Anzeige

Cyber Resilience

Angesichts der wachsenden Bedrohung durch Cyber-Angriffe wird Cyber Resilience für Unternehmen immer wichtiger. Erst 36 Prozent der Unternehmen haben bisher allerdings ein hohes Resilienz-Level erreicht – so eine aktuelle Studie von Frost & Sullivan und Greenbone Networks. Ist Cyber Resilience nur etwas für große Unternehmen mit hohen IT-Budgets? 

Erstmals sind Cyber-Vorfälle im aktuellen Allianz Risk Barometer zum weltweit wichtigsten Geschäftsrisiko aufgestiegen. Sie verdrängten damit den langjährigen Spitzenreiter, die Betriebsunterbrechung, von Platz eins – beide Risikofaktoren sind eng miteinander verknüpft. Unternehmen sehen sich mit immer raffinierteren Angriffen und teureren Datenskandalen konfrontiert. So kostet ein schwerer Datendiebstahl laut dem Ponemon Institute heute durchschnittlich 42 Millionen Dollar und damit acht Prozent mehr als im Vorjahr. Viele Unternehmen versuchen daher, Cyber-resilient zu werden. Laut einer Studie von Frost & Sullivan und Greenbone Networks haben allerdings erst 36 Prozent der Organisationen in sechs Schlüsselindustrien in Deutschland, Frankreich, Großbritannien, den USA und Japan ein hohes Level an Cyber Resilience erreicht. Häufig herrscht noch Unklarheit, was sich hinter diesem Konzept eigentlich verbirgt und welche Faktoren und Fähigkeiten entscheidend sind. Lesen Sie im Folgenden die fünf häufigsten Mythen. 

Mythos Nr. 1: Cyber Resilience ist ein reines Technologie-Thema

Cyber Resilience beschreibt die Fähigkeit eines Unternehmens, trotz eines Cyber-Vorfalls geschäftsfähig zu bleiben, und geht über den reinen Schutz von IT-Netzwerken und -Systemen hinaus. Der Ansatz besteht darin, Sicherheit aus den Geschäftsprozessen heraus zu schaffen, statt einen Schutzwall um sie herum zu bauen. Technologie ist daher nur ein Aspekt. Genauso wichtig sind Menschen und Kultur sowie Prozesse und Organisation. Eine entscheidende Rolle spielt zum Beispiel die Art und Weise, wie ein Unternehmen Prozesse gestaltet und Mitarbeiter einbezieht. Verantwortlichkeiten müssen klar und eindeutig festgelegt sein. So zeigt der Frost & Sullivan-Report, dass fast alle hochresilienten Unternehmen (95 Prozent) der Best Practice folgen, die Verantwortung eines digitalen Assets bei seinem Owner anzusiedeln, etwa einer Einzelperson oder einer Abteilung. Außerdem kristallisierten sich in der Studie die folgenden Kernkompetenzen heraus: Die Fähigkeit, kritische Vermögenswerte jedes kritischen Geschäftsprozesses zu identifizieren, die potenziell durch einen Cyberangriff beeinträchtigt werden können (97% der hochresilienten Unternehmen). Und die Fähigkeit, identifizierte Schwachstellen zu mindern und zu beheben (94 Prozent der hochresilienten Unternehmen) – das schließt sowohl technische als auch organisatorische Schwachstellen ein.

Mythos Nr. 2: Widerstandsfähigkeit gegen Cyber-Angriffe ist eine Frage des Budgets

Die Studie zeigt zwar, dass hochresiliente Unternehmen im Durchschnitt einen größeren Umsatz und ein höheres IT-Budget haben als weniger resiliente. Bei genauerer Betrachtung wird jedoch deutlich, dass es keinen Zusammenhang zwischen der Höhe der IT-Ausgaben und dem erreichten Cyber-Resilience-Level gibt. Wichtiger ist vielmehr ein grundlegendes Verständnis der Geschäftsprozesse und ein Bewusstsein dafür, welches die geschäftskritischen digitalen Ressourcen im Unternehmen sind. Gerade bei knappen IT-Budgets kommt es darauf an, die zur Verfügung stehenden Mittel auf die wichtigsten Assets zu konzentrieren. Hier geht es häufig um Entscheidungen, die nur Führungskräfte treffen können, denn sie müssen Risiken gegen Kosten abwägen. Cyber Resilience muss daher auf Management-Ebene angesiedelt sein. In 97 Prozent der hochresilienten Unternehmen wird Cyber Security regelmäßig in Senior Management Meetings besprochen.

Mythos Nr. 3: Cyber Resilience schließt System-Ausfälle aus

Auch mit den besten Security-Maßnahmen wird es nie hundertprozentige Sicherheit geben. Cyber Resilience bedeutet daher nicht nur, Hacker-Angriffe so gut es geht abzuwehren, sondern auch im Falle einer Attacke schnell gegenzusteuern und trotzdem die gesetzten Geschäftsziele erreichen zu können. Wie die Frost & Sullivan-Studie zeigt, sind sich Unternehmen zunehmend bewusst, dass Cyber-Angriffe unvermeidlich sind. Die Fähigkeit, sie zu verhindern, spielt daher eine eher untergeordnete Rolle auf dem Weg zur Resilienz. Als wichtiger erachten die Befragten die Fähigkeit, auf Cyber-Attacken zu reagieren (81 Prozent), ihre Auswirkungen auf kritische Geschäftsprozesse zu mindern (79 Prozent) und identifizierte Schwachstellen zu schließen (78 Prozent).

Mythos Nr. 4: Cyber Resilience ist auf das eigene Unternehmen begrenzt

Da Cyber Resilience auf die Geschäftsziele fokussiert und von der Prozess-Seite her gedacht werden muss, endet sie nicht an den Grenzen des eigenen Hauses. Vielmehr müssen Unternehmen auch an alle Beteiligten denken, mit denen sie vernetzt sind oder zu denen es Abhängigkeiten gibt, zum Beispiel Lieferanten, Kunden, Mitbewerber oder Regulierungsbehörden. Wie wichtig es ist, eine breitere „Nachbarschaft“ zu berücksichtigen, zeigt das Beispiel des Energiesektors. Kommt es hier an einer Stelle im Gefüge zu Ausfällen, zieht das eine ganze Kaskade von Problemen nach sich, denn ohne Strom funktioniert in unserer heutigen Gesellschaft nahezu nichts mehr.

Mythos Nr. 5: Cyber-Resilience-Konzepte sind nur etwas für große Organisationen

Es wäre fatal zu glauben, dass nur große Unternehmen von Cyber-Angriffen betroffen sind. Schon längst haben Hacker auch kleinere und mittelständische Organisationen als attraktives Ziel entdeckt. Denn gerade hier gibt es oft viele Hidden Champions, bei denen sich Industriespionage und Datendiebstahl lohnen. Zudem sind KMUs häufig schlechter geschützt als große Unternehmen und damit ein leichteres Opfer. Laut einer aktuellen Bitkom-Studie waren 2019 mindestens 75 Prozent aller deutschen Unternehmen von Cyber-Angriffen betroffen. Besonders bei den kleineren Betrieben mit 10 bis 99 Mitarbeitern stieg die Zahl im Vergleich zu 2017 deutlich an. Die Fähigkeit, sich auf solche Vorfälle einzustellen, schnell handeln zu können und betriebsfähig zu bleiben, wird daher für Unternehmen aller Größen zu einem entscheidenden Wettbewerbsfaktor. 

Fazit: Der Weg ist weit, aber machbar!

Die meisten Unternehmen in den fünf größten Volkswirtschaften der Welt befinden sich noch am Anfang auf ihrem Weg zu hoher Cyber Resilience. Es gibt also noch viel zu tun. Nur indem Unternehmen alle drei Dimensionen „Technologie und Infrastruktur“, „Menschen und Kultur“ sowie „Organisation und Prozesse“ in einem umfassenden Konzept berücksichtigen, können sie ihr Ziel erreichen. Cyber Resilience ist keine reine Frage der Technik, des IT-Budgets oder der Unternehmensgröße und darf nicht an den Grenzen des eigenen Hauses aufhören. Wer auf seine geschäftskritischen Prozesse und Assets fokussiert, Schlüsselfähigkeiten erwirbt und sich an Best Practices orientiert, macht einen großen Schritt nach vorn.

Elmar Geese, COO
Elmar Geese
COO, Greenbone

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!

 

Artikel zu diesem Thema

RIP
Aug 06, 2020

Best of Hacks: Highlights Juni 2020

Datenverletzungen und Cyberangriffe auf kritische Infrastruktursysteme stellen eine immer…
Kritis
Jul 28, 2020

Cyber Resilience im Unternehmen etablieren

Laut einer Studie von Frost & Sullivan und Greenbone Networks haben erst 36 Prozent der…
Cyber Resilience
Apr 01, 2020

5 Tipps für eine widerstandsfähige Unternehmens-IT

Das Risiko für Cyber-Angriffe steigt. Auch mit den besten Security-Maßnahmen wird es nie…

Weitere Artikel

Sicherheit Steuerung

Hacken per Klimaanlage, Aufzug im freien Fall?

Der Aufzug in freien Fall gehört zweifelsohne in die Welt der Hollywood-Filme, aber ein digitalisierter Aufzug ist so smart wie angreifbar. Und schon vor mehreren Jahren spielte das Magazin Wired.com durch, wie man mittels Klimaanlage ein Stromnetz hackt.
Security

Lösungen für 4 oft übersehene Sicherheitsprobleme

Sämtliche Internetzugriffe des Unternehmens werden über Black- und Whitelists geschleust. Das betriebseigene WLAN nur für die Privatgeräte der Mitarbeiter ist auch physisch vom Firmennetzwerk völlig abgetrennt. Jeder neue Kollege im Haus bekommt durch die IT…
Cyber Attacke

TeamTNT nutzt legitimes Tool gegen Docker und Kubernetes

Bei einem jüngst erfolgten Angriff nutzten die Cyberkriminellen der TeamTNT-Gruppe ein legitimes Werkzeug, um die Verbreitung von bösartigem Code auf einer kompromittierten Cloud-Infrastruktur zu vermeiden und diese dennoch gut im Griff zu haben. Sie…
Cyber Security

Kosten-Explosion durch Cyber-Angriffe

Die Ergebnisse des Hiscox Cyber Readiness Reports 2020 zeigen eine positive Tendenz: Vielen Unternehmen ist mittlerweile bewusst, wie wichtig Cyber-Sicherheit ist. Die Zahl der gut vorbereiteten „Cyber-Experten“ steigt zum ersten Mal deutlich an…
Netzwerk-Sicherheit

Remote-Arbeit verschärft Herausforderungen für die Unternehmenssicherheit

Juniper Networks, ein Anbieter von sicheren, KI-gesteuerten Netzwerken, präsentiert die ersten Ergebnisse eines internationalen Marktforschungsprojektes. Diese zeigen, dass traditionelle Ansätze zum Schutz des Netzwerks die Herausforderungen angesichts von…

Anzeige

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!