IT-Security-Strategie

In vier Schritten zur Cyber-Resilienz

12.07.2019 von Michael Heuer
Das BSI misst Cyber-Resilienz hohe Bedeutung für Unternehmen bei. Aber was hat es damit auf sich und wie ist sie umzusetzen?

Durch ausgeklügelte Malware und umfangreiche Cyberattacken hat sich die Gefahrenlage grundsätzlich gewandelt. Zudem verändern Cloud Computing, Internet of Things (IoT) und die Zunahme an mobilen Geräten die Anforderungen an Sicherheitsmechanismen. Die meisten IT-Entscheider befassen sich hauptsächlich mit der Anpassung ihrer Sicherheitsarchitektur und können keine Zeit zusätzlich dafür aufwenden, IT-Sicherheitsstrategien neu aufzusetzen. Stattdessen sind sie damit beschäftigt, neue Security-Tools zu implementieren. Die Geschäftsleitung versucht zwar häufig, Cyber-Security stärker in der Unternehmensstrategie zu verankern, hat aber nicht genug Einsicht in die tatsächlichen IT-Prozesse, um eine tiefgreifende Neuausrichtung in Eigenregie auf die Beine stellen zu können.

Cyber-Resilience bedeutet, sich auf schadhafte Cybervorfälle einzustellen und ihnen entgegenzuwirken, egal aus welchem Angriffsvektor sie kommen.
Foto: Jorge Felix Costa - shutterstock.com

Um im Zeitalter der Digitalisierung auch weiterhin ohne Risiko am Markt bestehen zu können, kommt das Bundesamt für Sicherheit in der Informationstechnik (BSI) in seinem aktuellen Lagebericht zur IT-Sicherheit auf einen wichtigen Punkt zu sprechen, den Organisationen beim Aufbau und bei der Umsetzung ihrer Sicherheitsstrategie beachten sollten: "Der Schlüsselfaktor Resilienz, der in Zukunft immer bedeutsamer wird, sollte sowohl bei großen Unternehmen als auch bei KMU mehr Bedeutung bekommen. Vorfalltrainings sind hier ein wichtiger Faktor."

Was ist Cyber-Resilienz

Der Begriff 'Resilienz' kommt eigentlich aus der Psychologie und beschreibt die Widerstandsfähigkeit von Menschen gegen negative Einflüsse. In Bezug auf Cyber-Security bezeichnet Cyber-Resilience die Fähigkeit einer Organisation, sich auf schadhafte Cybervorfälle einzustellen und diesen entgegenzuwirken. Unabhängig davon, ob diese Vorfälle mutwillig oder unabsichtlich beziehungsweise von Mitarbeitern oder dritten Parteien ausgelöst wurden. Der Grad der Widerstandsfähigkeit ermisst sich in der Aufrechterhaltung von Vertraulichkeit, Integrität und Verfügbarkeit der Daten und Dienste, die für das Unternehmen wichtig sind.

Für Bereichsleiter und das C-Level-Management ist es lohnenswert, sich mit der Thematik zu beschäftigen, denn Cyber-Resilience ist mehr als nur ein strategisches Framework. Es muss in praktischen Stufen umgesetzt werden.

Schritte zum Cyber-Resilience-Plan für Unternehmen

Für IT-Fachkräfte im Alltag ist es zuächst schwierig, konkrete Maßnahmen für Resilienz zu erarbeiten. Es gibt jedoch bereits Best-Practices. Im Rahmen des State of Email-Security Report von Mimecast wurden über 1.000 IT-Verantwortliche weltweit unter anderem aus den USA, dem Vereinigten Königreich und Deutschland zu ihren größten Security-Herausforderungen befragt. Vier Dimensionen der Cyber-Resilience können hierbei herausgearbeitet werden:

  1. Bedrohungsschutz (Threat Protection)

  2. Anpassungsfähigkeit (Adaptability)

  3. Beständigkeit (Durability)

  4. Fähigkeit zur Wiederherstellung (Recoverbility)

Threat Protection ist die klassische Defensive, um Angriffen vorzubeugen. Es geht aber um mehr als nur IT-Sicherheitswerkzeuge. Zwar besteht für IT-Verantwortliche die Herausforderung darin, dem Stand der Technik zu entsprechen. Er muss aber auch dem Faktor Mensch Sorge tragen.

Deshalb gilt es, bereits eingesetzte Hersteller und Services zu evaluieren. Zudem sollte geprüft werden, ob es sinnvoll ist, eine neue Technologie zu implementieren. Angestellte sollten regelmäßig geschult und trainiert werden, damit sie Sicherheitsrisiken und gezielte Attacken erkennen. Diese Anpassungsfähigkeit spielt für das Thema Cyber-Resilience eine elementare Rolle und wird häufig noch nicht ausreichend bedacht. Und das obwohl Kriminelle ihre Vorgehensweisen ständig anpassen.

Die dritte Säule betrifft die Fähigkeit, auch im Falle eines erfolgreichen Angriffs alle Unternehmensprozesse aufrechtzuerhalten. Dass man Beständigkeit der Geschäftsprozesse als eigenen Themenbereich ansieht, ist nicht überalldie Regel. Die meisten Unternehmen verfügen zwar über Backups, allerdings müssen IT-Entscheider eigene Mechanismen für die Fortführung des operativen Betriebs einsetzen, damit es im Falle eines Angriffs nicht zur Unterbrechung kommt. Hierbei geht es noch nicht um Wiederherstellung, denn das ist die vierte Säule.

Beim Verlust von persönlichen Daten drohen seit der DSGVO hohe Bußgelder, allerdings liegt der größte monetäre Schaden oftmals in der Ausfallzeit von Systemen. Die Bereiche Durability und Recoverbility sind in der direkten Ausrichtung zwar verschieden, dennoch ist es sinnvoll die Mechanismen zu verzahnen. Im Idealfall besteht eine Redundanz, sodass bei einem Systemausfall eine andere Lösung einspringt und die unterbrechungsfreie Verfügbarkeit garantiert. Die Wiederherstellung der betroffenen Elemente muss genauso reibungslos funktionieren.

Resilienz in der Praxis

Die größte Bedrohung stellen laut der Umfrage E-Mail-basierte Attacken dar. 65 Prozent der Berfagten geben an, dass in den letzten zwölf Monaten die Zahl der Vorfälle gestiegen ist. 73 Prozent aller Opfer von Angriffen mit gefälschten E-Mail-Identitäten erleideten direkte Verluste. Sicherheitsfachkräfte innerhalb des Unternehmens sollten darauf hinarbeiten, das Bewusstsein und das Verständnis der gsamten Belegschaft für E-Mail-Sicherheitsrichtlinien und Best Practices zu schärfen.

Besonders gefährdet sind Geschäftsführungen. 88 Prozent aller Umfrageteilnehmer gaben an, dass sie in den letzten zwölf Monaten verseuchte Inhalte von einem Geschäftspartner erhalten haben. Führungskräfte haben Zugang zu vielen kritischen Informationen, sind oftmals unter Zeitdruck und zudem noch viel unterwegs, so dass eine schädliche E-Mail schnell einmal geöffnet wird. Genau deshalb fokussieren sich Kriminelle auf Entscheidungsträger. Die Folge sind Angriffe wie bei Ubiquite: Dort wurden 46 Millionen US-Dollar in Folge eines solchen CEO-Frauds entwendet.

Die Autoren des State of Email-Security-Reports gehen davon aus, dass in 90 Prozent aller Datenschutzverletzungen der Faktor Mensch eine Kernrolle gespielt hat. Außerdem zeigt sich in einem Feldversuch, dass von 6.500 Nutzern 500 nach weniger als einer Sekunde auf einen schadhaften Link in einer E-Mail klicken. Es ist positiv zu bewerten, dass mittlerweile die meisten Organisationen ihre Belegschaft im Bereich Cyber Awarness trainieren, allerdings führen nur 51 Prozent aller Firmen regelmäßige Trainings und Schulungen durch.

Erst wenn jeder Mitarbeiter in einem Unternehmen, unabhängig vom Titel, versteht, dass er eine Schlüsselrolle in der IT-Security spielt, werden sich die Dinge zum Besseren wenden. Diese kulturellen Veränderungen sind nicht nur eine positive Erinnerung daran, dass jedes Teammitglied ein wichtiger Teil des Prozesses ist, sondern sie sind auch der Schlüssel zur Verbesserung der gesamten Sicherheitslage.

Fazit

Jedes Unternehmen sollte sich die Frage stellen: Wie resilient bin ich tatsächlich? Nicht nur, um aktuelle Bedrohungen abzuwehren, sondern auch um das Gemeingut "sicheres Internet" zu erhalten. Der Grad der Digitalisierung ist so weit vorangeschritten, dass die Abwehr von Cyberattacken nicht mehr nur eine Aufgabe einer einzelnen Institution, Abteilung oder allein die Sache von einigen Sicherheitsunternehmen ist. Jeder muss seinen Teil dazu beitragen, damit der Onlinekriminalität ein Riegel vorgeschoben werden kann.

Der "Schlüsselfaktor Resilienz" muss dabei eine elementare Rolle innerhalb von Unternehmen spielen. In der Praxis sollten sich Entscheider auf die Bereiche Bedrohungsschutz (Threat Protection), Anpassungsfähigkeit (Adaptability), Beständigkeit (Durability) und die Fähigkeit zur Wiederherstellung (Recoverbility) fokussieren. (jd)