Cyberresilienz: Ein Synonym für Cybersicherheit?

Zurück zu
Cyberresilienz

Angesichts der wachsenden Zahl an Schwachstellen und der zunehmenden Komplexität von Cyberattacken lautet die Frage nicht mehr, ob ein Unternehmen attackiert wird, sondern wann – und ob die angegriffene Organisation in der Lage sein wird, ihre Aktivitäten unbeschadet fortzusetzen. Genau das bezeichnet die Cyberresilienz. Von Stormshield gibt es vier gute Vorsätze zu deren Gewährleistung.
stormshield

Die Anfälligkeit des Cyberspace erkennen

In den vergangenen 20 Jahren wurde viel über Cybersicherheit gesprochen und darüber, wie IT-Security-Lösungen Unternehmensinfrastrukturen und -daten schützen können. Der Cyberspace hat sich aber in all den Jahren stark verändert. Das Internet ist immer schneller und demokratischer geworden, die Digitalisierung in alle Unternehmen vorgedrungen. Aufgrund ihrer Abhängigkeit von mehreren Dienstleistern sind Firmen heute einem höheren systemischen Risiko ausgesetzt.

Jeden Tag werden neue Schwachstellen aufgedeckt, die dieses Ökosystem immer anfälliger für (Cyber-)Attacken machen. Alle Schwachpunkte umfassend zu überwachen und zu schließen, ist sowohl personell als auch finanziell zu aufwendig. Demnach erscheinen Cyberattacken als unausweichlich. Wir stehen jedoch kurz vor einem Paradigmenwechsel hin zur Cyberresilienz.

Der Ansatz der Resilienz ist weit davon entfernt, fatalistisch zu sein. Er zielt darauf ab, die Auswirkungen eines Cyberangriffs auf den Betrieb des Unternehmens zu minimieren. Die Cybersicherheit bleibt dabei eine wesentliche Säule, wird aber in einen echten systemischen Ansatz integriert, nämlich den der Cyberresilienz. Es geht darum, nach einem Ausfall, einer Fehlfunktion oder einer Attacke die Fortführung der Geschäftstätigkeit des Unternehmens sicherzustellen, selbst im eingeschränkten Modus. Diese Geschäftskontinuität basiert auf fünf Säulen: Identifizierung, Schutz, Erkennung, Reaktion und Wiederherstellung.

Gute Vorsätze im Unternehmen zugunsten der Cyberresilienz

Die Erlangung der Cyberresilienz gelingt nicht über Nacht. Zuerst muss im Unternehmen die Tatsache kommuniziert und akzeptiert werden, dass eine digitale Krisensituation unvermeidlich ist. Das Verständnis dieser Ausgangslage ist insbesondere auf Geschäftsführungsebene wichtig, da das Management die Verantwortung dafür trägt, die notwendigen Ressourcen für die Umsetzung von Cyberresilienz-Plänen bereitzustellen. Zusätzlich zu den Basismaßnahmen – zum Beispiel die Durchführung regelmäßiger Datensicherungen und deren Speicherung in einer Umgebung, die nicht mit dem Unternehmensnetzwerk verbunden ist – sind weitere Schritte zu unternehmen.

> Einhaltung der Vorschriften überprüfen

Zunächst sollten Unternehmen deren Einhaltung der Vorschriften überprüfen und den bestehenden Geschäftskontinuitätsplan für Cyberattacken stärken.

Dabei sollte man bedenken, dass es sich um keinen einmaligen Prozess handelt: Die Mechanismen der Cyberresilienz müssen regelmäßig aktualisiert und getestet werden. Auf der einen Seite verändern sich die Bedrohungen, auf der anderen Seite die Unternehmen: Ein neues Geschäftsprojekt kann zum Beispiel das Risiko für einen Cyberangriff erhöhen und, wenn diese Gefahr nicht rechtzeitig erkannt wird, die Cyberresilienz-Maßnahmen unwirksam machen.

> Menschliche Komponente berücksichtigen

Die menschliche Komponente ist entscheidend. Man darf sich nicht ausschließlich darauf verlassen, dass die automatisierten Prozesse und technischen Security-by-Design-Maßnahmen greifen. Die Unternehmen müssen sich auch auf reaktionsschnelles Personal verlassen können, das sich des Themas Cybersicherheit bewusst ist. Das verhindert womöglich, dass Mitarbeiter ihre Arbeit wieder vornehmlich auf Papier erledigen müssen.

> Partner stärken

Genauso wichtig ist es, sich auf die Partner verlassen zu können, die ebenfalls auf die Gefahren im digitalen Ökosystem aufmerksam gemacht werden müssen. Noch besser wäre es, wenn Lieferanten und Auftragnehmer zur Verantwortung gezogen würden: Im Sinne der Datenschutzgrundverordnung (DSGVO) wäre eine Idee, die Aufteilung der Verantwortlichkeiten bezüglich der Cyberresilienz der Zulieferer vertraglich festzulegen.

> Den Informationsaustausch fördern

Schließlich sollte man festlegen, wie das Unternehmen über Cybersicherheits-Anliegen und -Attacken kommunizieren möchte. Zusätzlich zu den gesetzlichen Meldepflichten sollte der Austausch über diese Themen mit Kollegen, Partnern und Mitarbeitern, Investoren und sogar Kunden gefördert werden, denn so baut das Unternehmen Vertrauen auf. Wenn sich eine Organisation bereits heute auf potenzielle Vorfälle vorbereitet und in Cybersicherheit wie ihre eigene Cyberresilienz investiert, stellt dies ein echter Mehrwert für alle dar.

Wie bei allen Prozessen im Krisenmanagement muss die Cyberresilienz geschaffen werden, bevor es zu einem Sicherheitsvorfall kommt, den man damit unbeschadet überwinden soll. Im Einklang mit unserer digitalen Welt, in der täglich mehr Daten ausgetauscht werden, basiert diese neue Perspektive auf einem systemischen Ansatz, der das allgemeine Bewusstsein, den Informationsaustausch zwischen den Akteuren und die Auswahl der richtigen Tools für die Cybersicherheit als erste unerlässliche Schutzschicht umfasst.


Stormshield

Weltweit benötigen Unternehmen, Regierungsinstitutionen und Verteidigungsbehörden zuverlässige Partner, die sie auf dem Weg des digitalen Wandels begleiten und die Cybersicherheit ihrer Einrichtungen, Nutzer und Daten sicherstellen. Die auf höchster europäischer Ebene zertifizierten Stormshield-Technologien (EU Restricted, NATO Restricted, Common Criteria EAL3+/EAL4+, Qualifikationen und Gütesiegel der ANSSI) sind die richtige Antwort auf IT- und OT-Risiken und um Ihre Geschäftstätigkeit zu schützen. Dank unserer Sicherheitslösungen können Sie sich voll und ganz auf Ihr Geschäft konzentrieren, ohne sich Sorgen machen zu müssen.
Weitere Informationen unter www.stormshield.com

Share this post

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.

Zurück zu