Angesichts der wachsenden Zahl an Schwachstellen und der zunehmenden Komplexität von Cyberattacken ist nicht mehr die Frage, ob Ihr Unternehmen attackiert wird, sondern eher wann ... Und ob es bei einem Angriff in der Lage sein wird, seinen Betrieb ohne Schwierigkeiten fortzusetzen. Genau darin besteht die Cyberresilienz. Diese wollen wir hier genauer erläutern.
Erkennen Sie die Anfälligkeit des Cyberspace an …
In den vergangenen zwanzig Jahren haben wir viel über Cybersicherheit gesprochen und darüber, wie wir Unternehmensvermögen und -anlagen im Cyberspace schützen können.
Seitdem hat sich der Cyberspace stark verändert. Das Internet ist immer schneller immer demokratischer geworden und die Digitalisierung ist in alle Unternehmen vorgedrungen. Aufgrund ihrer Abhängigkeit von mehreren Dienstleistern sind Unternehmen heute einem höheren systemischen Risiko ausgesetzt.
Jeden Tag werden neue Schwachstellen aufgedeckt, die dieses Ökosystem immer anfälliger für (Cyber-)Attacken machen. Alle Schwachstellen umfassend zu überwachen ist personell und finanziell zu kostenaufwendig. Ist die Cyberattacke also unausweichlich? Wir stehen kurz vor einem Paradigmenwechsel hin zur Cyberresilienz.
… und versuchen Sie, sie zu beheben
Der Ansatz der Resilienz ist weit davon entfernt, fatalistisch zu sein, sondern zielt darauf ab, die Auswirkungen eines Cyberangriffs auf den Betrieb des Unternehmens zu minimieren. Die Cybersicherheit bleibt dabei eine wesentliche Säule, wird aber in einen echten systemischen Ansatz integriert, nämlich den der Cyberresilienz. Es geht darum, nach einem Ausfall, einer Fehlfunktion oder einer Attacke die Fortführung der Geschäftstätigkeit des Unternehmens sicherzustellen, und sollte dies in einem eingeschränkten Modus sein. Die Geschäftskontinuität wird durch fünf Säulen gewährleistet: Identifizierung, Schutz, Erkennung, Reaktion und Wiederherstellung.
Die ersten Schritte eines Unternehmens für Cyberresilienz
Cyberresilienz gelingt nicht über Nacht. Zuerst muss im Unternehmen die Tatsache kommuniziert und akzeptiert werden, dass eine digitale Krisensituation unvermeidlich ist. Dieses Verständnis der Umgebung ist insbesondere auf Ebene der Geschäftsführung wichtig, da bei ihr die Verantwortung liegt, die notwendigen Ressourcen für die Umsetzung der Cyberresilienz bereitzustellen. Zusätzlich zu den Basismaßnahmen (zum Beispiel Durchführung regelmäßiger Datensicherungen und deren Speicherung in einer Umgebung, die nicht mit dem Unternehmensnetzwerk verbunden ist) sind weitere Schritte zu verfolgen.
> Überprüfen Sie die Einhaltung der Vorschriften
Als Ausgangspunkt sollten Sie die Einhaltung der Vorschriften Ihres Unternehmens prüfen und den bestehenden Geschäftskontinuitätsplan für Cyberattacken stärken.
Bitte denken Sie daran, dass es sich hierbei um keinen einmaligen Prozess handelt: Die Mechanismen der Cyberresilienz müssen regelmäßig aktualisiert und getestet werden. Auf der einen Seite verändern sich die Bedrohungen und auf der anderen Seite die Unternehmen: Ein neues Geschäftsprojekt kann zum Beispiel das Risiko für einen Cyberangriff erhöhen und, wenn diese Gefahr nicht rechtzeitig erkannt wird, die Mechanismen der Cyberresilienz aufheben.
> Berücksichtigen Sie die menschliche Komponente
Die menschliche Komponente ist entscheidend. Sie können sich nicht nur darauf verlassen, dass die automatisierten Prozesse und technischen Security-by-Design-Maßnahmen greifen. Ihr Unternehmen muss sich auch auf seine reaktionsschnellen Teams verlassen können, die ein Bewusstsein für das Thema Cybersicherheit haben. Versuchen Sie zu verhindern, dass das Arbeiten auf Papier neu erlernt werden muss!
> Stärken Sie Ihre Partner
Sie müssen sich zudem auf die richtigen Partner verlassen können, die ebenfalls auf die Gefahren im digitalen Ökosystem aufmerksam gemacht werden müssen. Oder noch besser, nehmen Sie sie in die Verantwortung: Im Sinne der Datenschutzgrundverordnung (DSGVO) wäre eine Idee, die Aufteilung der Verantwortlichkeiten bezüglich der Cyberresilienz mit Ihren Zulieferern vertraglich festzulegen.
> Fördern Sie den Informationsaustausch
Und schließlich sollten Sie festlegen, wie Sie im Falle eines Cyberangriffs über die gesetzliche Verpflichtung hinaus kommunizieren wollen. Dabei geht es nicht nur darum, die Nachrichten der Experten zu verfolgen (ANSSI, CERT usw.), sondern auch um den Austausch mit den Kollegen. Sprechen Sie mit Ihren Partnern und Mitarbeitern, Ihren Investoren und sogar mit Ihren Kunden über diese Themen, denn so bauen Sie Vertrauen auf. Wenn Sie sich heute als Unternehmen vorbereiten und in Cybersicherheit und Ihre eigene Cyberresilienz investieren, stellt dies ein echter Mehrwert für alle dar.
Wie bei allen Prozessen im Krisenmanagement muss Cyberresilienz geschaffen werden, bevor es zu einem Vorfall kommt, den sie überwinden soll. Im Einklang mit unserer digitalen Welt, in der täglich mehr Daten ausgetauscht werden, basiert diese neue Perspektive auf einem systemischen Ansatz, der das allgemeine Bewusstsein, den Informationsaustausch zwischen den Akteuren und die Auswahl der richtigen Tools für Cybersicherheit als erste unerlässliche Schutzschicht umfasst.