Cyberresilienz

Security ist mehr als die Abwehr von Cyberkriminellen

Hacker bekämpfen und blockieren – für viele Unternehmen ist das IT-Security. Doch eine echte Cyberresilienz benötigt mehr. Wir zeigen Ihnen fünf Bausteine hierfür.
Von 
CSO | 16. November 2021 05:40 Uhr

70 Prozent der deutschen Unternehmen waren bereits, so die IDC-Studie "Cybersecurity in Deutschland" Opfer einer Ransomwareattacke. Dabei verloren 41 Prozent ihre Daten. Dennoch halten sich 66 Prozent der deutschen Unternehmen für gut gerüstet gegen Cyberangriffe. Ein gefährlicher Trugschluss, denn um wirklich einen voll umfänglichen Schutz - also eine Cyberresilienz - zu erreichen müssen die Unternehmen mehr tun, als lediglich Hacker abzuwehren.

Cyberresiliente Unternehmen können selbst bei einem Angriff weiterhin wichtige Dienste bereitstellen.
Cyberresiliente Unternehmen können selbst bei einem Angriff weiterhin wichtige Dienste bereitstellen.
Foto: Billion Photos - shutterstock.com

Und hier hapert es in den Augen des Security-Herstellers Palo Alto bei den Unternehmen, denn viele Führungskräfte hätten noch nicht verstanden, wie wichtig Cyberresilienz für das Business ist. Zudem fehle hierzu häufig das Wissen.

Was ist Cyberresilienz?

Cyberresilienz bedeutet, dass Unternehmen widerstandsfähig gegen Angriffe sind, die auf die Sicherheit ihrer IT-Systeme abzielen. Während herkömmliche Sicherheitsmaßnahmen sich in der Regel nur auf das Blockieren und Bekämpfen von Bedrohungen beschränken, werden bei diesem Sicherheitsansatz auch geschäftliche Ziele mit einbezogen. "Resiliente, also widerstandsfähige Unternehmen können selbst bei einem Cybersicherheitsvorfall weiterhin wichtige Dienste bereitstellen, da sie einen taktischen Plan für den Betrieb in einem beeinträchtigten Zustand haben", fasst der Security-Experte zusammen.

Fünf Bausteine der Cyberresilienz

Im Vorfeld sollten Unternehmen ein spezielles Cyberresilienz-Framework durchführen, um den aktuellen Stand zu ermitteln. Im Gegensatz zur herkömmlichen Bewertung des Cybersicherheitsrisikos, wird dabei ein zusätzlicher Schwerpunkt auf die betrieblichen Anforderungen und Business-Prozesse gelegt. "Es ist wichtig, ein Framework zu wählen, das resilienzspezifische Techniken, Schutzmaßnahmen und Prozesse wie Service Continuity Management, Situationsbewusstsein und Management externer Abhängigkeiten umfasst", betont der Anbieter für IT-Sicherheit.

Um Cyberresilienz zu erreichen, empfiehlt der Security-Hersteller folgende Aspekte zu beachten:

  • Angriffsfläche verstehen: Unternehmen sollten sicherstellen, dass die Angriffsfläche, einschließlich der Vermögenswerte und Daten, genau überwacht wird. Darüber hinaus ist es wichtig, die Auswirkungen zu berücksichtigen, die sich aus der Nutzung von "Schatten-IT" oder cloudbasierten Anwendungen ergeben. Dazu sollten geeignete Tools oder Konfigurationen eingesetzt werden, um die Verwendung von nicht autorisierter Software, Hardware oder Anwendungen so weit wie möglich einzuschränken. Die "Kronjuwelen", d.h. kritische Geschäfts- und Dienstinfrastrukturen, gilt es zu identifizieren, verwalten, überwachen, schützen, priorisieren und warten. So können beispielsweise kleine Schritte wie die Nutzung einer Access Control List (ACL), die Deaktivierung überflüssiger Systemfunktionen und die Anwendung des Prinzips der geringsten Privilegien das Risiko von Angriffen erheblich verringern.

  • Stresstest für die Kronjuwelen: Es ist unabdingbar, kritische Infrastrukturen, Dienste, Fähigkeiten und organisatorische Abhängigkeiten regelmäßig einem "Stresstest" zu unterziehen. Diese können aus komplexen Szenarien für das Eindringen in Netzwerke, technischen Tests und kontrolliertem Einsatz von Bedrohungen in den kritischsten Bereichen einer Organisation bestehen. Unternehmen sollten zudem taktische Übungen durchführen, die speziell auf die kritischen Anlagen abzielen und die Verteidigungsfähigkeiten und -kontrollen aushöhlen. Dies kann durch "Purple Teaming" erreicht werden. Dabei werden offensive Taktiken und Techniken strategisch eingesetzt, um den Erfolg der eigenen defensiven Cybersicherheitsmaßnahmen zu testen. Weiterhin wird aufgezeigt, wie schwache oder unzureichend funktionierende Defensivkontrollen verbessert werden können. Darüber hinaus sollten zielgerichtete "Lessons Learned"-Sessions mit spezifischen Projekte, Initiativen oder Maßnahmen zur kontinuierlichen Verbesserung folgen.

  • Alternative Servicebereitstellung praktizieren: Die meisten Unternehmen sind der Meinung, dass sie über einen Backup-Plan für die Servicebereitstellung verfügen. Dies können ein alternativer Geschäftsstandort, gewartete Netzwerk-Backups oder Prozesse zur Auslagerung von Serviceaufgaben an einen Partner oder Dritten sein. Die meisten Unternehmen haben jedoch keine Ahnung, wie sie einen Plan zur alternativen Servicebereitstellung tatsächlich umsetzen sollen. Sie sind sich nicht einmal sicher, wie sie eine vollständige Wiederherstellung des Netzwerks mit Hilfe von Backups bewerkstelligen würden - oder ob sie es überhaupt könnten. Viele Pläne zur alternativen Servicebereitstellung klingen in der Theorie gut, sind aber in der Praxis nicht so effektiv und effizient, oder schlicht nicht realisierbar.

    Für Unternehmen ist es deshalb wichtig, alternative Wege und Prozesse zur Bereitstellung kritischer Dienste zu ermitteln, regelmäßig zu testen und kontinuierlich zu verbessern. Indem sie sicherstellen, dass alternative Pläne zur Bereitstellung von Diensten wie gut geölte Maschinen funktionieren, können sie schnell umschwenken, wenn Kernressourcen während eines Zwischenfalls nicht verfügbar sind, und so Geschäftsunterbrechungen und damit verbundene Kosten minimieren. Diese Übungen sind zwar in der Regel sehr planungsintensiv und manchmal auch kostspielig, aber Unternehmen, die von Ransomware oder einer anderen Cyberbedrohung betroffen sind, sparen wertvolle Zeit und Geld, wenn sie dafür sorgen, dass die alternativen Bereitstellungspläne genau abgestimmt und erprobt sind.

  • Krisenkommunikation vorbereiten: Unter welchen Umständen würden Sie ein Lösegeld zahlen? Wie können Sie das Vertrauen Ihrer Kunden aufrechterhalten, wenn die Medien Gerüchten verbreiten und Ihr Aktienkurs sinkt? Was passiert, wenn Ihr CISO bei der Entdeckung eines Vorfalls außer Gefecht gesetzt ist? Wen rufen Sie an, um zu verhindern, dass sich ein aktiver Vorfall wie ein Lauffeuer ausbreitet? Es ist wichtig, dass sich die Unternehmensführung über die Antworten auf diese und ähnliche Fragen einig ist und dies bereits im Vorfeld eines Cyberangriffs geklärt hat. Die Führungskräfte sollten ferner sicherstellen, dass die Entscheidungsbäume formell definiert und mit den wichtigsten Interessengruppen abgestimmt sind. Bei personellen Veränderungen sollten diese Entscheidungsbäume überprüft und gegebenenfalls aktualisiert werden. Das Klären dieser Fragen im Vorfeld spart im Fall der Fälle wertvolle Zeit und ermöglicht es Unternehmen, sich auf das Wesentliche zu konzentrieren: die Aufrechterhaltung wichtiger Abläufe und die Wiederherstellung des Normalzustands.

  • Cyberresilienz in der Vorstandsetage: Es ist typisch, dass das Thema Cybersicherheit bei Vorstands- oder Geschäftsführungssitzungen nicht auf der Tagesordnung steht. Verantwortliche scheuen sich davor, geschäftsorientierte Führungskräfte mit Kennzahlen zum Sicherheitsbetrieb, Informationen über neue Risiken oder Bedrohungen und Berichten über den Status von Tools und Technologien zu überfrachten, weil sie fürchten, dass diese Daten zu technisch sind. Robuste Unternehmen sind jedoch bestrebt, das Thema Sicherheit in ihrer gesamten Belegschaft zu verbreiten - auch in den höchsten Führungsetagen.

    Erkenntnisse und Datenpunkte aus dem Cyberspace gilt es mit wichtigen Leistungsindikatoren (KPIs) und Sicherheitsmetriken zu korrelieren, diese sind in der Vorstandsetage bekannt zu machen. "Aussagekräftige" Metriken sind nicht unbedingt gleichbedeutend mit "hochtechnischen" Metriken. Dies ist ein guter Ausgangspunkt, um aussagekräftige Metriken zu entwickeln, die zeigen, welche Rolle die Cybersicherheit für den Erfolg des Unternehmens spielt. Diese Metriken können als Grundlage für datengestützte Entscheidungen in Bezug auf Geschäftsinvestitionen, Ressourcen, strategische Fahrpläne und Budgetzuweisung dienen.

Fazit

Eine echte Cyberresilienz erfordert eine Veränderung der Unternehmenskultur und sollte ein Thema sein, das häufig mit dem Vorstand oder den leitenden Angestellten besprochen wird. In einer zunehmend digitalen Welt ist es nach Auffassung von Alto Networks unerlässlich, dass Führungskräfte mit den Fakten und Kenntnissen ausgestattet sind, die erforderlich sind, um Cybersicherheitsrisiken, Abhängigkeiten und geschäftliche Erwägungen erfolgreich zu kombinieren. (jm)

Julia Mutzbauer ist  Editor bei CSO. Ihr Schwerpunkt ist Security.