88 Prozent der IT-Entscheider sind davon überzeugt, dass sie mit IT-Störungen – egal welcher Natur – fertig werden. Dagegen spricht allerdings die hohe Anzahl der Unternehmen, die in der Vergangenheit mit unerwarteten Ausfällen zu kämpfen hatten. Dominik Bredel, Practice Leader für den Bereich Security und Resilienz bei Kyndryl Deutschland, stellt die Ergebnisse einer aktuellen Kyndryl-Studie vor und verrät, wie Unternehmen ihre Cyberresilienz stärken können.
Unternehmen müssen sich heute auf ihre IT verlassen können, die immer komplexer wird und sich zunehmend vom Kernnetzwerk entfernt. Laut dem neuen State of IT Risk Report, für den Kyndryl weltweit 300 IT-Entscheider befragt hat, betreiben die IT-Systeme in 84 Prozent der Unternehmen kritische Geschäftsprozesse [1].
Kommt es hier zu einem Netzwerkausfall, einem Cyberangriff oder anderen Systemstörungen, kann das verheerende Folgen haben. Ein lahmgelegter Geschäftsbetrieb (50 Prozent), Bußgelder wegen Datenschutz- bzw. Compliance-Verstößen (40 Prozent) sowie Reputationsschäden (35 Prozent) zählen zu den häufigsten Schäden.
Trotz des Risikos von Störungen, Ausfällen und Cyberangriffen sowie der potenziellen Folgen, scheint ein Großteil der IT-Entscheider unbesorgt zu sein. 88 Prozent von ihnen sind sich sicher, dass ihre technische Ausstattung gut genug ist, um solchen Ereignissen angemessen zu begegnen. Hier offenbart sich jedoch ein Widerspruch.
92 Prozent der Unternehmen hatten in den vergangenen zwei Jahren mit Störfällen zu tun – sowohl mit als auch ohne Verbindungen zu cyberkriminellen Aktivitäten. Die meisten von ihnen berichten sogar von drei oder vier unterschiedlich gearteten Ereignissen. Die fünf häufigsten Störungsarten sind: Hardware- und Netzwerkausfall, Malware, ein Zusammenbruch des Data-Center-Betriebs sowie DDoS-Attacken (Distributed Denial of Service).
Wie lassen sich diese Störfälle zukünftig möglichst vermeiden? Wir von Kyndryl haben diese fünf Best Practices identifiziert, die in keiner Cyberresilienz-Strategie fehlen sollten:
- Das gesamte Unternehmen ins Boot holen
Es kommt nicht selten vor, dass einige Geschäftsbereiche, wie die IT-Abteilungen, in Silos arbeiten – sprich: abgeschottet vom Rest des Unternehmens. Damit Cyberresilienz ihre volle Wirkung erzielen kann, müssen Unternehmen diese Silos aufbrechen und alle Abteilungen in ihre Strategie mit einbeziehen – und zwar von den ersten Gesprächen bis hin zur Definition der übergreifenden Mission. Cyberresilienz muss ein integraler Teil der Unternehmenskultur sein.
- Die Grundlagen festlegen
Zum einen sollten Unternehmen – zusätzlich zu den Toleranzvorgaben ihrer Branche – die eigene Risikotoleranz bestimmen und mit den Teams kommunizieren. Zum anderen sollten sie ermitteln, welche Unternehmensbereiche und IT-Systeme kritisch für den Betrieb, dessen Aufrechterhaltung und die Zielerreichung sind. Welche Komponenten müssen im Störfall so schnell wie möglich wiederhergestellt werden, damit das Geschäft keinen Schaden nimmt?
- Frameworks und Guidelines einrichten
Da sich sicherheitsrelevante Ereignisse heutzutage kaum mehr umgehen lassen, ist ein Krisenmanagement-Plan zur Vorbereitung unerlässlich. Darin ist festgehalten, wer bei einem Systemausfall oder einer Cyberattacke welche Verantwortlichkeiten übernimmt, wie Mitarbeiter zu reagieren haben und welche Prozesse durchzuführen sind. Wichtig ist, dass das gesamte Team diese Guidelines im Rahmen regelmäßiger Simulationen übt und verinnerlicht. Denn wenn es zum Ernstfall kommt, ist Zeit Geld.
Zusätzlich bietet es sich an, eine Zero-Trust-Architektur zu implementieren. Durch den Deny-by-Default-Ansatz soll sichergestellt werden, dass nur autorisierte Personen Zugriff auf bestimmte Systeme und Daten haben.
- Laufend an den Status quo anpassen
Unternehmen gleichen lebenden Organismen, die sich aufgrund innerer und äußerer Einflüsse verändern können. Wenn zum Beispiel IT-Landschaften komplexer und neue gesetzliche Vorgaben erlassen werden, müssen sie sich und ihre Cyberresilienz-Strategie daran anpassen, damit sie wirksam bleibt.
- Awareness schaffen
Das Security-Bewusstsein für potenzielle IT-Risiken und notwendige Schutzmaßnahmen muss nicht nur bei den Mitarbeitern weiter geschärft werden, auch Führungskräfte und der Vorstand sind Teil dieser Lernkurve. Nur wenn Alle involviert sind, lassen sich Risiken verstehen und Gegenmaßnahmen schnell kommunizieren und umsetzen.
Es bedarf einer soliden Cyberresilienz-Strategie, damit Unternehmen Störungen antizipieren und sich vor ihnen schützen können. Nur so lassen sich betroffene Systeme und Daten schnell wiederherstellen und existenzbedrohende Folgen vom Unternehmen abwenden.
[1] https://www.kyndryl.com/us/en/perspectives/articles/2023/09/survey-findings-the-state-of-it-risk
Managed Service Provider mit Beratungs- und Dienstleistungen – Wesentlich agiler, flexibler und schneller handeln
manage it | IT-Strategien und Lösungen (ap-verlag.de)
153 Artikel zu „Cyberresilienz“
AUSGABE 9-10-2023 | SECURITY SPEZIAL 9-10-2023 | NEWS | IT-SECURITY | VERANSTALTUNGEN
Cyberresilienz stabil und unternehmensindividuell aufbauen –
IT-Sicherheit mit Augenmaß
NEWS | IT-SECURITY | STRATEGIEN | VERANSTALTUNGEN
Cyberresilienz stabil und unternehmensindividuell aufbauen
Sicherheit braucht ein schlüssiges und umsetzbares Management. Ganzheitliche Security-Konzepte müssen in ihrem Umfang, Aufwand und in ihren Vorgaben zu einem Unternehmen passen. Nur dann machen sie Sinn und können gelebt werden. Die sich dynamisch verändernde Bedrohungslage im Cyberumfeld macht es Wirtschaft und Politik schwer, sich schnell und wirksam auf Cyberangriffe einzustellen. Ob staatlich motiviert,…
NEWS | TRENDS 2023 | TRENDS SECURITY | IT-SECURITY | WHITEPAPER
Cyberresilienz-Programme: Mehr als die Hälfte ist nicht gegen Cyberangriffe gewappnet
Obwohl 86 Prozent der Unternehmen über ein Cyberresilienz-Programm verfügen, mangelt es mehr als der Hälfte der Befragten zufolge an einem ganzheitlichen Ansatz zur Beurteilung der Cyberresilienz. Fast die Hälfte der Befragten (46 Prozent) ist der Meinung, dass ihre Mitarbeitenden trotz jahrelangen Sicherheitsschulungen und Phishing-Tests nicht wüssten, wie sie mit einer Phishing-E-Mail umgehen sollen. 52 Prozent…
NEWS | IT-SECURITY | LÖSUNGEN | SERVICES
Immersive Labs stellt den weltweit ersten umfassenden Score zur Messung der Cyberresilienz von Unternehmen vor
Der neue »Resilience Score« nutzt umfangreiche Benchmarking-Daten und unterstützt Unternehmen dabei, zu belegen, dass ihre Mitarbeitenden für Bedrohungen gerüstet sind. Immersive Labs, der Marktführer im Bereich der mitarbeiterzentrierten Cyberresilienz, stellt den Immersive Labs Resilience Score vor. Dieser gibt Aufschluss darüber, wie gut die Mitarbeitenden eines Unternehmens – basierend auf umfangreichen branchenübergreifenden Benchmarking-Daten von Immersive…
NEWS | TRENDS SECURITY | IT-SECURITY
Beunruhigende Diskrepanz zwischen Vertrauen in Cyberresilienz und tatsächliche Fähigkeiten
82 Prozent der Befragten sind der Meinung, dass sie den durch ihren größten Sicherheitsvorfall im letzten Jahr verursachten Schaden ganz oder teilweise hätten abwenden können, wenn sie besser vorbereitet gewesen wären. Immersive Labs stellt eine in Zusammenarbeit mit Forrester Consulting durchgeführte Studie* vor, in der untersucht wurde, wie Cybersicherheitsverantwortliche die Cyberresilienz ihres Unternehmens –…