5 Mythen über Cyber Resilience

Anzeige

Angesichts der wachsenden Bedrohung durch Cyberangriffe wird Cyber Resilience für Unternehmen immer wichtiger. Erst 36 Prozent der Unternehmen haben bisher allerdings ein hohes Resilienz-Level erreicht – so eine aktuelle Studie von Frost & Sullivan und Greenbone Networks. Ist Cyber Resilience nur etwas für große Unternehmen mit hohen IT-Budgets? Elmar Geese, COO bei Greenbone, räumt mit den häufigsten Mythen auf.

 

Erstmals sind Cybervorfälle im aktuellen Allianz Risk Barometer zum weltweit wichtigsten Geschäftsrisiko aufgestiegen [1]. Sie verdrängten damit den langjährigen Spitzenreiter, die Betriebsunterbrechung, von Platz eins – beide Risikofaktoren sind eng miteinander verknüpft. Unternehmen sehen sich mit immer raffinierteren Angriffen und teureren Datenskandalen konfrontiert. So kostet ein schwerer Datendiebstahl laut dem Ponemon Institute heute durchschnittlich 42 Millionen Dollar und damit acht Prozent mehr als im Vorjahr. Viele Unternehmen versuchen daher, Cyber-resilient zu werden. Laut einer Studie von Frost & Sullivan und Greenbone Networks haben allerdings erst 36 Prozent der Organisationen in sechs Schlüsselindustrien in Deutschland, Frankreich, Großbritannien, den USA und Japan ein hohes Level an Cyber Resilience erreicht. Häufig herrscht noch Unklarheit, was sich hinter diesem Konzept eigentlich verbirgt und welche Faktoren und Fähigkeiten entscheidend sind. Lesen Sie im Folgenden die fünf häufigsten Mythen.

Mythos Nr. 1: Cyber Resilience ist ein reines Technologie-Thema

Cyber Resilience beschreibt die Fähigkeit eines Unternehmens, trotz eines Cybervorfalls geschäftsfähig zu bleiben, und geht über den reinen Schutz von IT-Netzwerken und -Systemen hinaus. Der Ansatz besteht darin, Sicherheit aus den Geschäftsprozessen heraus zu schaffen, statt einen Schutzwall um sie herum zu bauen. Technologie ist daher nur ein Aspekt. Genauso wichtig sind Menschen und Kultur sowie Prozesse und Organisation. Eine entscheidende Rolle spielt zum Beispiel die Art und Weise, wie ein Unternehmen Prozesse gestaltet und Mitarbeiter einbezieht. Verantwortlichkeiten müssen klar und eindeutig festgelegt sein. So zeigt der Frost & Sullivan-Report, dass fast alle hochresilienten Unternehmen (95 Prozent) der Best Practice folgen, die Verantwortung eines digitalen Assets bei seinem Owner anzusiedeln, etwa einer Einzelperson oder einer Abteilung. Außerdem kristallisierten sich in der Studie die folgenden Kernkompetenzen heraus: Die Fähigkeit, kritische Vermögenswerte jedes kritischen Geschäftsprozesses zu identifizieren, die potenziell durch einen Cyberangriff beeinträchtigt werden können (97 % der hochresilienten Unternehmen). Und die Fähigkeit, identifizierte Schwachstellen zu mindern und zu beheben (94 Prozent der hochresilienten Unternehmen) – das schließt sowohl technische als auch organisatorische Schwachstellen ein.

Mythos Nr. 2: Widerstandsfähigkeit gegen Cyberangriffe ist eine Frage des Budgets

Die Studie zeigt zwar, dass hochresiliente Unternehmen im Durchschnitt einen größeren Umsatz und ein höheres IT-Budget haben als weniger resiliente. Bei genauerer Betrachtung wird jedoch deutlich, dass es keinen Zusammenhang zwischen der Höhe der IT-Ausgaben und dem erreichten Cyber-Resilience-Level gibt. Wichtiger ist vielmehr ein grundlegendes Verständnis der Geschäftsprozesse und ein Bewusstsein dafür, welches die geschäftskritischen digitalen Ressourcen im Unternehmen sind. Gerade bei knappen IT-Budgets kommt es darauf an, die zur Verfügung stehenden Mittel auf die wichtigsten Assets zu konzentrieren. Hier geht es häufig um Entscheidungen, die nur Führungskräfte treffen können, denn sie müssen Risiken gegen Kosten abwägen. Cyber Resilience muss daher auf Management-Ebene angesiedelt sein. In 97 Prozent der hochresilienten Unternehmen wird Cyber Security regelmäßig in Senior-Management-Meetings besprochen.

Mythos Nr. 3: Cyber Resilience schließt Systemausfälle aus

Auch mit den besten Security-Maßnahmen wird es nie hundertprozentige Sicherheit geben. Cyber Resilience bedeutet daher nicht nur, Hackerangriffe so gut es geht abzuwehren, sondern auch im Falle einer Attacke schnell gegenzusteuern und trotzdem die gesetzten Geschäftsziele erreichen zu können. Wie die Frost & Sullivan-Studie zeigt, sind sich Unternehmen zunehmend bewusst, dass Cyberangriffe unvermeidlich sind. Die Fähigkeit, sie zu verhindern, spielt daher eine eher untergeordnete Rolle auf dem Weg zur Resilienz. Als wichtiger erachten die Befragten die Fähigkeit, auf Cyberattacken zu reagieren (81 Prozent), ihre Auswirkungen auf kritische Geschäftsprozesse zu mindern (79 Prozent) und identifizierte Schwachstellen zu schließen (78 Prozent).

Mythos Nr. 4: Cyber Resilience ist auf das eigene Unternehmen begrenzt

Da Cyber Resilience auf die Geschäftsziele fokussiert und von der Prozessseite her gedacht werden muss, endet sie nicht an den Grenzen des eigenen Hauses. Vielmehr müssen Unternehmen auch an alle Beteiligten denken, mit denen sie vernetzt sind oder zu denen es Abhängigkeiten gibt, zum Beispiel Lieferanten, Kunden, Mitbewerber oder Regulierungsbehörden. Wie wichtig es ist, eine breitere »Nachbarschaft« zu berücksichtigen, zeigt das Beispiel des Energiesektors. Kommt es hier an einer Stelle im Gefüge zu Ausfällen, zieht das eine ganze Kaskade von Problemen nach sich, denn ohne Strom funktioniert in unserer heutigen Gesellschaft nahezu nichts mehr.

Mythos Nr. 5: Cyber-Resilience-Konzepte sind nur etwas für große Organisationen

Es wäre fatal zu glauben, dass nur große Unternehmen von Cyberangriffen betroffen sind. Schon längst haben Hacker auch kleinere und mittelständische Organisationen als attraktives Ziel entdeckt. Denn gerade hier gibt es oft viele Hidden Champions, bei denen sich Industriespionage und Datendiebstahl lohnen. Zudem sind KMUs häufig schlechter geschützt als große Unternehmen und damit ein leichteres Opfer. Laut einer aktuellen Bitkom-Studie waren 2019 mindestens 75 Prozent aller deutschen Unternehmen von Cyberangriffen betroffen [2]. Besonders bei den kleineren Betrieben mit 10 bis 99 Mitarbeitern stieg die Zahl im Vergleich zu 2017 deutlich an. Die Fähigkeit, sich auf solche Vorfälle einzustellen, schnell handeln zu können und betriebsfähig zu bleiben, wird daher für Unternehmen aller Größen zu einem entscheidenden Wettbewerbsfaktor.

Fazit: Der Weg ist weit, aber machbar!

Die meisten Unternehmen in den fünf größten Volkswirtschaften der Welt befinden sich noch am Anfang auf ihrem Weg zu hoher Cyber Resilience. Es gibt also noch viel zu tun. Nur indem Unternehmen alle drei Dimensionen »Technologie und Infrastruktur«, »Menschen und Kultur« sowie »Organisation und Prozesse« in einem umfassenden Konzept berücksichtigen, können sie ihr Ziel erreichen. Cyber Resilience ist keine reine Frage der Technik, des IT-Budgets oder der Unternehmensgröße und darf nicht an den Grenzen des eigenen Hauses aufhören. Wer auf seine geschäftskritischen Prozesse und Assets fokussiert, Schlüsselfähigkeiten erwirbt und sich an Best Practices orientiert, macht einen großen Schritt nach vorn.

Den vollständigen Studien-Report können Sie unter folgendem Link anfordern: https://www.greenbone.net/businessrisk/

[1] https://ap-verlag.de/cybervorfaelle-sind-erstmals-das-wichtigste-geschaeftsrisiko-fuer-unternehmen-weltweit/58236/
https://ap-verlag.de/allianz-risk-barometer-2018-angst-vor-betriebsunterbrechung-und-cybervorfaellen-bei-deutschen-unternehmen-gestiegen/41315/
[2] https://ap-verlag.de/automatisierte-cybersicherheit-beste-antwort-auf-verschaerfte-bedrohungslage/56917/

 

78 Artikel zu „Cyber Resilience“

Cyber Resilience im Energiesektor: In fünf Schritten zur widerstandsfähigen IT-Infrastruktur

Energieversorger werden immer häufiger zum Ziel von Hackerangriffen. Sind diese erfolgreich, können große Bereiche des gesellschaftlichen Lebens zusammenbrechen. Als kritische Infrastruktur (KRITIS) ist der Energiesektor daher gesetzlich dazu verpflichtet, sich besonders gut zu schützen. Diese Herausforderung lässt sich sukzessive mit Sustainable Cyber Resilience meistern.   Dirk Schrader, CISSP, CISM, ISO/IEC 27001 Practitioner bei Greenbone Networks…

Digitale Transformation und Cyberresilienz im Unternehmen: Wo stehen wir?

Die digitale Transformation, die mittlerweile als unerlässlich für die Gewährleistung von Geschäftskontinuität, Wettbewerbsfähigkeit und Unternehmenswachstum gilt, ist seit mehreren Jahren ein Schwerpunkt für Unternehmen. Infolgedessen könnte man annehmen, dass diese Entwicklung der Organisationen und ihrer Arbeitsweise heute im gesamten wirtschaftlichen und institutionellen Gefüge, unabhängig vom Land, weit verbreitet ist. Aber ist dies wirklich der Fall?…

Automatisierte und ständig neue Angriffsmethoden lassen die Zahl der Cyberattacken in die Höhe schnellen

Der Technologiesektor löst zum ersten Mal den Finanzbereich an der Spitze der am stärksten angegriffenen Branchen ab, gleichzeitig nutzen Cyberkriminelle die Covid-19-Pandemie für ihre Aktivitäten aus.   NTT Ltd., ein Technologie-Dienstleister, hat seinen 2020 Global Threat Intelligence Report (GTIR) veröffentlicht. Der neue GTIR zeigt, dass die Angreifer trotz aller Anstrengungen von Unternehmen und Organisationen, ihre…

Auf dem Weg zu mehr Cyberresilienz: Was machen resiliente Unternehmen anders?

Erst 36 Prozent der KRITIS-Unternehmen in den fünf größten Volkswirtschaften der Welt haben ein hohes Level an Cyberresilienz erreicht. Das ist das Ergebnis einer Studie von Greenbone Networks. Was zeichnet diese Unternehmen aus? Und was können wir von ihnen lernen? Cyberresilienz ist die Fähigkeit, trotz eines erfolgreichen Cyberangriffs die Produktivität aufrechtzuerhalten und die Geschäftsziele zu…

Wenn Cyberkriminelle ihre Köder auswerfen: Security-Grundlagen gegen Phishing-Angriffe

  Cyberkriminelle sind oft nur einen Phishing-Angriff davon entfernt, ungehinderten Zugriff auf Geräte, Netzwerke und Unternehmensdaten zu erhalten. Dabei nutzen sie eine Vielzahl an Social-Engineering-Techniken. Diese reichen von Identitätsdiebstahl und Imitation bekannter Marken über gefälschte Stellenbewerbungen bis hin zu hochpersonalisiertem Spear-Phishing mithilfe privater Daten der Opfer. Phishing erfolgt meist per E-Mail, kann aber auch per…

Fünf Regeln zur Bewältigung einer Cybersicherheitskrise: Vorstände und Verantwortliche unter Druck

Das aktuelle Allianz Risk Barometer 2020 – als weltweit größte Risikostudie – hat kritische Geschäftsunterbrechungen, die durch Cybersicherheitsverletzungen verursacht werden, als das größte Risiko für Unternehmen erkannt [1]. »Wann man von einer Cybersicherheitskrise betroffen sein wird, lässt sich nie vorhersagen. Unternehmen können aber Zeit gewinnen, indem sie einen gut einstudierten und effektiven Cyber-Resiliency-Plan aufstellen, der…

Deutsche Unternehmen unzureichend gegen Cyber-Attacken geschützt

Im Report Industry Cyber-Exposure Reports »Deutsche Börse Prime Standard 320« zeigt Rapid7 auf, wir gut die 320 als Prime Standard an der Deutschen Börse gelisteten Unternehmen (DB 320) gegen Cyber-Kriminalität geschützt sind. Die Untersuchung wurde 2019 im dritten Quartal durchgeführt. Die Ergebnisse zeichnen ein überraschendes Bild: Die untersuchten DB 320-Unternehmen bieten im Durchschnitt eine öffentliche…

Angriffsforensik, das Post Mortem von Cyberattacken

Blinde Flecken in der digitalen Verteidigung werden von den Cyberkriminellen dankend ausgenutzt. EPP- und EDR-Lösungen können IT- und Sicherheitsteams helfen diese Sicherheitslücken zu identifizieren. Wenn Cyberangriffe die Sicherheit von Endgeräten umgehen, kann es oft Monate dauern, bis Unternehmen die Schwachstelle entdecken. Unternehmen suchen deshalb nach Möglichkeiten, ihre Endgerätesicherheit zu modernisieren und ihre Fähigkeit zu verbessern,…

Hoher IT-Sicherheitsstandard wirkt sich auf den Unternehmenswert aus – Cyberangriffe gut abwehren

Jährlich entstehen in der deutschen Wirtschaft Schäden durch Cybercrime in Höhe von 55 Milliarden Euro, über 80.000 Fälle werden jährlich registriert. Laut Bundeskriminalamt ist die Dunkelziffer »unvorstellbar groß«, da kein Unternehmen möchte, dass ein IT-Sicherheitsleck oder ein Datendiebstahl bekannt wird. Schließlich wäre das massiv geschäftsschädigend.

Cyberattacken: Wo Hacker angreifen

2016 zielten laut Kaspersky nur 16 Prozent aller Cyberattacken auf Microsoft Office. Zwei Jahre später hat sich der Anteil der Angriffe auf 70 Prozent vervielfacht. Verantwortlich für den Anstieg sollen eine Vielzahl sogenannter Zero Day Exploits sein. Das sind Sicherheitslücken, die am selben Tag erfolgen, an dem die hierbei ausgenutzte Schwachstelle in der entsprechenden Software…

Sicherheitsteams verdienen einen besseren Ansatz für Erkennung und Reaktion auf Cyberangriffe

Für viele Unternehmen ist das IT-Sicherheitsteam die erste Verteidigungslinie gegen alle bekannten und unbekannten Bedrohungen. Die zentrale Aufgabe solcher Teams besteht darin, Bedrohungen in ihrer gesamten digitalen Umgebung zu identifizieren, zu untersuchen und zu entschärfen. Da die Angreifer zunehmend automatisierter und komplexer vorgehen, verlassen sich Sicherheitsteams auf einen mehrschichtigen Ansatz zur Prävention, wie Palo Alto…

Cyberresilienz: Erhebliche Defizite bei der Notfallplanung

Mehr als die Hälfte der deutschen Unternehmen testen ihre Notfallpläne nicht. Automatisierung verbessert die Erkennung und Eindämmung von Cyberangriffen in Deutschland um 46 Prozent.   Die Ergebnisse der vierten, jährlichen Benchmark-Studie zur Cyberresilienz, vom Ponemon Institute durchgeführt und von IBM Resilient gesponsert, sind veröffentlicht worden. In »The 2019 Cyber Resilient Organization« wird untersucht, inwieweit Unternehmen…

Tipps für IT-Teams für Black Friday, Cyber Monday und Weihnachten

Black Friday und Cyber Monday in den USA, Singles Day am 11.11. in China oder die verkaufsreichen Vorweihnachts-Samstage in Europa – globale Verkaufsevents stellen IT und Security-Teams von Online- und Einzelhändlern auf vielen Ebenen vor Herausforderungen. Anlässlich des Black Fridays in dieser Woche haben wir Experten von neun Herstellern aus verschiedenen Bereichen der IT befragt,…

Unternehmen sind nicht widerstandsfähig gegen Geschäftsunterbrechungen durch Cyberbedrohungen

Nur 50 Prozent der befragten Entscheider sehen Business Resilience als einen essenziellen Bestandteil ihrer Unternehmensstrategie.   Unternehmen investieren zwar viel in Sicherheit, sind aber oft nicht widerstandsfähig gegen Störungen des Geschäftsbetriebes wie etwa Cyberbedrohungen. Diese mangelnde Business Resilience kann jedoch gravierende Folgen haben. Tanium hat zu diesem Thema eine weltweite Umfrage unter 4.000 Entscheidungsträgern in…

Ein Jahr nach WannaCry: Deutsche Unternehmen unzureichend gegen Ransomware und Cyberattacken geschützt

46 Prozent aller Befragten halten ihr Unternehmen für stärker gefährdet als vor einem Jahr. Am 12. Mai war es genau ein Jahr her, dass auf vielen Computer-Bildschirmen nichts mehr ging: Die Ransomware WannaCry hatte weltweit zugeschlagen und viele Systeme lahmgelegt. In Deutschland waren laut einer aktuellen Umfrage des Cybersecurity-Unternehmens Tanium mit 31 Prozent knapp ein…

Cybersicherheit ist endgültig auf den Vorstandsetagen angekommen

Das Financial Services Information Sharing and Analysis Center (FS-ISAC) hat die Ergebnisse seiner jüngsten Umfrage veröffentlicht [1]. Laut Angaben der Befragten ist das Thema Cybersicherheit endgültig auf den Vorstandsetagen der Unternehmen angekommen, und 80 % aller CISOs berichten vierteljährlich direkt an den Vorstand. Und auch die Prioritäten der CISOs haben sich verändert: 35 % der…

Bankenindustrie – Cyberrisiken und Security Awareness

Banken definieren »IT-Security« als den Zustand, in dem Vertraulichkeit, Integrität, Verfügbarkeit und Authentizität von Daten und Informationstechnologie durch angemessene Maßnahmen und Sicherheitsprozesse geschützt sind. IT-Security Lösungen (Software und Services) sind immer Teil eines IT-Security-Management-Systems. Mit geeigneten IT-Security-Lösungen werden Bedrohungen und Gefahren erkannt und abgewendet, sodass Risiken minimiert und wirtschaftliche Schäden (Reputation, Haftung, etc.) unterbunden werden…

KRITIS: Wo die Politik versagt, ist Eigeninitiative gefragt

Wieder hat es ein Unternehmen der kritischen Infrastrukturen (KRITIS) erwischt, wie der SWR kürzlich berichtete: Hacker ergaunerten sich beim Angriff auf einen Ludwigshafener Energieversorger 500 GB Kundendaten und erpressten damit das Unternehmen. Als dieses kein Lösegeld zahlte, stellten die Angreifer die Daten, inklusive Kontoverbindungen, von zirka 150.000 Kunden ins Darknet – frei verfügbar für Cyberverbrecher…

OT-Security: Wo soll man anfangen?

Fünf Maßnahmen zum Schutz der Operational Technology. Die Operational Technology (OT) war lange strikt getrennt vom IT-Netzwerk und dank proprietärer Protokolle und veralteter Technologien vergleichsweise sicher vor Cyberangriffen. Mit der zunehmenden Verbreitung von IoT wachsen die beiden Welten immer stärker zusammen und geraten damit ins Visier von Hackern. NTT Ltd.’s Security Division nennt fünf Maßnahmen…

Grüne Energiebilanz: Mit neuem Datenmanagement zu mehr Nachhaltigkeit

Die Liberalisierung des Strommarktes bereitete das Feld für LichtBlick SE, 1998 als Ökostrompionier durchzustarten und die Energiewende voranzutreiben. Mittlerweile gilt das Unternehmen als Marktführer für Ökostrom, der 600.000 Haushalte (über eine Million Verbraucher) versorgt. Mehr als 500 Mitarbeiter sorgen dafür, dass E-Mobilität, intelligente Energieprodukte und vernetzte, digitale Lösungen Synergien und Mehrwert schaffen und grüne Energie…