Resilienz oder Cyber-Resilienz wird in der IT-Security-Branche seit einiger Zeit immer häufiger verwendet. Der Begriff leitet sich vom englischen Wort Resiliency ab. Im deutschen Sprachgebrauch bezeichnete es bisher in der Psychologie die psychische Widerstandsfähigkeit, in der Energiewirtschaft steht es für Ausfallsicherheit und in den Ingenieurwissenschaften für die Fähigkeit von Systemen, bei einem Teilausfall nicht vollständig zu versagen. Außerdem wird im Standard BS65000:2014 der British Standards Institution (BSI) die Fähigkeit eines Unternehmens, Wandel selbst in einem komplexen und dynamischen Umfeld vorauszusehen, zu überstehen und damit anhaltendes Wachstum sicherzustellen, als "organisatorische Resilienz" bezeichnet.
Im Bereich IT-Security ist der Begriff noch nicht eindeutig besetzt. Letztlich wird mit ihm aber eine Kombination der Bedeutungen aus den anderen Feldern übernommen. Er überschneidet sich stark mit dem schon länger genutzten Schlagwort "Business Continuity", umfasst aber mehr IT-Sicherheitsaspekte als dieser.
Resilienz als Teil und Erweiterung von IT-Sicherheit
Im ChannelPartner-Workshop sahen die Marktteilnehmer Resilienz sowohl als Erweiterung als auch als Teildisziplin von IT-Sicherheit. Letztlich gehe es darum, dass Unternehmen einen erfolgreichen Cyber-Angriff nicht werden verhindern können und sich darauf einstellen müssen, den Schaden so gering wie möglich zu halten und ihn wenigstens zu überleben.
Dieses Verständnis wirft jedoch neue Fragen auf. Schließlich haben Unternehmen auch auf Anraten ihrer Systemhauspartner in den vergangenen Jahren massiv in IT-Sicherheitstechnologie investiert. Ist es da nicht vermessen, nun mit der Aussage auf sie zuzugehen, dass es lediglich eine Frage der Zeit ist, bis sie Opfer eines Angriffs werden und dass sie noch einmal nachlegen müssen, um den wenigstens einigermaßen zu überstehen?
Kunden offen für Resilienzkonzepte
Im Rahmen der Logicalis CIO Survey 2018-2019 zeigte sich, dass zum Beispiel die von dem Dienstleister befragten IT-Verantwortlichen in Unternehmen verstärkt auf die sogenannte Cyber-Resilienz setzen: "Firmen erkennen, dass rein defensive Ansätze zur Cyber-Abwehr nicht ausreichen, sondern eine Kombination aus Verteidigung, Erkennung und Wiederherstellung wesentlich ist", kommentiert Andreas Richter, Director Corporate Communications bei Logicalis Deutschland, die Studienergebnisse.
Allerdings klafft zwischen Erkenntnis des Handlungsbedarfs und erfolgreicher Umsetzung noch eine deutliche Lücke. Darauf hat Anfang 2019 der Cyber-Security-Spezialist Tanium hingewiesen. Er beruft sich auf eine Umfrage unter 4.000 Entscheidungsträgern in Deutschland, den USA, Großbritannien, Frankreich und Japan. Davon glauben 96 Prozent, dass Business Resilience ein wesentlicher Bestandteil der erweiterten Geschäftsstrategie ihres Unternehmens sein sollte. Allerdings gaben nur 54 Prozent der weltweit Befragten an, dass dies in ihrem Unternehmen auch so ist. Von den 1.000 in Deutschland Befragten glauben sogar nur 50 Prozent, dass die Widerstandsfähigkeit gegen Geschäftsunterbrechungen, etwa durch Cyber-Angriffe, Teil ihrer Unternehmensstrategie ist.
Auch dem im Sommer veröffentlichten "State of E-Mail Security Report" von Mimecast zufolge ist das Konzept "Cyber-Resilience" in Deutschland noch vergleichsweise unbekannt und können Unternehmen hierzulande schlechter mit Angriffen umgehen als anderswo. Mimecast konzentriert sich als Anbieter auf den Schutz der E-Mail-Systeme, da nach in der Grundtendenz übereinstimmenden Zahlen nahezu aller Security-Anbieter und -Forscher E-Mails inzwischen das meistgenutzte Werkzeug sind, um Daten zu entwenden und Malware in Organisationen zu schleusen. Gleichzeitig ist E-Mail eines der Systeme, die zur Aufrechterhaltung des Geschäftsbetriebs unverzichtbar sind. Auch dafür hat Mimecast ein Angebot.
63,3 Prozent der für den "State of E-Mail Security Report" Befragten in Deutschland halten es für "wahrscheinlich" oder "sehr wahrscheinlich", dass ihre Geschäftsprozesse unter einem E-Mail-basierten Angriff leiden würden. Das sind über zehn Prozent mehr als im internationalen Durchschnitt (52,4 Prozent). Allerdings konnten hierzulande nur 14,3 Prozent der Befragten nach einer erfolgreichen Attacke mit Ransomware Systemausfälle vermeiden (weltweit 27,4 Prozent). Außerdem brauchen deutsche Firmen offenbar länger, um sich von einem Angriff zu erholen. Bei 64 Prozent der von einem Angriff betroffenen Opfer dauerte der ausfallbedingte Stillstand zwei bis fünf Tage, international war es bei weniger als 54 Prozent so lange.
Widerstände auf dem Weg zur Widerstandsfähigkeit
Für 33 Prozent der von Logicalis befragten deutschen CIOs ist eines der größten Hindernisse zur Erreichung einer widerstandsfähigen IT die wachsende Komplexität ihres Unternehmens. 32 Prozent fürchten zu-dem, dass Hacker über mehr Kenntnisse verfügen als ihre IT-Teams. Bei 29 Prozent mangelt es an Budget und passenden Tools. Genau hier setzen Unternehmen wie Carbonite oder Datto an. Beide haben ihre Wurzeln in Backup-Angeboten und Strategien für Disaster Recovery, sind aber längst deutlich darüber hinausgewachsen.
Der ehemals reine Backup-Anbieter Carbonite hatte bereits 2014 für 20 Millionen Dollar das deutsche Unternehmen Mailstore übernommen. Mit dem im Channel gut etablierten Anbieter einer rechtssicheren E-Mail-Archivierung wurden die Ziele "Business Continuity" und "Datenintegrität" verfolgt. Damit war das Gesamtkonzept schon stimmig, aber nach außen nicht so ohne weiteres erkennbar, weil Mailstore weiterhin als eigenständiges Unternehmen auftritt.
Mit der Übernahme von Webroot Anfang 2019 hat Carbonite zudem Expertise und Technologie für IT-Sicherheit und insbesondere Know-how für die Absicherung von Endpunkten erworben. Damit stellt sich Carbonite als Anbieter umfassender auf und kann zusätzlich zur Datensicherung auch die Abwehr von Malware auf Endpunkten anbieten. Der Bereich wird als Geschäftseinheit in Carbonite integriert. Anlässlich der Übernahme betonten beide Unternehmen erneut, dass sie auch weiterhin konsequent auf Channel-Partner setzen wollen.
Neben dem Schutz von Endpunkten und dem Backup für Server bietet Carbonite auch Lösungen an, um Verfügbarkeit zu gewährleisten und wichtige Systeme nach einem Ausfall wiederherzustellen. Da sich in diese Konzepte auch Cloud-Angebote einbeziehen lassen, gibt es einen praktischen Nebeneffekt: Die Carbonite-Lösung kann auch zur Migration von Daten und Servern zwischen unterschiedlichen Clouds eingesetzt werden.
Ebenfalls aus dem Bereich Storage und Backup kommend, hat sich Datto zum Anbieter von Managed Services in den Bereichen Datensicherheit, Business Continuity, Networking und Collaboration entwickelt. Wesentlicher Schritt dabei war die Ende 2017 abgeschlossene Übernahme von Autotask. Durch sie kamen die für einen erfolgreichen und kostengünstigen Managed Service erforderliche Automatisierungsmöglichkeiten ins Unternehmen.
Sie spielen auch bei Resilienz- oder Business-Continuity-Projekten eine wichtige Rolle. Schließlich soll im Notfall nicht Panik ausbrechen, sondern ein vorab definiertes und strukturiertes Rettungsprogramm anlaufen - und das möglichst schnell. Außerdem gibt es auch im Alltagsbetrieb bei der Sicherung und Wiederherstellung von Dateien zahlreiche Routineaufgaben. Auch sie sollte ein Service-Provider weitgehend automatisiert und aus der Ferne erledigen können.
Erst die Strategie, dann die Produkte
Produkte und Lösungen, um den Aspekt Resilienz darstellen zu können, gibt es also. Sei es das aus dem Backup-Bereich kommende Portfolio von Carbonite, die ausgehend von Daten-Backup und Synchronisation entwickelten MSP-Angebote von Datto oder der auf die Sicherung und Verfügbarkeit von E-Mail ausgerichtete Ansatz von Mimecast. Bei den ersten Gesprächen mit Kunden sollten aber nicht sie im Vordergrund stehen, so die einhellige Meinung der Systemhausvertreter beim ChannelPartner-Workshop.
"Grundsätzlich ist es erst einmal wichtig, bei Unternehmen die Erkenntnis zu schaffen, dass ein erfolgreicher Angriff stattfinden wird. Es gibt sicher Mechanismen, um das zu verhindern oder das Risiko zu minimieren. Es geht nicht darum, eine Versicherung zu haben, falls der Fall einmal eintritt - gleichzeitig aber im Hinterkopf immer zu denken, dass der möglicherweise ja nicht eintreten wird. Davon müssen wir uns und die Kunden verabschieden", so Swen Baumann, Leiter Security Competence Center bei Cancom.
"Je nachdem, was die Firma macht, wird Resilienz ganz unterschiedlich ausgelegt. Man muss daher erst einmal das Unternehmen beraten und macht daher auch eher Unternehmensberatung als IT-Beratung. Mit einem Techniker zu diskutieren kann man sich bei Resilienz eigentlich sparen", berichtet Wolfgang Siegl, Geschäftsführer von Treeconsult.
Auch Rainer Funk, Solution Manager IT-Security bei Controlware, plädiert für einen zunächst einmal produktneutralen Ansatz: "Lasst mal die Feature-Themen weg. Vergleicht Architekturansatz A und B. Welche Möglichkeiten ergeben sich daraus? Wie entwickeln sich die jeweiligen Investitionskosten in den nächsten Jahren?", so sein Vorschlag. "Resilienz entsteht auch, wenn ich Budgets optimal einsetze. Das geht aber nur, wenn solche Nachhaltigkeitsbetrachtungen geliefert werden und sich die Diskussion nicht in Features erschöpft", betont Funk.
Wie sicher ist sicher genug?
Nach Ansicht von Benjamin Siewert von Sila Consulting ist "Resilienz als Ziel nur etwas getrickst: Schließlich wird dabei das Wort Sicherheit lediglich durch das Wort Resilienz ersetzt. Unabhängig davon ob, wir auf der technischen oder der organisatorischen Ebene Informationssicherheit anstreben, möchte der Kunde hinterher das Gefühl haben, er sei sicher." Das jedoch sei nicht realistisch.
Immerhin könne er aber sicherer sein als zuvor. "Kunden aus dem Mittelstand kommen meist erst nach einem Vorfall zu uns. Dann überlegen sie sich, wie sie es besser machen können", schildert Oliver Braun, Senior Information Security Consultant bei SVA System Vertrieb Alexander, wie bei ihm viele Resilienzprojekte beginnen. Dabei sei das ohnehin nicht erreichbare Ziel hundertprozentiger Sicherheit gar kein Thema.
"Bei den ersten großen Ransomware-Angriffen hatten wir einen Kunden, der davon betroffen war und dessen Produktion drei Tage stillstand. Das hat ihn getroffen, war aber zu verkraften. Danach hatte er noch zwei Angriffe, die zwar beide ebenfalls erfolgreich waren, aber eben wegen der getroffenen Maßnahmen nicht mehr zu einem Produktionsausfall führten", so Braun. Lediglich in der Verwaltung seien die PCs noch einen halben Tag offline gewesen, aber die Produktion lief weiter. "Das ist auch eine Art von Resilienz", fasst Braun zusammen. Treeconsult-Chef Siegl sieht das ähnlich: "Man braucht nicht in allen Bereichen 100 Prozent Widerstandsfähigkeit. Es gibt Bereiche, in denen sie sehr hoch sein muss - aber über das ganze Unternehmen hinweg geht das nicht."
Einen wichtigen, nichttechnischen Aspekt des Themas spricht Peter Schill, Unit Director Security Sales bei Computacenter, an. "Unternehmen merken ja auch: Ich habe viel aufgebaut, ich habe viel in IT-Sicherheit investiert, ich habe vielleicht sogar ein SOC und ein SIEM - aber so richtig rund läuft es immer noch nicht. Daher kommt der Wunsch auf, zu wissen, wie sicher man eigentlich ist - oder eben auch, wie resilient man eigentlich ist." Das führe dazu, dass verstärkt Assessments durchgeführt werden. "Die können, wenn sie entsprechend vernünftig aufgebaut sind, auch gut verkauft werden", so Schill.
Sicherheitsniveau messbar machen und erhöhen
Schill weiter: "Über ein Assessment bekommt man einen Benchmark, an dem man sich orientieren kann. Dazu lassen sich automatisierte Vulnerability-Tests, automatisierte oder manuelle Pen-Tests, Red Teaming oder automatisierte Angriffssimulationen verwenden, um das Thema Resilienz mit Leben zu erfüllen und festzustellen, ob man gerade sicher ist oder ob man sicherer als vor zwei Monaten ist."
Cancom-Manager Baumann ergänzt: "Viele IT-Verantwortliche fühlen sich durch eine Überprüfung der bisherigen Sicherheitsmaßnahmen persönlich attackiert. Sie fürchten, dass man ihnen vorwirft, dass sie ihre Arbeit nicht richtig gemacht haben. Aber darum geht es ja gar nicht. Man muss eben erst einmal akzeptieren, dass man bei IT-Sicherheit 100 Prozent nicht erreichen kann - egal, wie kompetent man ist und wie viele Ressourcen man hat. Erst dann kommt man an den Punkt, wo man sich überlegt: Was können wir tun, wenn es tatsächlich passiert?"
Rolle der Dienstleister bei Resilienzprojekten
Eine Lanze für Dienstleister bei der Aufgabe, Unternehmen widerstandsfähiger gegen Cyber-Angriffe zu machen, bricht Stefan Thiel, Channel Director CE bei Mimecast: "Es gibt Firmen, die haben eine eigene Betriebsfeuerwehr. Und es gibt ganz viele andere, die sind einfach an die Brandmeldezentrale angeschlossen. Wenn es brennt, dann kommt die Berufsfeuerwehr. Ähnliche Strukturen gibt es in vielen Bereichen. In der IT müssen wir die auch aufbauen, wenn wir uns gegen bestimmte Vorkommnisse widerstandsfähig machen wollen. Ein arbeitsteiliges Prinzip, um Risiken abzuwehren, ist ganz normal. Da kommen wir auch in der IT nicht drum herum, denn einer allein kann das Problem nicht lösen."
"Wir als Dienstleister wollen dem Kunden das Gefühl vermitteln: Du bist ein bisschen sicherer. Die Hersteller vermitteln das mit ihren Produkten auf der technischen Ebene, wir Dienstleister auf der organisatorischen - wir machen das aber relativ wenig zusammen", stellt Benjamin Siewert von Sila Consulting fest. "Die Produkte werden unterschwellig mit dem Versprechen angeboten: Ich setze mir eine Box hin und dann ist alles gut. Da fehlt aber die andere Ebene, die nicht technisch ist: Vielleicht kann man da künftig ein bisschen enger zusammenarbeiten."
Den Aspekt des Fachkräftemangels sieht Controlware-Experte Funk als guten Einstiegspunkt. Bilden Unternehmen selbst Security-Experten aus, dauere die Durststrecke mindestens drei Jahre. "Diese Erfahrungen, die man im Dienst an vielen Kunden gesammelt hat und die in einem einzelnen Unternehmen so gar nicht möglich wären, sind es dann auch, die sich verkaufen und als Mehrwert darstellen lassen. Ob man das Angebot Resilienz nennt und als solche verkauft, kann noch diskutiert werden", so Funk.
Es sei aber ein Teilaspekt, letztlich werde Resilienz über das Thema SOC (Security Operations Center) erreicht. Bei größeren Unternehmen mag das schon vorhanden oder im Aufbau sein. Im Mittelstand ist es für die meisten Unternehmen allerdings unrealistisch, so etwas selbst anzustreben. Mittelfristig wird also das SOC als Managed Service für Dienstleister ein interessantes und wichtiges Angebot sein.