Laut einer Studie von Frost & Sullivan und Greenbone Networks haben erst 36 Prozent der KRITIS-Organisationen in sechs Schlüsselindustrien in Deutschland, Frankreich, Großbritannien, den USA und Japan ein hohes Level an Cyber Resilience erreicht. Da ist noch Luft nach oben. Doch was bedeutet Cyber Resilience und was machen widerstandsfähige Unternehmen anders?
Erfolgreiche Hacker-Angriffe auf Unternehmen kritischer Infrastrukturen (KRITIS) gehören schon fast zum Alltag. Immer wieder werden Meldungen laut, dass sich Angreifer über Schwachstellen in IT-Systemen Zugang zu Netzwerken verschaffen. So können sie beispielsweise Kundendaten klauen und das Unternehmen damit erpressen oder sich schlimmstenfalls sogar Zugriff auf OT-Systeme (Operational Technology) verschaffen. Letzteres ist besonders fatal. Denn wenn Angreifer die Kontrolle etwa über Netzleit- und Netzführungssystems oder Kraftwerks-Leitsysteme von Energieversorgen übernehmen, können sie theoretisch die Stromversorgung für ganze Regionen kappen.
Solchen Szenarien vorzubeugen ist das Ziel der Cyber Resilience. Sie beschreibt die Fähigkeit eines Unternehmens, trotz eines Cyber-Vorfalls geschäftsfähig zu bleiben. Das geht über den reinen Schutz von IT-Netzwerken und -Systemen hinaus. Vielmehr ist es das Ziel, Sicherheit aus den Geschäftsprozessen heraus zu schaffen, statt sie zu verbarrikadieren.
Notwendig dafür ist eine fortschrittliche Technologie. Aber auch die Bereiche „Menschen und Kultur“ sowie „Prozesse und Organisation“ entscheiden über den Erfolg eines Cyber-Resilience-Konzeptes. Verantwortlichkeiten beispielsweise müssen klar und eindeutig festgelegt sein. So zeigt der Frost & Sullivan-Report, dass fast alle hochresilienten Unternehmen (95 Prozent) die Verantwortung eines digitalen Assets bei seinem Owner ansiedeln, etwa einer Einzelperson oder einer Abteilung. Mit solch etablierten Vorgehensweisen und Best Practices lassen sich Sicherheitslücken schneller schließen und eventuelle Schäden beheben.
Geschäftsprozesse unter die Lupe nehmen
In punkto Sicherheit ist ein grundlegendes Verständnis der Geschäftsprozesse und ein Bewusstsein dafür, welches die geschäftskritischen digitalen Ressourcen im Unternehmen sind, wichtiger als Umsatzstärke oder ein hohes IT-Budget. Gerade bei knappen IT-Budgets kommt es darauf an, die zur Verfügung stehenden Mittel auf die wichtigsten Assets zu konzentrieren.
Oftmals geht es um Entscheidungen, die nur Führungskräfte treffen können, denn sie müssen Risiken gegen Kosten abwägen. Cyber Resilience muss daher auf Management-Ebene angesiedelt sein. In 97 Prozent der hochresilienten Unternehmen wird Cyber Security regelmäßig in Senior Management Meetings besprochen. So schaffen sie innerhalb des Managements und der Belegschaft ein Bewusstsein für die kritischen Geschäftsprozesse und Assets und verankern Cyber-Resilienz in der Unternehmenskultur.
Sich dem Unvermeidlichen fügen
Technische wie auch organisatorische Schwachstellen gilt es, mit geeigneten Maßnahmen wie einer leistungsfähigen Schwachstellen-Management-Lösung zu mindern oder zu schließen. Doch trotz bester Security-Maßnahmen gibt es keine hundertprozentige Sicherheit. Wie die Frost & Sullivan-Studie zeigt, sind sich Unternehmen zunehmend bewusst, dass Cyber-Angriffe unvermeidlich sind. Die Fähigkeit, sie zu verhindern, spielt daher eine eher untergeordnete Rolle auf dem Weg zur Resilienz. Als wichtiger erachten die Befragten die Fähigkeit, auf Cyber-Attacken zu reagieren (81 Prozent), ihre Auswirkungen auf kritische Geschäftsprozesse zu mindern (79 Prozent) und identifizierte Schwachstellen zu schließen (78 Prozent). Cyber Resilience bedeutet also nicht nur, Hacker-Angriffe abzuwehren, sondern auch im Falle einer Attacke schnell gegenzusteuern, um trotzdem die gesetzten Geschäftsziele erreichen zu können.
Über den Tellerrand schauen
Cyber Resilience endet nicht an den Grenzen des eigenen Hauses. Vielmehr müssen Unternehmen an alle Beteiligten denken, mit denen sie vernetzt sind oder zu denen es Abhängigkeiten gibt, zum Beispiel Lieferanten, Kunden oder Regulierungsbehörden. Auch die nötige Security-Expertise kann nicht nur aus den eigenen Reihen kommen. Beim Aufsetzen einer Security-Strategie helfen spezialisierte Dienstleister, die einen ungetrübten Blick von außen auf das Unternehmen und sein Netzwerk werfen.
Die meisten Unternehmen in den fünf größten Volkswirtschaften der Welt befinden sich noch am Anfang ihres Weges zu hoher Cyber Resilience. Nur wenn sie die Dimensionen „Technologie und Infrastruktur“, „Menschen und Kultur“ sowie „Organisation und Prozesse“ in einem umfassenden Konzept berücksichtigen, können sie ihr Ziel erreichen. Die Unternehmensgröße ist dabei irrelevant. Denn auch in vielen kleineren und mittelständischen Organisationen, den sogenannten „Hidden Champions“, lohnen sich Industriespionage und Datendiebstahl. Die Fähigkeit, sich auf solche Vorfälle einzustellen, schnell handeln zu können und betriebsfähig zu bleiben, wird daher für Unternehmen aller Größen zu einem entscheidenden Wettbewerbsfaktor.
Über die Greenbone-Studie
Wie können Unternehmen Cyber-Resilienz umsetzen und was zeichnet Unternehmen aus, die bereits besonders widerstandsfähig gegen Cyber-Angriffe sind? Diesen Fragen ist Greenbone mit einer großangelegten globalen Studie in Zusammenarbeit mit dem Marktforschungsunternehmen Frost & Sullivan auf den Grund gegangen. Befragt wurden 370 Unternehmen in den USA, Japan, Deutschland, Frankreich und Großbritannien. Sie stammen aus den sechs KRITIS-Sektoren Energie, Finanzen, Gesundheit, Telekommunikation, Transport und Wasser.