Thought Leadership
CIOs und CISOs geraten aus verschiedenen Richtungen unter Druck. Mark Molyneux, EMEA CTO bei Cohesity, gibt in einem Leitfaden Empfehlungen, wie Unternehmen folgenden Herausforderungen begegnen können.
- Wachsende Bedrohung durch Cyber-Angriffe
Die Bedrohungen für Unternehmensdaten nehmen ständig zu. Mit dem einfachen Zugang zu KI und SaaS-Modellen können auch weniger Versierte Attacken ausführen, wodurch die Zahl der Angriffe steigt. Durch geopolitische Spannungen kommt es außerdem zu mehr politisch motivierten Angriffen.
- IT-Ausfälle durch Klimawandel und veraltete Infrastrukturen
Der Klimawandel erhöht das Risiko extremer Wetterereignisse, die die Verfügbarkeit von Rechenzentren gefährden. Veraltete IT-Infrastrukturen verstärken das Ausfallrisiko, da sie anfälliger für Sicherheitsprobleme sind und mehr Ressourcen verbrauchen. Die Folge sind höhere Energiekosten und ein größerer Kühlungsbedarf.
- Handlungsdruck durch DORA und NIS-2
Die EU-Gesetzgebung schreibt Unternehmen ein Mindestmaß an operativer und cybertechnischer Resilienz vor. CIOs und CISOs müssen Verordnungen wie DORA und der NIS-2-Richtlinie rechtzeitig erfüllen, sonst riskieren sie empfindliche Strafen.
Was können Unternehmen also tun, um dem Druck dieser drei Herausforderungen Stand zu halten?
Datenzentrierte Cyber-Resilienz als Schlüssel
Unternehmen sollten einen datenfokussierten Ansatz für Cyber-Resilienz verfolgen. Es gilt, Daten aus verschiedenen IT-Umgebungen zusammenzuführen und die notwendigen Governance-, Erkennungs-, Reaktions- und Wiederherstellungsfähigkeiten zu entwickeln. Schließlich sind die Daten die zentrale Basis für eine positive Geschäftsentwicklung und daher eine attraktive Beute für Angreifer. Zusätzlich unterliegen diese Informationen einer Vielzahl von Compliance-Anforderungen. Orchestrierung, Cloud und Virtualisierung unterstützen Unternehmen bei der Verwaltung und dem Schutz dieser Daten. Jeder datenzentrierte Ansatz sollte dabei das allgemeine Sicherheits- und IT-Ökosystem durch Integration und Orchestrierung unterstützen.
Resilienz gegen IT-Ausfälle
Bei einem schweren Sicherheitsvorfall kann es zu weitreichenden Störungen kommen. Besonders groß ist das Chaos, wenn sogar Zutrittssysteme ausfallen. Daher müssen Unternehmen die realen Auswirkungen solcher Ereignisse im Detail kennen. Zu einem Business-Resilienz-Konzept gehört mehr als jährliche Katastrophentests und das Entstauben des Business Continuity-Plans. Es bedeutet, davon auszugehen, dass Cybervorfälle unvermeidlich sind und den Betrieb entsprechend an diese Szenarien anzupassen. Wichtige Daten und IT-Dienste sollten isoliert und regelmäßig getestet werden, ebenso wie die Fähigkeit zur sicheren Wiederherstellung nach einem erfolgreichen Cyberangriff. Es empfiehlt sich, einen isolierten Reinraum inklusive aller erforderlichen Sicherheits-, Kollaborations- und Kommunikationstools einzurichten, in dem Sicherheitsvorfälle untersucht und eingedämmt werden können. Dieses Vorgehen muss Teil der regelmäßigen Tests zur Ausfallsicherheit sein.
Risiko persönlicher Haftung minimieren
Mit DORA und der NIS-2-Richtlinie will die EU die Cyber-Resilienz stärken und bei Mängeln auch die Verantwortlichen in den Unternehmen zur Rechenschaft ziehen. Verstöße gegen diese Vorgaben können in persönlicher Haftbarkeit münden. Die Strafen sind erheblich: Unternehmen, die ihre DORA-Verpflichtungen nicht erfüllen, drohen Bußgelder von bis zu zwei Prozent des weltweiten Jahresumsatzes. Personen und Unternehmen müssen mit Bußgeldern von bis zu einer Million Euro, kritische Drittanbieter sogar bis zu fünf Millionen Euro rechnen. Für NIS-2 sind die Strafen noch höher: Bis zu zehn Millionen Euro oder zwei Prozent des weltweiten Jahresumsatzes. NIS-2 erweitert zudem den Kreis der Branchen, die unter die Vorgaben fallen, und schließt Lücken, die DORA möglicherweise offenlässt.
CIOs und CISOs tun gut daran, sich eingehend vorzubereiten. Denn ein Cybervorfall, sei es durch einen erfolgreichen Angriff oder durch extremes Wetter, kann in jedem Unternehmen eintreten. Die richtige Infrastruktur, gut geplante Prozesse und ein eingespieltes Team sind der Schlüssel zu Resilienz und für eine Strategie, um dem Dreieck aktueller Herausforderungen aus Cyberbedrohungen, IT-Ausfällen und strengen Complianceregeln erfolgreich zu begegnen.
