Auf dem Weg zu mehr Cyberresilienz: Was machen resiliente Unternehmen anders?

Anzeige

Erst 36 Prozent der KRITIS-Unternehmen in den fünf größten Volkswirtschaften der Welt haben ein hohes Level an Cyberresilienz erreicht. Das ist das Ergebnis einer Studie von Greenbone Networks. Was zeichnet diese Unternehmen aus? Und was können wir von ihnen lernen?

Illustration: Absmeier

Cyberresilienz ist die Fähigkeit, trotz eines erfolgreichen Cyberangriffs die Produktivität aufrechtzuerhalten und die Geschäftsziele zu erreichen. Angesichts der wachsenden Bedrohungslage ist dies unverzichtbar. Denn das Risiko für eine Cyberattacke lässt sich nie ganz ausmerzen. Vielmehr geht es darum, die Wahrscheinlichkeit für einen Vorfall zu minimieren und gleichzeitig Maßnahmen zu ergreifen, um auch im Ernstfall betriebsfähig zu bleiben.

Gerade für Unternehmen der kritischen Infrastrukturen ist es essenziell, ein hohes Resilienz-Level zu erreichen. Denn fallen sie aus, gefährdet das die gesamte Gesellschaft. Wie weit sind KRITIS-Organisationen auf ihrem Weg zur nachhaltigen Widerstandsfähigkeit und was machen resiliente Unternehmen anders als solche, die noch am Anfang stehen? Das ermittelte das Marktforschungs-Unternehmen Frost&Sullivan im Auftrag von Greenbone Networks. Befragt wurden 370 Unternehmen in den USA, Japan, Deutschland, Frankreich und Großbritannien. Sie stammen aus den sechs KRITIS-Sektoren Energie, Finanzen, Gesundheit, Telekommunikation, Transport und Wasser.

 

Die vier Haupt-Kriterien, um Resilienz zu messen

Cyberresilienz ist ein umfassendes Konzept, das einen Schritt weiter geht als IT-Security. Es verfolgt den Ansatz, Sicherheit bereits innerhalb der Geschäftsprozesse zu etablieren, statt erst im Nachgang einen Schutzwall um sie herum aufzubauen. Um Resilienz zu messen, spielen vier Hauptkriterien eine entscheidende Rolle:

  • Können Cyberangriffe im Unternehmen ausreichend bewältigt werden?
  • Wie gut können Auswirkungen von potenziell schwerwiegenden Cyberangriffen gemindert werden?
  • Sind Best Practices und eine sensibilisierte Unternehmenskultur im Hinblick auf Cyberresilienz etabliert?
  • Welche Fähigkeiten sind besonders wichtig, um sich nach einem Cybervorfall schnell wieder zu erholen?

Anhand von Detailfragen konnte ermittelt werden, wie gut sich die Studienteilnehmer in den vier Bereichen für die nächsten zwölf Monate aufgestellt sehen und welche Prioritäten sie bei der Bewältigung von Cyberangriffen setzen. Lediglich 36 Prozent der befragten KRITIS-Unternehmen haben nach eigener Einschätzung bereits ein hohes Level an Cyberresilienz erreicht. Dabei sind die USA schon weiter fortgeschritten. 50 Prozent der befragten amerikanischen Unternehmen zählen zu den hochresilienten Organisationen, aber nur 36 Prozent der europäischen und 22 Prozent der japanischen.

 

Sechs Merkmale, die resiliente Unternehmen auszeichnen

Was machen die 36 Prozent der resilienten Unternehmen besser als die anderen? Die folgenden sechs Merkmale haben sich aus ihren Fähigkeiten, Best Practices und ihrer Unternehmenskultur als besonders wichtig herauskristallisiert.

 

1) Resiliente Unternehmen sind in der Lage, kritische Geschäftsprozesse, damit verbundene Assets und deren Schwachstellen zu identifizieren.

Das setzt voraus, dass sie ihre kritischen Geschäftsprozesse genau analysiert haben und wissen, welche digitalen Assets unverzichtbar sind, um diese Prozesse aufrechtzuerhalten. Anschließend geht es darum, Schwachstellen aufzuspüren und geeignete Maßnahmen zu ergreifen, um sie zu mindern oder zu schließen. Dafür spielt eine Schwachstellen-Management-Lösung eine entscheidende Rolle. Die Fähigkeit, Schwachstellen zu managen, unterscheidet hochresiliente Unternehmen am deutlichsten von weniger resilienten.

 

2) Resiliente Unternehmen sind besser darin, Schäden nach einem Cybervorfall gering zu halten. Lieferengpässe, Kundenunzufriedenheit, Schaden am Equipment oder Produktions- und Serviceverzögerungen können zeitnah behoben werden.

Dies gelingt durch ihre Fähigkeit, schnell auf Cyberangriffe zu reagieren, Schwachstellen zu schließen und die Gefahr einzudämmen. Dafür benötigen sie eine Cyber-Security-Architektur, die auf ihre Geschäftsprozesse abgestimmt ist. Zudem können resiliente Unternehmen agil handeln und haben klare Security-Abläufe und Verantwortlichkeiten definiert.

 

3) Durch ein zeitiges Etablieren von Best Practices sind resiliente Unternehmen in der Lage, frühzeitig zu reagieren.

Dafür haben sie innerhalb des Managements und der Belegschaft ein Bewusstsein für die kritischen Geschäftsprozesse und Assets geschaffen und Cyberresilienz in der Unternehmenskultur verankert. In 95 Prozent der hochresilienten Unternehmen ist der Owner eines digitalen Assets auch für dessen Sicherung verantwortlich. Die gesammelten Erfahrungen und dadurch etablierte Vorgehensweise tragen dazu bei, schnell alle Organisationsebenen zu mobilisieren, um Lücken zu schließen und Schäden durch Angriffe schnell wieder zu beheben.

 

4) Resiliente Unternehmen holen sich eher Unterstützung von Drittanbietern oder sind bereit, dies zu tun.

Sie nutzen die Expertise von spezialisierten Dienstleistern nicht nur, um Security-Technologien zu managen, sondern auch, um sich beraten zu lassen. Die Consultants helfen zum Beispiel dabei, eine Security-Strategie für das Unternehmen zu entwickeln, geeignete Technologie auszuwählen, Managed Security Services zu implementieren oder den ROI mit Security-Metriken zu ermitteln.

 

5) Für besonders wichtig erachten resiliente Unternehmen die Fähigkeiten, auf Cybervorfälle zu reagieren und die Auswirkungen auf kritische Geschäftsprozesse zu mindern.

Dies versetzt sie nach eigener Einschätzung am besten in die Lage, sich nach einem Cyberangriff schnell wieder zu erholen. Europäische Unternehmen haben hier andere Prioritäten als amerikanische. Sie finden die Fähigkeit, Schwachstellen zu beseitigen, am wichtigsten. In den USA fokussieren Unternehmen dagegen stärker auf ihre kritischen Geschäftsprozesse. Die Fähigkeit, Cybervorfälle zu verhindern, spielt bei allen Befragten nur eine untergeordnete Rolle. Es gibt also ein wachsendes Bewusstsein dafür, dass Cyberangriffe und ihre Auswirkungen unvermeidlich sind.

 

6) Resiliente Unternehmen bereiten sich durch Simulationen auf Cyberangriffe vor.

Sie simulieren in Trainings verschiedene Was-wäre-wenn-Szenarien und beziehen dabei auch die Asset-Owner außerhalb der IT-Abteilung ein. Außerdem wenden sie dieselben Cyber-Security-Regeln für alle digitalen Assets an. Das macht es einfacher, sie konsistent einzuhalten.

 

Der Schlüssel zu mehr Cyberresilienz

Die Studienergebnisse haben gezeigt, dass Cyberresilienz keine Frage des IT-Budgets ist und weitaus mehr erfordert als geeignete Security-Technik. Der Schüssel besteht darin, die geschäftskritischen Prozesse und digitalen Assets zu identifizieren und in den Mittelpunkt sämtlicher Maßnahmen zu stellen. Best Practices sollten an den Geschäftsprozessen ausgerichtet sein und quer über alle Unternehmensbereiche hinweg gelebt werden. Dafür ist es wichtig, ein Bewusstsein für die kritischen Prozesse und Assets und die damit verbundenen Risiken beim Management und den Mitarbeitern zu schaffen. Wenn dies gelingt, können Unternehmen ihre Cyberresilienz erheblich erhöhen.

 

[1] Den vollständigen Studien-Report können Sie nach Registrierung unter folgendem Link anfordern: https://www.greenbone.net/businessrisk/

 

 

 

127 Artikel zu „Resilienz“

Social Engineering nutzt »Schwachstelle Mensch« – Mitarbeiter für Unternehmensresilienz

Sensibilisierung durch Security-Awareness-Kampagnen fördert die Widerstandskraft beim »Faktor Mensch« im Unternehmen. Die Beeinflussung des Mitarbeiters, um dadurch beispielsweise an vertrauliche Informationen zu gelangen – diesem Prinzip folgt das Social Engineering. Cyberkriminelle nutzen dabei den Menschen als vermeintlich schwächstes Glied im Sicherheitskonstrukt eines Unternehmens aus. Zur Cybersicherheit ist es daher neben der Absicherung der Technologien und…

Cyberresilienz: Ein Synonym für Cybersicherheit?

Angesichts der wachsenden Zahl an Schwachstellen und der zunehmenden Komplexität von Cyberattacken lautet die Frage nicht mehr, ob ein Unternehmen attackiert wird, sondern wann – und ob die angegriffene Organisation in der Lage sein wird, ihre Aktivitäten unbeschadet fortzusetzen. Genau das bezeichnet die Cyberresilienz. Von Stormshield gibt es vier gute Vorsätze zu deren Gewährleistung.  …

Aus- und Weiterbildung ist einer der wichtigsten Faktoren der Unternehmensresilienz

Warum der Erwerb von Kompetenzen zu Cyberangriffen & Co. in Unternehmen existenziell ist. Von Unternehmen ist heute flexible Handlungsfähigkeit gefordert – auch in Krisensituationen. Es gilt daher, in der gesamten Organisation Widerstandskraft aufzubauen. Unternehmensresilienz ist der Schlüssel und erfordert eine Sensibilisierung beziehungsweise Stabilisierung der Mitarbeiter für entsprechende Handlungsfelder und Gefahren. Aus- und Weiterbildung ist daher…

Erfolgreiche digitale Transformation braucht IT-Resilienz

Für den »State of IT-Resilience Report 2019« wurden weltweit 500 Führungskräfte sowohl aus der IT als auch aus anderen Geschäftsbereichen befragt [1]. Die Teilnehmer kamen aus über zehn unterschiedlichen Branchen und äußerten sich zu den derzeitigen Herausforderungen von IT-Resilienz im Rahmen der digitalen Transformation. Die Ergebnisse der Befragung geben Einblick in den Stand der Dinge…

Cyberresilienz: Erhebliche Defizite bei der Notfallplanung

Mehr als die Hälfte der deutschen Unternehmen testen ihre Notfallpläne nicht. Automatisierung verbessert die Erkennung und Eindämmung von Cyberangriffen in Deutschland um 46 Prozent.   Die Ergebnisse der vierten, jährlichen Benchmark-Studie zur Cyberresilienz, vom Ponemon Institute durchgeführt und von IBM Resilient gesponsert, sind veröffentlicht worden. In »The 2019 Cyber Resilient Organization« wird untersucht, inwieweit Unternehmen…

Resilienz statt Robustheit: Neues Sicherheitskonzept für die Energieversorgung

Digitalisierung ermöglicht Energiewende – und erfordert neues Denken. Um eine stabile und ausfallsichere Energieversorgung in Zukunft gewährleisten zu können, sollte aus Sicht des Digitalverbands Bitkom die Sicherheit des deutschen Energiesystems grundsätzlich neu geregelt werden. Dabei kommt digitalen Technologien eine Schlüsselrolle zu. Entsprechende Vorschläge hat Bitkom in einem aktuellen Positionspapier »Digitalisierung des Energieversorgungssystems – Von der…

IT-Resilienz wichtiger denn je

manageit news

»Wenn Unternehmen ihre IT-Ausgaben für 2015 und darüber hinaus vorausplanen, einschließlich Entscheidungen bei Talentakquise, Outsourcing oder Infrastrukturmaßnahmen, müssen sie sowohl bekannte als auch bisher unbekannte Schwachstellen bei kritischen Geschäftsdaten berücksichtigen«, erklärt Alan Arnold, Chief Technology Officer bei Vision Solutions. »Die Forschungsergebnisse des State of Resilience Report decken auf, dass Unternehmen nicht ausreichend darauf vorbereitet sind,…

Corona-Krise: Positive Aspekte der Ausgangsbeschränkung

Die Maßnahmen wegen der Corona-Pandemie haben für viele Menschen teilweise starke Einschränkungen hervorgerufen. Doch neben all dem Verzicht können einige Verbraucher der Krise auch positive Aspekte abgewinnen, wie eine aktuelle Umfrage von Statista und YouGov zeigt [1]. Ein paar dieser erfreulichen Auswirkungen auf ihren Alltag wünschen sich die Befragten sogar auch weiterhin, für die Zeit…

Corona-Krise: Nicht alles ist schlecht

Die Corona-Krise hält Deutschland weiterhin in Schach. Während die Pandemie auf der einen Seite viel Leid hervorgerufen hat, gibt es jedoch auch ein paar positive Auswirkungen der Ausgangsbeschränkungen auf den Alltag und die Umwelt. Laut einer aktuellen Umfrage von YouGov und Statista nehmen 42 Prozent der Deutschen sowohl positive als auch negative Auswirkungen der Krise…

Wunsch nach kontaktlosem Bezahlen

       7 von 10 wollen in der Corona-Krise gerne häufiger kontaktlos bezahlen        Skepsis gegenüber Bargeld-Zahlungen        Berg: »Kunden sollten Wahlfreiheit beim Bezahlverfahren haben«   Seit der Corona-Krise werden an der Kasse immer häufiger Karte oder Smartphone und immer seltener Scheine oder Münzen aus der Tasche geholt. Das hat eine repräsentative Umfrage unter 1.003 Personen…

Deutschland und Frankreich setzen auf starken Klimaschutz beim Neustart nach der Corona-Krise

Meseberger Klima-AG plädiert für Green Recovery und ambitioniertere EU-Klimaziele. Unter Vorsitz der Umweltstaatssekretäre Jochen Flasbarth (DEU) und Brune Poirson (FRA) hat die Deutsch-Französische Meseberger Klima-AG einen Weg zum nachhaltigen Aufbau der Wirtschaft nach der Covid-19-Pandemie aufgezeigt. Beteiligt waren alle mit der Klimapolitik befassten Ministerien beider Länder. In der gemeinsamen Abschlusserklärung schlagen beide Regierungen vor, den…

Grüne Rechenzentren statt heißer Luft

Auf dem IN-Campus in Ingolstadt wird Audi künftig die Abwärme des Rechenzentrums als Heizenergie nutzen. (Bild ©Audi AG, Audi IN-Campus: https://www.incampus-tec.de )   Nicht nur der gestiegene Serienkonsum auf Netflix, Amazon Prime und Co. stellt die Kapazitäten der Rechenzentren auf eine harte Probe. Auch unzählige E-Mails, Social Media Posts, Videokonferenzen oder Kryptowährungen wie Bitcoin tragen…

Business Continuity Management schützt im Ernstfall

Krisensituationen treten meist plötzlich und ohne Vorwarnung auf, das hat die Covid-19-Pandemie verdeutlicht. Unternehmen sollten sich deshalb gerade jetzt damit auseinandersetzen, wie sie den Geschäftsbetrieb vor gravierenden Störungen schützen können, um auch für zukünftige herausfordernde Zeiten gewappnet zu sein. Als mögliche Lösung empfiehlt Controlware ein professionelles Business Continuity Management (BCM). Die Coronakrise hat gezeigt, wie…

Die unfreiwillige digitale Transformation – und was wir daraus machen

Da ist sie nun, die digitale Transformation. Ganze Belegschaften arbeiten von zu Hause aus, und Unternehmen sind gezwungen, Prozesse in Cloud zu verlagern. Das neue »on Prem« – überall. Die alte Norm hat ausgedient. Die neue: Remote working. Die Dinge haben sich in vielerlei Hinsicht geändert. Ein Schwerpunkt allerdings ist geblieben. Die Frage danach, wer…

So gelingt der Unternehmenswandel

Wollen sich Unternehmen weiter behaupten, ist ihre kontinuierliche Anpassung an die Veränderungen des Marktes alternativlos. Fünf Best Practices für die erfolgreiche Transformation von Unternehmen. Wandel ist im heutigen Wirtschaftsleben der Normalzustand. Neue Technologien, neue Produkte und neue Konzepte erfordern ständige Innovation. Vor allem größere Unternehmen haben damit aber oft ihre Schwierigkeiten. Nicht wenige bekannte Marken…

Deutsche Internetwirtschaft wird durch die Corona-Krise nur kurzfristig ausgebremst

Der eco Verband und Arthur D. Little haben die vielfältigen Auswirkungen der Corona-Krise auf die Internetwirtschaft untersucht – es zeigt sich ein differenziertes Bild.   Der eco Verband und Arthur D. Little untersuchen seit 2008 regelmäßig gemeinsam die Entwicklungen der Internetwirtschaft in Deutschland. Die vorherige Studie aus dem Jahr 2015 hat die Größe der Internetwirtschaft…

Wegen Corona: Der digitale Wandel wird nachhaltig sein

Drei von vier Digital-Unternehmen erwarten Umsatzeinbußen Mehrheit will Umsatzminus aber teilweise oder komplett aufholen. Präsident Berg: Digitalbranche wird von nachhaltigem Wandel profitieren.   Die Corona-Krise trifft die Digitalbranche mit Wucht, aber weniger stark als die deutsche Gesamtwirtschaft. Das ist das Ergebnis einer Sonderauswertung des Bitkom-ifo-Digitalindex für den Monat April. Demnach stufen die IT- und Telekommunikationsunternehmen…

Augen auf beim Einsatz von Third-Party-Komponenten – Risikofaktor Open Source

Im Zuge der Digitalisierung entwickelt sich Open-Source-Software auch in Deutschland, Österreich und der Schweiz zu einem wichtigen Baustein agiler Entwicklungsumgebungen. Der quelloffene Code ermöglicht es Unternehmen, wirtschaftlicher zu agieren und ihre Anwendungen schneller zur Marktreife zu führen – doch er birgt auch Risiken. Mittelständler, Konzerne und Regierungseinrichtungen sind daher gut beraten, passgenaue Strategien für eine sichere Open-Source-Nutzung zu entwickeln.