Thought Leadership
88 Prozent der IT-Entscheider sind davon überzeugt, dass sie mit IT-Störungen – egal welcher Natur – fertig werden. Dagegen spricht allerdings die hohe Anzahl der Unternehmen, die in der Vergangenheit mit unerwarteten Ausfällen zu kämpfen hatten.
Dominik Bredel, Practice Leader für den Bereich Security und Resilienz bei Kyndryl Deutschland, stellt die Ergebnisse einer aktuellen Kyndryl-Studie vor und verrät, wie Unternehmen ihre Cyber-Resilienz stärken können.
Unternehmen müssen sich heute auf ihre IT verlassen können, die immer komplexer wird und sich zunehmend vom Kernnetzwerk entfernt. Laut dem neuen State of IT Risk Report, für den Kyndryl weltweit 300 IT-Entscheider befragt hat, betreiben die IT-Systeme in 84 Prozent der Unternehmen kritische Geschäftsprozesse.
Kommt es hier zu einem Netzwerkausfall, einem Cyber-Angriff oder anderen Systemstörungen, kann das verheerende Folgen haben. Ein lahmgelegter Geschäftsbetrieb (50 Prozent), Bußgelder wegen Datenschutz- bzw. Compliance-Verstößen (40 Prozent) sowie Reputationsschäden (35 Prozent) zählen zu den häufigsten Schäden.
Trotz des Risikos von Störungen, Ausfällen und Cyber-Angriffen sowie der potenziellen Folgen, scheint ein Großteil der IT-Entscheider unbesorgt zu sein. 88 Prozent von ihnen sind sich sicher, dass ihre technische Ausstattung gut genug ist, um solchen Ereignissen angemessen zu begegnen. Hier offenbart sich jedoch ein Widerspruch.
92 Prozent der Unternehmen hatten in den vergangenen zwei Jahren mit Störfällen zu tun – sowohl mit als auch ohne Verbindungen zu cyberkriminellen Aktivitäten. Die meisten von ihnen berichten sogar von drei oder vier unterschiedlich gearteten Ereignissen. Die fünf häufigsten Störungsarten sind: Hardware- und Netzwerkausfall, Malware, ein Zusammenbruch des Data-Center-Betriebs sowie DDoS-Attacken (Distributed Denial of Service).
Wie lassen sich diese Störfälle zukünftig möglichst vermeiden? Wir von Kyndryl haben diese fünf Best Practices identifiziert, die in keiner Cyber-Resilienz-Strategie fehlen sollten:
Das gesamte Unternehmen ins Boot holen
Es kommt nicht selten vor, dass einige Geschäftsbereiche, wie die IT-Abteilungen, in Silos arbeiten – sprich: abgeschottet vom Rest des Unternehmens. Damit Cyber-Resilienz ihre volle Wirkung erzielen kann, müssen Unternehmen diese Silos aufbrechen und alle Abteilungen in ihre Strategie mit einbeziehen – und zwar von den ersten Gesprächen bis hin zur Definition der übergreifenden Mission. Cyber-Resilienz muss ein integraler Teil der Unternehmenskultur sein.
Die Grundlagen festlegen
Zum einen sollten Unternehmen – zusätzlich zu den Toleranzvorgaben ihrer Branche – die eigene Risikotoleranz bestimmen und mit den Teams kommunizieren. Zum anderen sollten sie ermitteln, welche Unternehmensbereiche und IT-Systeme kritisch für den Betrieb, dessen Aufrechterhaltung und die Zielerreichung sind. Welche Komponenten müssen im Störfall so schnell wie möglich wiederhergestellt werden, damit das Geschäft keinen Schaden nimmt?
Frameworks und Guidelines einrichten
Da sich sicherheitsrelevante Ereignisse heutzutage kaum mehr umgehen lassen, ist ein Krisenmanagement-Plan zur Vorbereitung unerlässlich. Darin ist festgehalten, wer bei einem Systemausfall oder einer Cyber-Attacke welche Verantwortlichkeiten übernimmt, wie Mitarbeiter zu reagieren haben und welche Prozesse durchzuführen sind. Wichtig ist, dass das gesamte Team diese Guidelines im Rahmen regelmäßiger Simulationen übt und verinnerlicht. Denn wenn es zum Ernstfall kommt, ist Zeit Geld.
Zusätzlich bietet es sich an, eine Zero-Trust-Architektur zu implementieren. Durch den Deny-by-Default-Ansatz soll sichergestellt werden, dass nur autorisierte Personen Zugriff auf bestimmte Systeme und Daten haben.
Laufend an den Status quo anpassen
Unternehmen gleichen lebenden Organismen, die sich aufgrund innerer und äußerer Einflüsse verändern können. Wenn zum Beispiel IT-Landschaften komplexer und neue gesetzliche Vorgaben erlassen werden, müssen sie sich und ihre Cyber-Resilienz-Strategie daran anpassen, damit sie wirksam bleibt.
Awareness schaffen
Das Security-Bewusstsein für potenzielle IT-Risiken und notwendige Schutzmaßnahmen muss nicht nur bei den Mitarbeitern weiter geschärft werden, auch Führungskräfte und der Vorstand sind Teil dieser Lernkurve. Nur wenn Alle involviert sind, lassen sich Risiken verstehen und Gegenmaßnahmen schnell kommunizieren und umsetzen.
Es bedarf einer soliden Cyber-Resilienz-Strategie, damit Unternehmen Störungen antizipieren und sich vor ihnen schützen können. Nur so lassen sich betroffene Systeme und Daten schnell wiederherstellen und existenzbedrohende Folgen vom Unternehmen abwenden.
Autor: Dominik Bredel, Practice Leader für den Bereich Security und Resilienz bei Kyndryl Deutschland
