energie, Finanzen, Gesundheit, Telekommunikation, Transport und Wasser.

Elmar Geese, COO
Elmar Geese
COO, Greenbone

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!

 

Artikel zu diesem Thema

Auto Digitalisierung
Jul 20, 2020

Automobil-Sektor im Fokus von Hackerattacken

Autonomes Fahren, Elektromobilität, vernetzte Autos und Carsharing – die…
Netzwerkinfrastruktur
Jul 16, 2020

IT-Spezialisten wünschen transparentere Netzwerkinfrastrukturen

Viavi Solutions Inc., ein Anbieter von Mess-, Überwachungs- und Sicherungslösungen für…
Bäume auf Münzstapeln
Jun 11, 2019

Nachhaltige Cyber Resilience für IKT-Anbieter

Unternehmen aus dem IT- und Telekommunikationssektor sind die Top-Angriffsziele für…

Weitere Artikel

Home Office

Sicher in Verbindung bleiben – Fortschritte bei der Fernarbeit?

Für viele Arbeitnehmer bedeutet die „neue Normalität“, dass man überwiegend zu Hause arbeitet und nicht mehr in ein Büro pendelt. Selbst wenn einige allmählich an ihre gewohnten Arbeitsplätze zurückkehren, könnte das Arbeiten aus der Ferne für viele zur…
VPN

Worauf kommt es bei einem VPN-Dienst an?

Vieles spricht dafür, einen VPN-Dienst zu buchen. Viele User nutzen ihn, um sicherer im Internet zu surfen. Andere wollen Geo-Blocking umgehen und wieder andere wollen damit Datenkraken entgehen. Die Auswahl an Anbietern ist groß. Doch was ist wirklich…
Schwachstelle

Die vier Mythen des Schwachstellen-Managements

Schwachstellen-Management hilft, Software-Lecks auf Endpoints zu erkennen und abzudichten. Viele Unternehmen verzichten jedoch auf den Einsatz, weil sie die Lösungen für zu teuer oder schlicht überflüssig halten – schließlich wird regelmäßig manuell gepatcht.
Zoom

Zoom: So lässt sich die E2E-Verschlüsselung aktivieren

Seit kurzem bietet Zoom eine Ende-zu-Ende (E2E) Verschlüsselung an. Das Feature stand lange auf der Wunschliste zahlreicher Nutzer, die immer wieder das Fehlen einer Verschlüsselung moniert hatten.
Security

Die Nutzung sicherer Kennwörter ist nicht genug

Dass Unternehmen verstärkt versuchen, ihre Infrastruktur und ihre Mitarbeiter bestmöglich abzusichern, verwundert angesichts der sich rapide verschärfenden Bedrohungssituation in Sachen IT-Sicherheit kaum. Auch um regulatorischen Vorgaben wie der DSGVO…

Anzeige

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!