Angesichts der wachsenden Bedrohung durch Cyber-Angriffe wird Cyber Resilience für Unternehmen immer wichtiger. Erst 36 Prozent der Unternehmen haben bisher allerdings ein hohes Resilienz-Level erreicht – so eine aktuelle Studie von Frost & Sullivan und Greenbone Networks. Ist Cyber Resilience nur etwas für große Unternehmen mit hohen IT-Budgets?
Erstmals sind Cyber-Vorfälle im aktuellen Allianz Risk Barometer zum weltweit wichtigsten Geschäftsrisiko aufgestiegen. Sie verdrängten damit den langjährigen Spitzenreiter, die Betriebsunterbrechung, von Platz eins – beide Risikofaktoren sind eng miteinander verknüpft. Unternehmen sehen sich mit immer raffinierteren Angriffen und teureren Datenskandalen konfrontiert. So kostet ein schwerer Datendiebstahl laut dem Ponemon Institute heute durchschnittlich 42 Millionen Dollar und damit acht Prozent mehr als im Vorjahr. Viele Unternehmen versuchen daher, Cyber-resilient zu werden. Laut einer Studie von Frost & Sullivan und Greenbone Networks haben allerdings erst 36 Prozent der Organisationen in sechs Schlüsselindustrien in Deutschland, Frankreich, Großbritannien, den USA und Japan ein hohes Level an Cyber Resilience erreicht. Häufig herrscht noch Unklarheit, was sich hinter diesem Konzept eigentlich verbirgt und welche Faktoren und Fähigkeiten entscheidend sind. Lesen Sie im Folgenden die fünf häufigsten Mythen.
Mythos Nr. 1: Cyber Resilience ist ein reines Technologie-Thema
Cyber Resilience beschreibt die Fähigkeit eines Unternehmens, trotz eines Cyber-Vorfalls geschäftsfähig zu bleiben, und geht über den reinen Schutz von IT-Netzwerken und -Systemen hinaus. Der Ansatz besteht darin, Sicherheit aus den Geschäftsprozessen heraus zu schaffen, statt einen Schutzwall um sie herum zu bauen. Technologie ist daher nur ein Aspekt. Genauso wichtig sind Menschen und Kultur sowie Prozesse und Organisation. Eine entscheidende Rolle spielt zum Beispiel die Art und Weise, wie ein Unternehmen Prozesse gestaltet und Mitarbeiter einbezieht. Verantwortlichkeiten müssen klar und eindeutig festgelegt sein. So zeigt der Frost & Sullivan-Report, dass fast alle hochresilienten Unternehmen (95 Prozent) der Best Practice folgen, die Verantwortung eines digitalen Assets bei seinem Owner anzusiedeln, etwa einer Einzelperson oder einer Abteilung. Außerdem kristallisierten sich in der Studie die folgenden Kernkompetenzen heraus: Die Fähigkeit, kritische Vermögenswerte jedes kritischen Geschäftsprozesses zu identifizieren, die potenziell durch einen Cyberangriff beeinträchtigt werden können (97% der hochresilienten Unternehmen). Und die Fähigkeit, identifizierte Schwachstellen zu mindern und zu beheben (94 Prozent der hochresilienten Unternehmen) – das schließt sowohl technische als auch organisatorische Schwachstellen ein.
Mythos Nr. 2: Widerstandsfähigkeit gegen Cyber-Angriffe ist eine Frage des Budgets
Die Studie zeigt zwar, dass hochresiliente Unternehmen im Durchschnitt einen größeren Umsatz und ein höheres IT-Budget haben als weniger resiliente. Bei genauerer Betrachtung wird jedoch deutlich, dass es keinen Zusammenhang zwischen der Höhe der IT-Ausgaben und dem erreichten Cyber-Resilience-Level gibt. Wichtiger ist vielmehr ein grundlegendes Verständnis der Geschäftsprozesse und ein Bewusstsein dafür, welches die geschäftskritischen digitalen Ressourcen im Unternehmen sind. Gerade bei knappen IT-Budgets kommt es darauf an, die zur Verfügung stehenden Mittel auf die wichtigsten Assets zu konzentrieren. Hier geht es häufig um Entscheidungen, die nur Führungskräfte treffen können, denn sie müssen Risiken gegen Kosten abwägen. Cyber Resilience muss daher auf Management-Ebene angesiedelt sein. In 97 Prozent der hochresilienten Unternehmen wird Cyber Security regelmäßig in Senior Management Meetings besprochen.
Mythos Nr. 3: Cyber Resilience schließt System-Ausfälle aus
Auch mit den besten Security-Maßnahmen wird es nie hundertprozentige Sicherheit geben. Cyber Resilience bedeutet daher nicht nur, Hacker-Angriffe so gut es geht abzuwehren, sondern auch im Falle einer Attacke schnell gegenzusteuern und trotzdem die gesetzten Geschäftsziele erreichen zu können. Wie die Frost & Sullivan-Studie zeigt, sind sich Unternehmen zunehmend bewusst, dass Cyber-Angriffe unvermeidlich sind. Die Fähigkeit, sie zu verhindern, spielt daher eine eher untergeordnete Rolle auf dem Weg zur Resilienz. Als wichtiger erachten die Befragten die Fähigkeit, auf Cyber-Attacken zu reagieren (81 Prozent), ihre Auswirkungen auf kritische Geschäftsprozesse zu mindern (79 Prozent) und identifizierte Schwachstellen zu schließen (78 Prozent).
Mythos Nr. 4: Cyber Resilience ist auf das eigene Unternehmen begrenzt
Da Cyber Resilience auf die Geschäftsziele fokussiert und von der Prozess-Seite her gedacht werden muss, endet sie nicht an den Grenzen des eigenen Hauses. Vielmehr müssen Unternehmen auch an alle Beteiligten denken, mit denen sie vernetzt sind oder zu denen es Abhängigkeiten gibt, zum Beispiel Lieferanten, Kunden, Mitbewerber oder Regulierungsbehörden. Wie wichtig es ist, eine breitere „Nachbarschaft“ zu berücksichtigen, zeigt das Beispiel des Energiesektors. Kommt es hier an einer Stelle im Gefüge zu Ausfällen, zieht das eine ganze Kaskade von Problemen nach sich, denn ohne Strom funktioniert in unserer heutigen Gesellschaft nahezu nichts mehr.
Mythos Nr. 5: Cyber-Resilience-Konzepte sind nur etwas für große Organisationen
Es wäre fatal zu glauben, dass nur große Unternehmen von Cyber-Angriffen betroffen sind. Schon längst haben Hacker auch kleinere und mittelständische Organisationen als attraktives Ziel entdeckt. Denn gerade hier gibt es oft viele Hidden Champions, bei denen sich Industriespionage und Datendiebstahl lohnen. Zudem sind KMUs häufig schlechter geschützt als große Unternehmen und damit ein leichteres Opfer. Laut einer aktuellen Bitkom-Studie waren 2019 mindestens 75 Prozent aller deutschen Unternehmen von Cyber-Angriffen betroffen. Besonders bei den kleineren Betrieben mit 10 bis 99 Mitarbeitern stieg die Zahl im Vergleich zu 2017 deutlich an. Die Fähigkeit, sich auf solche Vorfälle einzustellen, schnell handeln zu können und betriebsfähig zu bleiben, wird daher für Unternehmen aller Größen zu einem entscheidenden Wettbewerbsfaktor.
Fazit: Der Weg ist weit, aber machbar!
Die meisten Unternehmen in den fünf größten Volkswirtschaften der Welt befinden sich noch am Anfang auf ihrem Weg zu hoher Cyber Resilience. Es gibt also noch viel zu tun. Nur indem Unternehmen alle drei Dimensionen „Technologie und Infrastruktur“, „Menschen und Kultur“ sowie „Organisation und Prozesse“ in einem umfassenden Konzept berücksichtigen, können sie ihr Ziel erreichen. Cyber Resilience ist keine reine Frage der Technik, des IT-Budgets oder der Unternehmensgröße und darf nicht an den Grenzen des eigenen Hauses aufhören. Wer auf seine geschäftskritischen Prozesse und Assets fokussiert, Schlüsselfähigkeiten erwirbt und sich an Best Practices orientiert, macht einen großen Schritt nach vorn.