Anzeige

Kritis

Laut einer Studie von Frost & Sullivan und Greenbone Networks haben erst 36 Prozent der KRITIS-Organisationen in sechs Schlüsselindustrien in Deutschland, Frankreich, Großbritannien, den USA und Japan ein hohes Level an Cyber Resilience erreicht. Da ist noch Luft nach oben. Doch was bedeutet Cyber Resilience und was machen widerstandsfähige Unternehmen anders?

Erfolgreiche Hacker-Angriffe auf Unternehmen kritischer Infrastrukturen (KRITIS) gehören schon fast zum Alltag. Immer wieder werden Meldungen laut, dass sich Angreifer über Schwachstellen in IT-Systemen Zugang zu Netzwerken verschaffen. So können sie beispielsweise Kundendaten klauen und das Unternehmen damit erpressen oder sich schlimmstenfalls sogar Zugriff auf OT-Systeme (Operational Technology) verschaffen. Letzteres ist besonders fatal. Denn wenn Angreifer die Kontrolle etwa über Netzleit- und Netzführungssystems oder Kraftwerks-Leitsysteme von Energieversorgen übernehmen, können sie theoretisch die Stromversorgung für ganze Regionen kappen.

Solchen Szenarien vorzubeugen ist das Ziel der Cyber Resilience. Sie beschreibt die Fähigkeit eines Unternehmens, trotz eines Cyber-Vorfalls geschäftsfähig zu bleiben. Das geht über den reinen Schutz von IT-Netzwerken und -Systemen hinaus. Vielmehr ist es das Ziel, Sicherheit aus den Geschäftsprozessen heraus zu schaffen, statt sie zu verbarrikadieren.

Notwendig dafür ist eine fortschrittliche Technologie. Aber auch die Bereiche „Menschen und Kultur“ sowie „Prozesse und Organisation“ entscheiden über den Erfolg eines Cyber-Resilience-Konzeptes. Verantwortlichkeiten beispielsweise müssen klar und eindeutig festgelegt sein. So zeigt der Frost & Sullivan-Report, dass fast alle hochresilienten Unternehmen (95 Prozent) die Verantwortung eines digitalen Assets bei seinem Owner ansiedeln, etwa einer Einzelperson oder einer Abteilung. Mit solch etablierten Vorgehensweisen und Best Practices lassen sich Sicherheitslücken schneller schließen und eventuelle Schäden beheben.

Geschäftsprozesse unter die Lupe nehmen

In punkto Sicherheit ist ein grundlegendes Verständnis der Geschäftsprozesse und ein Bewusstsein dafür, welches die geschäftskritischen digitalen Ressourcen im Unternehmen sind, wichtiger als Umsatzstärke oder ein hohes IT-Budget. Gerade bei knappen IT-Budgets kommt es darauf an, die zur Verfügung stehenden Mittel auf die wichtigsten Assets zu konzentrieren.

Oftmals geht es um Entscheidungen, die nur Führungskräfte treffen können, denn sie müssen Risiken gegen Kosten abwägen. Cyber Resilience muss daher auf Management-Ebene angesiedelt sein. In 97 Prozent der hochresilienten Unternehmen wird Cyber Security regelmäßig in Senior Management Meetings besprochen. So schaffen sie innerhalb des Managements und der Belegschaft ein Bewusstsein für die kritischen Geschäftsprozesse und Assets und verankern Cyber-Resilienz in der Unternehmenskultur.

Sich dem Unvermeidlichen fügen

Technische wie auch organisatorische Schwachstellen gilt es, mit geeigneten Maßnahmen wie einer leistungsfähigen Schwachstellen-Management-Lösung zu mindern oder zu schließen. Doch trotz bester Security-Maßnahmen gibt es keine hundertprozentige Sicherheit. Wie die Frost & Sullivan-Studie zeigt, sind sich Unternehmen zunehmend bewusst, dass Cyber-Angriffe unvermeidlich sind. Die Fähigkeit, sie zu verhindern, spielt daher eine eher untergeordnete Rolle auf dem Weg zur Resilienz. Als wichtiger erachten die Befragten die Fähigkeit, auf Cyber-Attacken zu reagieren (81 Prozent), ihre Auswirkungen auf kritische Geschäftsprozesse zu mindern (79 Prozent) und identifizierte Schwachstellen zu schließen (78 Prozent). Cyber Resilience bedeutet also nicht nur, Hacker-Angriffe abzuwehren, sondern auch im Falle einer Attacke schnell gegenzusteuern, um trotzdem die gesetzten Geschäftsziele erreichen zu können.

Über den Tellerrand schauen

Cyber Resilience endet nicht an den Grenzen des eigenen Hauses. Vielmehr müssen Unternehmen an alle Beteiligten denken, mit denen sie vernetzt sind oder zu denen es Abhängigkeiten gibt, zum Beispiel Lieferanten, Kunden oder Regulierungsbehörden. Auch die nötige Security-Expertise kann nicht nur aus den eigenen Reihen kommen. Beim Aufsetzen einer Security-Strategie helfen spezialisierte Dienstleister, die einen ungetrübten Blick von außen auf das Unternehmen und sein Netzwerk werfen.

Die meisten Unternehmen in den fünf größten Volkswirtschaften der Welt befinden sich noch am Anfang ihres Weges zu hoher Cyber Resilience. Nur wenn sie die Dimensionen „Technologie und Infrastruktur“, „Menschen und Kultur“ sowie „Organisation und Prozesse“ in einem umfassenden Konzept berücksichtigen, können sie ihr Ziel erreichen. Die Unternehmensgröße ist dabei irrelevant. Denn auch in vielen kleineren und mittelständischen Organisationen, den sogenannten „Hidden Champions“, lohnen sich Industriespionage und Datendiebstahl. Die Fähigkeit, sich auf solche Vorfälle einzustellen, schnell handeln zu können und betriebsfähig zu bleiben, wird daher für Unternehmen aller Größen zu einem entscheidenden Wettbewerbsfaktor.

Über die Greenbone-Studie

Wie können Unternehmen Cyber-Resilienz umsetzen und was zeichnet Unternehmen aus, die bereits besonders widerstandsfähig gegen Cyber-Angriffe sind? Diesen Fragen ist Greenbone mit einer großangelegten globalen Studie in Zusammenarbeit mit dem Marktforschungsunternehmen Frost & Sullivan auf den Grund gegangen. Befragt wurden 370 Unternehmen in den USA, Japan, Deutschland, Frankreich und Großbritannien. Sie stammen aus den sechs KRITIS-Sektoren Energie, Finanzen, Gesundheit, Telekommunikation, Transport und Wasser.

Elmar Geese, COO
Elmar Geese
COO, Greenbone

Artikel zu diesem Thema

Auto Digitalisierung
Jul 20, 2020

Automobil-Sektor im Fokus von Hackerattacken

Autonomes Fahren, Elektromobilität, vernetzte Autos und Carsharing – die…
Netzwerkinfrastruktur
Jul 16, 2020

IT-Spezialisten wünschen transparentere Netzwerkinfrastrukturen

Viavi Solutions Inc., ein Anbieter von Mess-, Überwachungs- und Sicherungslösungen für…
Bäume auf Münzstapeln
Jun 11, 2019

Nachhaltige Cyber Resilience für IKT-Anbieter

Unternehmen aus dem IT- und Telekommunikationssektor sind die Top-Angriffsziele für…

Weitere Artikel

Cyberwar

Neue Cybersicherheitsstrategie: Gemischte Gefühle in der IT-Sicherheit

Am Mittwoch hat das Bundeskabinett den Vorschlag des Innenministeriums für eine neue deutsche Cybersicherheitsstrategie verabschiedet. Dieser stieß – naturgemäß – im politischen Raum auf ein geteiltes Echo.
Cybersicherheit

VOICE fordert stärkere Haftung der Softwarehersteller und Cloudprovider

VOICE – Bundesverband der IT-Anwender begrüßt die Weiterentwicklung der Cybersicherheitsstrategie (CSS) der Bundesregierung. VOICE fordert aber die Konkretisierung der strategischen Ziele in Bezug auf die Verpflichtung der Software- und…
Cybersicherheit

Praxisnahes Lernen – IT-Sicherheit in der Industrie 4.0

Die digitale Transformation bringt für produzierende Unternehmen eine Vielzahl an Chancen mit sich. Doch mit der Vernetzung steigt auch das Risiko für Cyberangriffe. Ein ganzheitliches Sicherheitskonzept nach IEC 62443 zur Absicherung der Produktion…
Cyber Security

IT-Teams fühlen sich unter Druck gesetzt, die Sicherheit zu kompromittieren

HP veröffentlicht seinen neuen Rebellions & Rejections Report. Das Ergebnis der umfassenden globalen Studie: Es herrschen Spannungen zwischen IT-Teams und Mitarbeitern, die im Home-Office arbeiten. Grund dafür sind die Herausforderungen, denen sich…

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.