Digitalisierung und Cyberresilienz machen eine Kulturrevolution in den Unternehmen unumgänglich

Illustration Absmeier foto freepik ki

Wie Cyberresilienz die Prozesse rund um Datensicherheit und Datensicherung neu aufstellt.

Digitalisiertes Wirtschaften wälzt die Unternehmenskultur um. Denn der Zugriff auf in Echtzeit verfügbaren Informationen ermöglicht eine neue Geschwindigkeit sowie höhere Produktivität und unterstützt immer mehr Stakeholder im Unternehmen mit effizienter Unterstützung der Geschäftsabläufe durch die IT. Die Kehrseite ist die Anfälligkeit der Abläufe für Nichtverfügbarkeit von Daten oder Cyberangriffe. So betrifft Digitalisierung nicht nur produktive Anwendungen, sondern auch die Datensicherheit und Datensicherung gleichermaßen. Aufgrund ihrer Rolle, die Verfügbarkeit von Informationen, Applikationen und IT-Infrastrukturen im Ernstfall wiederherzustellen, werden diese Bereiche zur Chefsache. Gleichzeitig steigt der Stellenwert der dafür zuständigen Akteure.

IT-Sache = Chefsache?

Das ist kein geflügeltes Wort, sondern eine Realität. Denn die IT ist längst nicht mehr nur ein digitaler Schreibtisch oder die erweiterte Werkbank. Informationen und die Verfügbarkeit digitalisierter Prozesse sind Grundlage für Unternehmenserfolg und damit zentrale strategische Komponenten im Unternehmenskontext. Zugleich ist in Zeiten zunehmender Unsicherheit und cyberkrimineller Aktivitäten eine funktionsfähige IT keine Selbstverständlichkeit mehr – eher schon der früher oder später erfolgende Hack. Dabei muss ein Sicherheitsvorfall, wie etwa eine Ransomware-Attacke auf das Backup, nur einmal stattfinden, um ein Unternehmen in seiner Existenz zu gefährden. Für den Geschäftsführer sind IT-Sicherheit und Datensicherung mittlerweile ebenso wichtig für den Geschäftserfolg wie Geschäftsideen, geistiges Eigentum und dessen Schutz, Finanzen, HR, Marketing oder eine optimierte Produktion.

Kulturschaffende im Unternehmen

Doch nicht nur die Abhängigkeit von ständig verfügbaren Daten und eine zunehmende Risikolage sorgen für neue Relevanz der Cyberresilienz. Gesetzliche Vorgaben werten IT-Sicherheit auf. CEOs sind verantwortlich, neue Compliance-Regeln einzuhalten und benötigen dafür die Hilfe ihrer CISOs. 2024 machen neue Gesetze wie die SEC-Entscheidung, der Caremark Act in den USA, IRAP und DORA ein stärkeres Engagement der höchsten Hierarchien erforderlich. In der EU setzt NIS2 neue, oft unbestimmte Kriterien an eine sichere IT fest und bringt die Geschäftsführerhaftung auf die Agenda – für einen immer weiteren Kreis betroffener Unternehmen unabhängig von der Unternehmensgröße.

Auch Anbieter von Cyberversicherungen drängen zunehmend auf Belege für Bemühungen um die IT-Sicherheit, ehe sie eine Police vergeben. Sie zwingen damit die oberste Ebene dazu, der Cyberresilienz eine hohe Aufmerksamkeit zu widmen.

Stabsfunktion IT-Sicherheit

CEOs stehen in der Pflicht, eine neue IT-Sicherheitskultur im Unternehmen zu initiieren. Die Verantwortlichen für Cyberresilienz werden daher für sie immer wichtigere Ansprechpartner. Ein CISO berichtet bei großen Unternehmen deshalb mittlerweile häufiger direkt an den CEO und nicht mehr an den CIO. Ebenso werden verstärkt Compliance-, Sicherheits- und Cybersicherheitsexperten in Aufsichtsräte berufen, obwohl die neuen Vorschriften dies nicht zwingend vorschreiben. Sie spielen in Zukunft eine ähnlich große Rolle wie der CFO, der schon seit langem in den Aufsichtsräten seinen Platz hat.

Vorstände und Geschäftsführer investieren immer mehr in Sicherheitstrainings und in den Zugang zu Spezialisten, um ihr Wissen im Bereich Cybersicherheit zu erweitern. Es besteht aber noch großer Nachholbedarf, sie in die IT-Sicherheit zu integrieren: Eine von Commvault beauftragte IDC-Umfrage hat gezeigt, dass nur 33 Prozent der leitenden Angestellten an aktuellen Initiativen zur Cyber Preparedness in hohem Maße involviert sind, obwohl 61 Prozent der Befragten glauben, dass ein Datenverlust sehr wahrscheinlich oder wahrscheinlich ist.

Silo-übergreifende Teamaufgabe

Wenngleich IT-Sicherheit letztlich immer eine Top-Down-Initiative sein muss, kann wirklicher Schutz nur aus gleichzeitiger Teamarbeit entstehen. Der bei diesem komplexen Themenbereich einfach überforderte CEO benötigt Mitstreiter. Zum einen sind das die individuellen Spezialisten der Geschäftsbereiche, die ermitteln, welche ihrer digitalen Assets unternehmenskritisch sind, welche Prozesse sie benötigen und die vermeiden sollten, dass Schatten-IT und damit verbundene Gefahrenpotenziale entstehen. Zum anderen ist es die IT. Doch hier gibt es nicht nur einen Ansprechpartner: Operative IT und Cybersicherheit haben unterschiedliche Kenntnisse und Kompetenzen, können jedoch nur gemeinsam den Sicherheitsstatus beurteilen.

Jedes Unternehmen, deren IT in Silos operiert, ist in Prävention und Abwehr ernsthaft eingeschränkt. Unternehmen müssen ihre Abwehrmaßnahmen über das gesamte NIST-Framework hinweg betrachten. Dazu zählen die Identifikation von Risiken, die Reaktion auf Angriffe und die gegebenenfalls erforderliche Wiederherstellung von Daten und Infrastrukturen. Dies erfordert eine enge Zusammenarbeit vor allem zwischen operativer IT und IT-Sicherheit. Denn nur mit Kenntnis der vorhandenen Infrastruktur und ihrer Relevanz für die Geschäftsziele können interne oder externe IT-Sicherheitsexperten ihr Wissen wirksam einbringen und an den Geschäftszielen orientieren. SecOps und ITOps müssen daher in Zukunft intensiver zusammenarbeiten.

Alle Entscheider im Unternehmen müssen bei einer erfolgreichen Cyberattacke wissen, wie sie die Angriffe eindämmen und was sie im schlimmsten Fall mit welcher Priorität wiederherstellen. Die Prävention wird zur Chef- und Teamsache: Einem wirksamen und getesteten Desaster- oder Cyber-Recovery-Plan sowie einer umfassenden Cybersicherheit kommt ein hoher Stellenwert in der Unternehmenskultur zu und gestaltet sie neu.

Uli Simon, Director Sales Engineering bei Commvault

 

Abbildung: Dashboards zur Anzeige von Gefahren für Datensicherungen geben CISOs die Informationen, um die Geschäftsführung über den Sicherheitsstatus zu informieren und Risiken aufzuzeigen. Im Beispiel Threat Scan als Teil der Commvault Cloud Pattform. Bildquelle: Commvault.

 

283 Artikel zu „Cyberresilienz“

Cyberresilienz und Cyber Recovery: Vorbereitung zahlt sich aus

Neue Ergebnisse aus dem »2024 Cyber Recovery Readiness Report« zu Effekten von Investitionen in Cyberresilienz. Einmal angegriffene Unternehmen konnten durch Cyber-Recovery-Maßnahmen ihre Wiederherstellungszeit verbessern. Die globale Befragung von 1.000 IT- und IT-Sicherheitsverantwortlichen belegt, dass Unternehmen, die Opfer eines fremden Zugriffs auf Daten wurden, ihr Verhalten, Daten zu sichern, verändert haben und damit ihre Recovery deutlich…

KI-gestützte Cyberresilienzplattform macht Unternehmen jeder Größe schnell wieder handlungsfähig

Nach einer Cyberattacke müssen Unternehmen sofort wieder geschäftsfähig sein, denn jeder verlorene Tag bedeutet schmerzlichen Produktivitätsverlust und einhergehende Finanzeinbußen. Eine echte Cyberresilienzstrategie ist daher unverzichtbar, auch um NIS2, DORA und ISO-27001-Richtlinien einzuhalten. Moderne Softwarelösungen bieten schon vor potenziellen Angriffen entsprechende Schutzmaßnahmen, damit Daten nach einem Worst Case schnellstmöglich wieder schadfrei verfügbar sind. Commvault Cloud sorgt…

Firmen sollten sich regelmäßig selbst angreifen, um ihre Cyberresilienz zu testen

Cybersicherheit: Selbstangriff ist die beste Verteidigung. Rainer M. Richter: »Heutige Angriffssysteme aus der Cloud sind für jeden Mittelständler erschwinglich.« Bei mehr als 70 aufgedeckten Softwareschwachstellen am Tag kommen die Firmen nicht mehr nach, ihre Systeme vor Cyberangriffen sicher zu machen.   Die deutsche Wirtschaft setzt bei Cybersecurity zu einseitig auf bloße Verteidigungsmaßnahmen und vernachlässigt den…

In drei Schritten zu mehr Cyberresilienz

Cyberkriminalität ist ein globales Problem. Die Zahl der Angriffe nimmt stetig zu, und gleichzeitig gehen die Hacker immer raffinierter vor. Um Bedrohungen jeglicher Art wirksam abwehren zu können, müssen Unternehmen ihre Cyberresilienz verbessern. Dell Technologies erklärt, welche drei Schritte dafür entscheidend sind.   Die Zahlen sind alarmierend: Laut dem Global Data Protection Index 2024 von…

Zehn Tipps: Vom Cyberrisiko zur Cyberresilienz

Auch die komplexesten Attacken – neben den opportunistischen – starten oft mit ganz einfachen Werkzeugen. Viele Cybersicherheitsverantwortliche vergessen aber zu häufig, dass auch einfache, grundlegende Sicherheitsmaßnahmen die eigene Abwehr stärken können. Bitdefender erinnert an zehn bewährte »Gebote« für die IT-Sicherheit in Unternehmen.   Grundsätzliche Verhaltensmaßregeln für einen sicheren Umgang mit IT verhindern nicht wenige Versuche,…

In die Offensive gehen: Sechs Argumente für den holistischen Ansatz zur Cyberresilienz

Viele Cybersicherheitsexperten haben erkannt, dass bloßes Reagieren in Sachen IT-Sicherheit nicht mehr ausreicht. Sie gehen in die Offensive: Penetrationstests, Red Teaming und proaktives Threat Hunting ergänzen die klassische Strategie, indem sie Schwachstellen und mögliche Einfallstore ebenso frühzeitig erkennen, wie globale oder regionale und branchenspezifische Hackeraktivitäten. Sowohl Offensive als auch Defensive haben ihren Platz in einem…

Cyberangriff legt Kommunen in NRW lahm: Die Bedeutung von Cyberresilienz nach Attacken

Wie verschiedene Medien melden sind nach einem Cyberangriff mehrere Städte und Landkreise im Süden von Nordrhein-Westfalen seit Montag erreichbar. Grund ist Medienberichten zufolge eine Attacke auf den kommunalen Dienstleister »Südwestfalen IT«.   Thomas Lo Coco ist Regional Director Central Europe beim IT-Sicherheitsanbieter Absolute Software. Absolute Software sichert kritische Anwendungen auf Betriebssystemebene vom BIOS aus und…

Cyberresilienz stabil und unternehmensindividuell aufbauen

Sicherheit braucht ein schlüssiges und umsetzbares Management. Ganzheitliche Security-Konzepte müssen in ihrem Umfang, Aufwand und in ihren Vorgaben zu einem Unternehmen passen. Nur dann machen sie Sinn und können gelebt werden.   Die sich dynamisch verändernde Bedrohungslage im Cyberumfeld macht es Wirtschaft und Politik schwer, sich schnell und wirksam auf Cyberangriffe einzustellen. Ob staatlich motiviert,…

Cyberresilienz-Programme: Mehr als die Hälfte ist nicht gegen Cyberangriffe gewappnet

Obwohl 86 Prozent der Unternehmen über ein Cyberresilienz-Programm verfügen, mangelt es mehr als der Hälfte der Befragten zufolge an einem ganzheitlichen Ansatz zur Beurteilung der Cyberresilienz. Fast die Hälfte der Befragten (46 Prozent) ist der Meinung, dass ihre Mitarbeitenden trotz jahrelangen Sicherheitsschulungen und Phishing-Tests nicht wüssten, wie sie mit einer Phishing-E-Mail umgehen sollen. 52 Prozent…

Immersive Labs stellt den weltweit ersten umfassenden Score zur Messung der Cyberresilienz von Unternehmen vor

Der neue »Resilience Score« nutzt umfangreiche Benchmarking-Daten und unterstützt Unternehmen dabei, zu belegen, dass ihre Mitarbeitenden für Bedrohungen gerüstet sind.   Immersive Labs, der Marktführer im Bereich der mitarbeiterzentrierten Cyberresilienz, stellt den Immersive Labs Resilience Score vor. Dieser gibt Aufschluss darüber, wie gut die Mitarbeitenden eines Unternehmens – basierend auf umfangreichen branchenübergreifenden Benchmarking-Daten von Immersive…

Beunruhigende Diskrepanz zwischen Vertrauen in Cyberresilienz und tatsächliche Fähigkeiten

82 Prozent der Befragten sind der Meinung, dass sie den durch ihren größten Sicherheitsvorfall im letzten Jahr verursachten Schaden ganz oder teilweise hätten abwenden können, wenn sie besser vorbereitet gewesen wären.   Immersive Labs stellt eine in Zusammenarbeit mit Forrester Consulting durchgeführte Studie* vor, in der untersucht wurde, wie Cybersicherheitsverantwortliche die Cyberresilienz ihres Unternehmens –…

Fünf Tipps für mehr Cyberresilienz im Unternehmen

Einen hundertprozentigen Schutz vor Cyberattacken kann es angesichts zunehmend verteilter Infrastrukturen und immer raffinierterer Angriffsmethoden nicht geben. Im Rahmen einer ganzheitlichen Security-Strategie dürfen sich Unternehmen daher nicht ausschließlich auf die Gefahrenabwehr konzentrieren, sondern müssen sich auch auf den Ernstfall vorbereiten, um die Auswirkungen erfolgreicher Attacken gering zu halten und den Geschäftsbetrieb schnellstmöglich wieder aufnehmen zu…

Cybersecurity-Trends für 2023: Cyberresilienz und Ransomware-Gesetzgebung

Sicherheitsvorfälle, Datendiebstahl und Ransomware haben auch in diesem Jahr wieder für Schlagzeilen gesorgt und zahlreiche Unternehmen wie beispielsweise Metro, Continental oder die Deutsche Presse-Agentur (dpa) betroffen. Keine Branche ist davor gefeit. Wie jedes neue Jahr bringt auch das Jahr 2023 sowohl Chancen als auch Herausforderungen für die IT-Sicherheit mit sich. Illumio geht davon aus, dass…

Cyberresilienz – ein Muss in der »neuen Normalität«

Während die Welt mit der Pandemie beschäftigt ist und sich mit der neuen Normalität zurechtfindet, ist die Schaffung von Cyberresilienz von entscheidender Bedeutung, damit diese Bemühungen nicht beeinträchtigt werden.   Wir durchleben heute in der Tat sehr unvorhersehbare und herausfordernde Zeiten. Alle mussten ihr persönliches und berufliches Leben auf eine »neue Normalität« umstellen, in der…

Digitale Transformation und Cyberresilienz im Unternehmen: Wo stehen wir?

Die digitale Transformation, die mittlerweile als unerlässlich für die Gewährleistung von Geschäftskontinuität, Wettbewerbsfähigkeit und Unternehmenswachstum gilt, ist seit mehreren Jahren ein Schwerpunkt für Unternehmen. Infolgedessen könnte man annehmen, dass diese Entwicklung der Organisationen und ihrer Arbeitsweise heute im gesamten wirtschaftlichen und institutionellen Gefüge, unabhängig vom Land, weit verbreitet ist. Aber ist dies wirklich der Fall?…