Die Frage ist nicht ob, sondern wann…

26 September, 2014

Angreifer haben es auf Ihre Informationen abgesehen, und sie werden alles daran setzen, an diese zu gelangen. Cyber-Resilience ist Ihr Rettungsschirm, wenn Ihre Cyber-Security versagen sollte.

Mit dem rasant steigenden Vernetzungsgrad der Informationsgesellschaft sind zahlreiche neue Geschäftsmodelle entstanden. Auch bislang traditionell arbeitende Branchen sind in zunehmendem Maße von den Informationstechnologien abhängig. "Neben all den strategischen und operativen Möglichkeiten, die mit der Vernetzung verbunden sind, muss man auch die Risiken neu bewerten und im Blick haben", sagt Derk Fischer, Experte für Cyber-Resilience und Cyber-Security bei PwC. Das Spektrum der bestehenden Bedrohungen ist vielfältig. Es reicht von einfachem technischen Versagen bis hin zu den ausgefeilten Hackermethoden staatlicher Dienste oder der organisierten Kriminalität.

Noch nie verfügten Angreifer dabei über eine solche Fülle an technischen Möglichkeiten wie heute, um an die Informationen ihrer Opfer zu gelangen. Die Zahl der Angriffsvektoren steigt stetig an. Mit jeder neuen Software, jeder neuen Technologie, die Unternehmen einsetzen, kommen weitere hinzu. „Erfahrungsgemäß ist die Frage nicht ob, sondern wann einer der vielen täglichen Angreifer erfolgreich ist“, betont PwC-Experte Gerrit Aufderheide.

Cyber-Security reicht nicht mehr aus

Zum Schutz vor entsprechenden Bedrohungen ist eine gute Cyber-Security nach wie vor die wichtigste Verteidigungslinie. „Eine gute Vorbereitung in diesem Bereich ist heutzutage für alle Unternehmen Pflicht“, betont Fischer.

Doch Cyber-Security allein reicht nicht aus, um dem Bedrohungspotential der Gegenwart angemessen entgegenzutreten. Zwar lässt sich bei einer guten Aufstellung in diesem Bereich bereits eine Vielzahl der im Netz verbreiteten Angriffe abwehren, aber gegen individualisierte Angriffe wird auch eine gute Perimeter-Defensive kaum Schutz bieten können. Die Zahl der möglichen Angriffsvektoren ist einfach zu groß, um sich gegen alle abzusichern.

Durch Cyber-Resilience lässt sich die Kontrolle zurückgewinnen

Als Cyber-Resilience versteht man in diesem Zusammenhang die Widerstandskraft eines Unternehmens gegen Angriffe auf die Informationssicherheit. Dabei beinhaltet der Begriff auch die Cyber-Security, geht aber noch weit über diese hinaus.

Voraussetzung für eine cyber-resiliente Organisation ist zunächst einmal, dass die Geschäftsführung des jeweiligen Unternehmens das Thema Informationssicherheit ernst nimmt. Denn nur so kann eine ausreichende Priorisierung der Thematik im gesamten Unternehmen erreicht werden.

Zudem muss Informationssicherheit als Bestandteil aller Unternehmensprozesse und somit als Längsschnittfunktion verstanden werden. Alle Mitarbeiter müssen sich daher der bestehenden Bedrohungen permanent bewusst sein und sicheres Verhalten verinnerlicht haben. Nur so kann erreicht werden, dass Mitarbeiter Bedrohungen rechtzeitig erkennen und angemessen darauf reagieren.

Eine Kernvoraussetzung ist die bereits flächendeckende Einrichtung und Umsetzung von Cyber-Security-Maßnahmen und -Prozessen als Sockel, um einen Großteil der bekannten Bedrohungen abwehren zu können und somit das Sicherheitsniveau insgesamt zu steigern. Einen Schwerpunkt sollten dabei proaktive Maßnahmen bilden und solche, die der Erkennung von Angriffen dienen. Nur dann kann auch schnell auf Angriffe reagiert werden. Zuletzt müssen die technischen Möglichkeiten für die Wiederherstellung der Arbeitsfähigkeit aufgebaut und bereit gehalten werden, um auch die Folgen eines erfolgreichen Angriffs schnell und effizient minimieren zu können.

Der Weg von Cyber-Security zu Cyber-Resilience

Sofern ein Unternehmen bereits über eine gute Cyber-Security verfügt, ist die Weiterentwicklung hin zu einem cyber-resilienten Unternehmen in der Regel gut zu bewältigen.

Dabei sollten sich Unternehmen auf die folgenden acht Punkte konzentrieren:
 

 

  1. Verantwortung: Cyber-Resilience-Programme sollten von der Geschäftsführung verantwortet und getrieben werden.
  2. Interdisziplinarität: Das Management von Cyber-Risiken sollte einem starken interdisziplinären Team obliegen, um bereits vorhandene Ressourcen zu erkennen und zu nutzen.
  3. Controlling: Das Cyber-Risiko-Portfolio sollte regelmäßig überprüft und angepasst werden.
  4. Bedrohungsgetrieben: Das Programm sollte bedrohungsgetrieben sein und von einem durchgehend bestehenden Gefährdungspotential ausgehen.
  5. Realistisches Krisenmanagement: Cyber-Krisenmanagement muss anhand realistischer Szenarien trainiert werden.
  6. Vorbereitung im Unternehmen: Cyber-Krisenreaktionsprozesse sind mit allen Unternehmensbereichen abzustimmen und zu verbessern.
  7. Aktualität: Die Bedrohungslandschaft muss regelmäßig analysiert werden, um eine realistische Einschätzung der Bedrohungssituation zu gewinnen.
  8. Austausch: Die eigene Cyber-Resilience sollte durch den Austausch über Bedrohungen mit anderen Stakeholdern gestärkt werden.

Um diese Punkte optimal zusammen wirken zu lassen, sollten Unternehmen ein umfassendes Cyber-Resilience-Programm aufsetzen. Nach der Erfahrung von PwC verfügen viele Unternehmen bereits über Teile eines solchen Programmes. Ziel eines solchen Ansatzes ist es somit, die einzelnen Bereiche und Prozesse enger zu verzahnen, um den angestrebten Wirkungsgrad zu erreichen und bestehende Lücken aufzuzeigen.

Der Weg zur Cyber-Resilience ist daher oft kürzer als erwartet und kann so Ihre Widerstandskraft gegenüber Cyber-Angriffen durch vergleichsweise geringen Aufwand deutlich steigern.

Contact us

Derk Fischer

Partner, Cyber Security

Tel.: +49 211 981-2192

Gerrit Aufderheide

Tel.: +49 30 2636-3998

Follow us