Der Begriff "Resilienz" kam 2019 auch in der IT in Deutschland allmählich in Mode, ist aber in den vergangenen Monaten immer häufiger verwendet worden. Grund waren die Maßnahmen zur Eindämmung des Coronavirus und die dadurch hervorgerufenen Unterbrechungen in den weltweiten Lieferketten sowie die Probleme, den heute nahezu überall umfassend IT-unterstützten Geschäftsbetrieb in der Krisensituation aufrechtzuerhalten.
Dem aktuellen Risk-Barometer des Allianz-Konzerns zufolge sind Cybervorfälle und Betriebsunterbrechungen derzeit gleichauf die beiden größten Geschäftsrisiken, die Unternehmen drohen. Das zeigt, dass IT heute in immer mehr Branchen die unverzichtbare Grundlage für alle Geschäftsprozesse bildet. Angefangen bei der Kommunikation mit Kunden, Lieferanten und der Mitarbeiter untereinander per E-Mail, geht das über Webshops und Online-Handelsplattformen bis zu Systemen für Warenwirtschaft, Produktionsplanung- und Steuerung sowie für Buchhaltung und Personalwesen. Der Ausfall schon eines Bereichs kann dem Unternehmen schweren Schaden zufügen. Fallen sogar mehrere oder besonders wichtige Bereiche aus, geht schnell überhaupt nichts mehr.
IT ist unverzichtbar, aber nicht ausfallsicher
Der wichtigste Angriffsvektor bleibt mit großem Abstand E-Mail. Das bestätigt auch der von Vanson Bourne im Auftrag von Mimecast erstellte Bericht "The State of Email Security 2020". Daneben zeigt die Befragung diverse Mängel und Lücken auf. "31 Prozent der Befragten verzeichneten in den vergangenen zwölf Monaten einen Datenverlust aufgrund mangelhafter Vorbereitungen für Cyber Resilience, 82 Prozent berichten von Downtime nach einer Attacke, und bei 60 Prozent breitete sich der Angriff von einem infizierten Anwenderkonto auf andere Mitarbeiter aus", fasst Klaus Seidl, Vice President DACH bei Mimecast, zentrale Ergebnisse des Berichts zusammen.
Dennoch gibt es bei 55 Prozent der Firmen immer noch keine regelmäßigen Awareness-Trainings - was besonders angesichts der Tatsache bedenklich ist, dass Angriffe via E-Mail oft Unkenntnis bei den Anwendern ausnutzen: 60 Prozent der Firmen beobachteten der Studie zufolge eine Zunahme bei Betrugsversuchen mit falschen Identitäten, 58 Prozent eine Steigerung bei Phishing-Angriffen.
Angesichts der zunehmenden Abhängigkeit von der IT wird es immer wichtiger, einen Angriff aushalten zu können - also Resilienz aufzubauen. Schließlich geht es eigentlich nicht darum, Malware abzuwehren, Zugriffe unbefugter Nutzer aufzudecken und Links auf infizierte Webseiten zu sperren. Das ist nur die Behandlung der Symptome. Es geht im Kern darum, den Betrieb des Unternehmens sicherzustellen und die Grundlage dafür zu schaffen, nach einer Störung möglichst schnell und mit möglichst geringem wirtschaftlichem Schaden weiterarbeiten zu können.
Daher setzt sich die Erkenntnis durch, dass Cyber-Resilienz-Strategien notwendig sind. Allerdings hapert es noch bei der Umsetzung. Hier können Systemhäuser und IT-Dienstleister ansetzen. Wie wichtig das Thema ist, zeigt der Mimecast-Report: Von den dafür Befragten haben bereits mehr als drei Viertel eine Cyber-Resilienz-Strategie oder arbeiten gerade daran. "Diese Strategien sind in der Regel mit E-Mail-Sicherheit, Netzwerksicherheit, Websicherheit sowie Datensicherungs- und Wiederherstellungslösungen kombiniert", berichtet Seidl.
Anwender trotz Plan oft nur schlecht vorbereitet
Einen Notfallplan oder eine Resilienz-Strategie zu haben bedeutet aber noch lange nicht, dass diese auch funktionieren. Das mussten viele Firmen schon schmerzhaft feststellen. "Teilweise wurden nach Ausfällen unterschiedliche Systeme mit der selben Priorität und Aufwand behandelt – in einigen Fällen stellte sich dies als falsch heraus" schildert Tracy Varnum von RSA plakativ fehlende Prioritäten nach Sicherheitsvorfällen. Sie führt das auf eine mangelhafte Risikoanalyse und Risikobewertung zurück und sieht es als Ausdruck des überkommenen Gedankens, dass alle Computersysteme gleichermaßen zu schützen und verfügbar zu halten sind - ungeachtet der von ihnen unterstützten Geschäftsprozesse.
In Bezug auf die Verlagerung von Arbeitsplätzen ins Homeoffice hat auch Rainer Funk, Solution Manager IT-Security bei Controlware, viele unvorbereitete Firmen beobachtet: "Das Allererste war es, alle Geschäftstätigkeiten aufrechtzuerhalten. Aufgrund der Remote-Arbeit galt es, ganz schnell ganz viele Lizenzen zu besorgen: VPN-Konzentratoren, Hard- und Soft-Token, Lizenzen für Video-Kommunikation und so weiter, aber auch ganz naheliegende Dinge, wie zum Beispiel businesstaugliche Kopfhörer."
"Der Lockdown im Zusammenhang mit der Coronakrise hatte vergleichbare Auswirkungen wie ein Cyberangriff", fasst Stanislaw Panow, Geschäftsführer des Münchner IT-Dienstleisters netcos, zusammen. In beiden Fällen könne man nicht abwarten, bis alles komplett bereinigt ist, bevor man den Betrieb wieder aufnimmt. "Wir versuchen bei Corona wieder hochzufahren, ohne dabei allzu große Risiken einzugehen. Bei IT ist das ähnlich: Auch da müssen wir manchmal wieder hochfahren, ohne bereits genau zu wissen, was uns angegriffen hat. Interessant aus meiner Sicht sind daher unter dem Stichwort Resilienz auch Systeme, die mir helfen, trotz einer weiterhin bestehenden Bedrohung sicher wieder hochzufahren", so Panow.
IT-Dienstleister als Impulsgeber und Berater
Im Tagesgeschäft kommen die meist chronisch überlasteten IT-Abteilungen der Unternehmen allerdings nicht dazu, entsprechende Pläne auszuarbeiten. "In der Regel sind wir als Dienstleister die Treiber hinter solchen Themen", sagt Stanislaw Panow. "Erst die Coronakrise hat dazu geführt, dass Kunden anfangen, sich von sich aus Gedanken dazu zu machen."
"Die Erfahrungswerte mit unseren Kunden sind ähnlich", berichtet Nils Vorholt von DextraData. "Teilbereiche sind organisiert, aber einen interdisziplinären Ansatz mit Ausrichtung an der Unternehmensstrategie, der Prozess- und Organisationsentwicklung, gibt es nur selten. Hier besteht noch viel Optimierungsbedarf.
Bechtle-Mitarbeiter Tobias Dames schlägt in dieselbe Kerbe wie Vorholt: "Im Unternehmensumfeld machen sich die Verantwortlichen leider noch zu selten Gedanken über Resilienz. Einen Plan zu erstellen, wenn der Notfall da ist, ist zu spät. Wichtig wäre es, viel früher und viel grundlegender anzusetzen und sich die Frage zu stellen: Was sind meine essenziellen Punkte im Unternehmen? Was brauche ich überhaupt, um weitermachen zu können?" Und RSA-Mitarbeiterin Varnum fasst zusammen: "Es gibt unterschiedliche Möglichkeiten, mit Risiken umzugehen. Man kann sie minimieren, reduzieren, transferieren - indem man eine Versicherung abschließt – oder akzeptieren. Da Budgets nicht unendlich sind, muss priorisiert werden."
Dafür hat Bechtle schon länger ein Framework entwickelt, das sich am britischen Standard BS 65.000 orientiert, in dem es um die Resilienz ganzer Organisationen geht. "Wir haben einen Teil des Standards genommen und anhand dessen überlegt, welche Wirkungsketten es bei unseren Kunden gibt und wo diese jeweils beginnen. Dazu findet sich auch bei ITIL und ISO 27.000 etwas, zusätzlich spielen Desaster Recovery, Business Continuity und das Risikomanagement eine Rolle. All das haben wir so zusammengeführt, dass es ineinandergreift."