Wie Cyber-Resilienz zum Wettbewerbsvorteil verhilft

12.02.2022
Matthias Wintjen, Benedict Nienhaus Und Aaron Machmer

Nicht zuletzt hat die weltweite Covid19-Pandemie Unternehmen gezeigt, dass Resilienz einer der wichtigsten Erfolgsfaktoren für einen Fortbestand ihrer Geschäftsmodelle ist. Plötzlich auftretende Ereignisse wie Naturkatastrophen, politische Spannungen oder zunehmende gezielte Cyberangriffe können eine starke Belastung für Unternehmen aller Größen und Branchen darstellen. Erst kürzlich berichtet das Handelsblatt über Hackerbanden und  Erpresser und der BSI-Bericht zur „Lage der IT-Sicherheit in Deutschland 2021“ bewertet die Lage von “angespannt bis kritisch”.

Vor allem das Verhalten von Menschen ist für Erpresser ein interessantes Einfallstor in die digitale Infrastruktur von Unternehmen jeder Größe. „Für einen erfolgreichen Angriff brauchen die Cyber-Erpresser nur einen gefrusteten Mitarbeiter, der einen USB-Stick in den richtigen Rechner steckt oder die entscheidenden Zugangsdaten kennt. Noch einfacher wird die Digitalattacke bei den erschreckend vielen Unternehmen, die ihre IT-Sicherheit nicht im Griff haben. Dann reicht schon ein unvorsichtiger Angestellter, der auf einen infizierten E-Mail- Anhang klickt.“

Doch was ist eigentlich Resilienz und was können Unternehmen tun, um sich gegen die Gefahren zu wappnen? Und welchen Beitrag kann IT-Sicherheit dazu leisten?

JE ROBUSTER EIN SYSTEM IST, DESTO HÖHER IST SEINE RESILIENZ

Resilienz (lat. resilire „zurückspringen, abprallen“) beschreibt die Widerstandsfähigkeit eines Systems oder eines Objektes gegen äußere Einflüsse. Hierzu gehört zum einen die Absorptionsfähigkeit, die beschreibt, wie stark der externe Einfluss auf das System ist. Zum anderen beinhaltet Resilienz die Fähigkeit, sich nach einem äußeren Schockereignis zu reorganisieren und den vorherigen Zustand wiederherzustellen. In der Ökologie wird Stabilität als einzigartiger Zustand beschrieben und die Resilienz als die Fähigkeit, diesen  aufrechtzuerhalten oder wiederherzustellen.1

Der Unterschied zwischen Glaskugel und Gummiball beschreibt Resilienz anschaulich. Während  ein  Hammerschlag  eine  wenig  resiliente Glaskugel zum Zerbrechen bringt, würde ein Gummiball den Schlag abfedern und könnte seinen Ursprungszustand durch seine Materialeigenschaften umgehend wiederherstellen. Für Unternehmen und Organisationen, die wenig Resilienz aufweisen, können selbst kleinere äußere Ereignisse zu einer schwerwiegenden wirtschaftlichen Krise oder Existenzgefährdung führen. Unternehmen mit hoher Resilienz hingegeben sind in der Lage, selbst schwerwiegende Katastrophen nach kurzer Reorganisationsphase zu verkraften oder sogar noch gestärkt daraus hervorzugehen. Als unternehmerische Resilienz bezeichnet die ISO22316:2017 „die Fähigkeit eines Unternehmens, [sich] einem sich wandelnden Umfeld anzupassen und dieses zu absorbieren, um die Unternehmensziele zu erreichen und weiterzuwachsen“.2 Resilienz stellt also einen Wettbewerbsvorteil  für  nachhaltiges Wachstum dar, der durch vier grundlegende Eigenschaften beschrieben wird:

  • Flexibilität
  • Robustheit
  • Situation Awareness
  • Recovery

Flexibilität beschreibt die Fähigkeit, sich ändernden Umweltbedingungen anzupassen, Ressourcen nach Bedarf zu  verschieben  und  neu zu priorisieren. Robuste Unternehmen sind widerstandsfähig gegen grundlegende Bedrohungen und erkennen durch eine gute Situation Awareness frühzeitig Gefahren und stellen sich darauf ein. Die Recovery hat die Aufgabe nach einem auftretenden Schock, den vorherigen Zustand schnellstmöglich wiederherzustellen.

Zu messen ist Resilienz nicht einfach. Sie folgt oft keinem klaren Ziel. Deshalb gibt es nicht die eine Herangehensweise oder gar eine Standardlösung zum Aufbau einer resilienten

Organisation. Es gibt keine klaren KPIs, um den Erfolg zu quantifizieren. Vielmehr ist Resilienz eine unternehmensweite Einstellung über alle Abteilungen und Bereiche hinweg, Widerstand gegen das  Unerwartete  und  Unvorhersehbare zu leisten und sich darauf vorzubereiten.

WIESO IST DER MENSCH EIN RISIKOFAKTOR?

Menschen sind im  Sinne  digitaler  Resilienz nicht perfekt, Menschen machen Fehler. Fehler zu begehen ist menschlich. Solange Menschen Systeme bedienen, werden diese Systeme Schwächen zeigen. Und seien sie auch noch so abgesichert. Der einfachste und häufigste Weg für Ransomware, um auf einen Firmen-Rechner oder Firmen-Server zu gelangen, ist über einen Menschen. Er öffnet wissentlich oder unwissentlich die symbolische Hintertür  (Backdoor) für den Angreifer und damit zu internen, vertraulichen oder geheimen Daten und Systemen. Deshalb ist  Awareness,  also  Aufmerksamkeit ein so wichtiger Bestandteil von Resilienz. Menschen müssen genau wissen, auf welche Links sie nicht klicken dürfen, wie sie mit Dateien, die Makros aus unbekannte Quellen enthalten, umgehen, und was sie mit einem USB-Stick, den sie irgendwo gefunden haben, tun dürfen. Sehr beliebt, jedoch nur vermeintlich ungefährlich: Der Bit-Locker-Key oder das Passwort auf der Unterseite des Laptops oder an den Bildschirmrand geklebt? Für Cyber-Resilienz  ein  No-Go. Um diesen Gefahren, die unmittelbar aus Fehlverhalten hervorgehen, entgegenzuwirken  ist die Mitarbeiter- und Situation-Awareness im Unternehmen elementar.

WAS BEDEUTET DAS FÜR DIE IT?

Gerade, weil unsere Welt immer stärker durch digitale Prozesse und Informationsflüssen geprägt ist, kann Cyber-Resilienz einen sehr wichtigen Beitrag leisten. Der Schutz von Systemen und Infrastrukturen in der IT gegen unbekannte und schwer vorhersehbare Risiken, sowie die schnelle Wiederherstellung der Verfügbarkeit von IT-Services nach einer Störung, gehören hierbei zu den Hauptaufgaben einer IT-Abteilung. Die Unterstützung und Aufrechterhaltung der Kernprozesse des Unternehmens stehen hierbei im Vordergrund. Die betrieblichen Abläufe sind im Falle einer Wiederherstellung zu priorisieren. Ziel ist es, die Ausfallzeiten so kurz wie möglich zu halten. Auch hier kann Awareness der Belegschaft unterstützen und dazu ermutigen, Vorfälle unverzüglich zu melden, da- mit schnell reagiert werden kann.

Eine der generellen Herausforderung für eine hohe Cyber-Resilienz ist die Abwägung zwischen Kosten und Nutzen der Maßnahmen. Während zu Beginn mit kleinem Aufwand (z. B. Awareness-Trainings für Mitarbeiterinnen und Mitarbeiter, Zwei-Faktor-Authentifikation) große Resilienz-Zuwächse erzielt werden können, wachsen die Kosten mit fortschreitenden, spezielleren Maßnahmen (Verschlüsselung, physische und virtuelle Zugangskontrollen)   schnell an. Die Balance zwischen der Erhöhung der Resilienz und den hierfür notwendigen personellen, organisatorischen und finanziellen Ressourcen ist daher eines der wichtigsten Themen der Verantwortlichen.3

WARUM STELLT CYBER-RESILIENZ EINEN WETTBEWERBSVORTEIL FÜR UNTERNEHMEN DAR?

Cyber-Resilienz vereint IT-Security, Informationssicherheit und Cybersecurity. Während die Kernaufgabe der Informationssicherheit die Umsetzung von Richtlinien und technischen Maßnahmen ist, um bekannte Risiken abzumildern oder zu eliminieren, liegt der Fokus der Cybersecurity bei der Abwehr von unbekannten Bedrohungen. Denn von wem, wann und in welcher

Form eine Cyberattacke auf ein Unternehmen gestartet wird, ist in der Regel nicht vorhersagbar. Die Herausforderung für eine hohe Cyber-Resilienz liegt darin, technische Maßnahmen durchzuführen, bevor es überhaupt zu einem Angriff auf die IT-Infrastruktur kommt.  Auch hier ist die Awareness der Menschen wichtig, sowie präventive prozessuale und organisatorische Anpassungen. Das kann man gegen potenziell mögliche Angriffe, die aus der Vergangenheit bekannt sind, relativ gut einrichten.

Weitaus schwieriger ist die Vorbereitung auf Bedrohungen, die man noch gar nicht kennt und damit gar nicht vorhersehbar sind. Flexibilität und Belastbarkeit sowie ein Mindset zur Bewältigung einer solchen Bedrohung und zur Steigerung der Resilienz sind hierbei empfehlenswert. Diese präventiven Maßnahmen und  das  Mindset legen auch den Grundstein für die Recovery im Fall der Fälle. Die Flexibilität von Personen und Robustheit von Prozessen tragen zu einer schnellen Wiederherstellung bei und sichern die

Position am Markt als Wettbewerbsvorteil. Die Cyberresilienz leistet einen wichtigen Beitrag zur Cybersecurity eines Unternehmens und trägt damit zur IT- und letztlich dazu bei, dass Unternehmen schneller und gesünder aus einer Krise herausgehen als andere. Es ist in Zukunft davon auszugehen, dass Angriffe auf die IT Infrastrukturen häufiger und aggressiver sein werden und eine hundertprozentige Abschottung dagegen unmöglich sein wird. Eine hohe Resilienz schützt nicht nur gegen Störungen, sondern versetzt das Unternehmen – wir erinnern uns an den Gummiball – Schläge zu abzufedern, zu parieren und bei einer Deformation schnell wieder in die ursprüngliche Form zurückzukehren. ■

 

Quellen:

  • 1:Welsh, T., & Benkhelifa, E. (2020). On Resilience in Cloud Com- ACM Computing Surveys (CSUR), 53, 1 – 36
  • 2: ISO (2017). ISO 22316:2017-03: Sicherheit und Resilienz – Resilienz von Organisationen – Grundsätze und Attribute
  • 3: Maurer, F., & Lechner, (2014). From disaster response planning to e- Resilience. A literature review. Conference pro- ceedings. 27th Bled eCon- ference. eEcosystems. June 1-5 2014

0 Kommentare

Einen Kommentar abschicken

Bitte melden Sie sich an, um einen Kommentar zu hinterlassen.