In der Informations- und Cybersicherheit sprechen wir viel über die technische Seite von Resilienz und Kontrolle. Ein eher unterrepräsentiertes Thema ist die organisatorische Resilienz. Dazu spricht Tim Erlin, VP Strategy & Product Management bei Tripwire, mit Gary Hibberd, Professor für Cyberkommunikation bei Cyberfort. Hibberd leitete die Abteilungen Business Continuity und Informationssicherheit bei verschiedenen Unternehmen, und lehrt, wie wichtig es ist, beim Aufbau von Resilienz nicht nur Technologien, sondern Menschen und Prozesse zu berücksichtigen.

Tim Erlin: Wie definieren Sie organisatorische Resilienz?

Gary Hibberd: Organisatorische Resilienz ist die Fähigkeit eines Unternehmens, alles, von kleinen, alltäglichen Ereignissen bis hin zu plötzlichen Vorkommnissen, akuten oder kontinuierlichen Veränderungen in einer Umgebung, zu prognostizieren, sich darauf vorzubereiten, zu reagieren und sich daran anzupassen.

TE: Wenn wir uns Cybersicherheit und die Technologieorientierung der Branche ansehen, was fehlt uns, dass in die Kategorie der organisatorischen Resilienz gehört? Worin besteht für Sie das Manko, in der Art wie die Diskussionen geführt werden?

GH: Was uns fehlt, ist ein kollaborativer Ansatz, um sicherzustellen, dass Unternehmen Risiken überhaupt vorhersehen können. Vorbereitung betrifft normalerweise die Business Continuity und Reaktionsseite. Was aber aus meiner Sicht häufig vergessen wird, ist die adaptive Seite der Dinge. Und dies ist ganz konkret die Fähigkeit eines Unternehmens, Silos aufzubrechen. Geschieht das nicht, versäumen wir die Möglichkeit, mit anderen Bereichen des Unternehmens zusammenzuarbeiten. Zusammenarbeit aber macht uns resilienter gegenüber einer sich ständig verändernden Bedrohungslandschaft.

TE: Betrifft dieses Silo-Problem nur die Cybersicherheit oder auch andere Unternehmensbereiche? Der Grund, warum ich das frage, ist, wenn andere Abteilungen organisatorische Resilienz schaffen, die Cybersicherheit aber nicht, dann ist das ein anderes Szenario.

GH: Ich beobachte hier tatsächlich einen Wandel. Mehr und mehr Fachleute sprechen über echte organisatorische Resilienz. Aber das betrifft immer noch die Welt der Business Continuity. Man könnte so weit gehen zu sagen, dass die Fachleute aus diesem Bereich sich beinahe vor der Cybersicherheit fürchten – und meist auch nicht mit den betreffenden Teams sprechen wollen. Umgekehrt sieht es nicht viel besser aus. Wenn ich mit Cybersicherheitsexperten spreche, haben sie Vorbehalte, mit dem Risikomanagement oder dem Compliance-Team in Kontakt zu treten. Denn Cybersicherheitsteams sind dazu da, technische Sicherheitskontrollen zu implementieren. In der Vergangenheit sind sie vielleicht auf Probleme in der Zusammenarbeit mit dem Compliance-Team gestoßen. Das Silo-Denken gehört also noch längst nicht der Vergangenheit an. Das gilt nicht nur für Cybersicherheitsteams, sondern ganz genauso für andere Unternehmensbereiche.

Gemeinsame Ziele (und Sorgen)

TE: Das erinnert mich an die Diskussionen wie man Cybersicherheit besser mit unternehmerischen Anforderungen in Einklang bringt und wie CISOs dies kommunizieren sollten. Offenbar gilt ähnliches für den Bereich Business Continuity. Für Cybersicherheitsteams ist es noch immer nicht selbstverständlich, dass ihre Aufgabe nicht darin besteht, alles sicher zu machen, sondern es einem Unternehmen in einer Umgebung mit sehr realen Bedrohungen zu ermöglichen, effektiv zu arbeiten.

GH: Da stimme ich uneingeschränkt zu. Cybersicherheitsteams ticken ein bisschen wie Ingenieure, die Autos entwerfen. Sie entwickeln wunderbare Autos, die anschließend vom Band rollen. Aber während ihre Gedanken in erster Linie um das Fahrzeug kreisen, machen sie sich vielleicht nicht ganz so viele Gedanken, was passiert, wenn das Fahrzeug auf der Straße unterwegs ist. Und die Menschen, die dieses Fahrzeug lenken, wie verantwortungsvoll fahren die? Ich denke, wir müssen uns mehr mit diesem Thema beschäftigen und verstehen, dass wir eine Verantwortung haben, die über das Entwickeln des Fahrzeugs hinausgeht. Unternehmen sollten aber auch die andere Seite verstehen. Dass es nämlich ohne sichere Fahrzeuge überhaupt kein Geschäft gibt.

Ein Unternehmen setzt sich aus verschiedenen Abteilungen und Aufgabenbereichen zusammen, die wiederum mit Menschen besetzt sind. Wenn ich Berater ausbilde und schule, um in die Unternehmen zu gehen, dann betone ich, wie wichtig es ist, dies auf einer menschlichen Ebene zu tun. Ein Unternehmen sicherer zu machen – das reicht als Begründung für unser Tun nicht aus. Wir müssen uns vielmehr mit den Vorgaben und Zielen befassen. Es gilt, die individuellen Triebkräfte für das Finanzwesen im Vergleich zur Personalabteilung im Vergleich zum Marketingteam und jedem anderen Bereich zu verstehen. Auf dieser Ebene können wir Veränderungen tatsächlich beeinflussen. Und die Silos an vielen Stellen aufbrechen.

Nicht messbare Kompetenzen

TE: Um das zu tun, bedarf es bestimmter Kompetenzen. In den eher technischen Disziplinen rekrutieren wir kaum mit Blick darauf.

GH: Da gebe ich Ihnen recht. Die Soft Skills sind schwieriger zu messen, aber diese Art von Kompetenzen ist immens wichtig. Zudem braucht man Zeit, um Beziehungen auf- und Barrieren abzubauen.

TE: Wenn man technisch orientiert und es gewohnt ist, Tools zu implementieren, erscheint es oft widersinnig, Zeit in den Aufbau von Beziehungen zu investieren. Nicht selten gilt das sogar als Zeitverschwendung. Tatsächlich aber ist es unbedingt nötig, Silos aufzulösen und die grundlegenden Beziehungen aufzubauen, die für die organisatorische Resilienz notwendig sind.

GH: Genau. Wenn Sie sich auf die Menschen konzentrieren, sie geschult haben und ihnen die Relevanz von Sicherheit nahebringen, dann sind diese Tools hoffentlich gar nicht nötig. Vor vielen Jahren habe ich immer gesagt: »Ich schreibe Dokumente, von denen ich hoffe, dass sie niemals benutzt werden.« Das ist der ganze Sinn und Zweck von Business Continuity. Aber in den letzten 10 Jahren bin ich eher dazu übergegangen, gut strukturierte Business-Continuity-Pläne zu verwenden, um einzelne und ganze Firmen auf mehr Anpassungsfähigkeit vorzubereiten.

TE: Ich denke, es ist interessant, sich anzusehen, wie sich das Aufkommen von Ransomware auf die Beziehung zwischen Business Continuity und Informationssicherheit auswirkt. Bei einer Ransomware-Attacke muss sich der Angreifer selbst melden, um die Lösegeldforderung zu platzieren. Im Gegensatz zu Angriffen, die darauf ausgerichtet sind, Daten oder andere Arten von Informationen zu stehlen, und dabei so unauffällig wie möglich zu bleiben. Das führt naturgemäß zu einer völlig anderen Art von Reaktion. Und da Ransomware Systeme lahmlegt, müssten Business Continuity und Informationssicherheit näher zusammenrücken. Lässt sich hier ein Trend beobachten?

GH: Ja, durchaus. In den letzten vier oder fünf Jahren sind wir deutlich vorangekommen. Immer häufiger kommen Fachleute für Business Continuity zu Cybersicherheits-Veranstaltungen, um sich über die verschiedenen Bedrohungen und Angriffsvektoren zu informieren. Man muss an dieser Stelle genauer hinsehen, und alle Teams müssen enger zusammenarbeiten. Es ist überraschend, dass diese Denkweise gerade erst beginnt sich durchzusetzen. Aber die Lücke zwischen Business Continuity und Cybersicherheit fängt an sich zu schließen.

»People First«

TE: Lassen Sie uns etwas generischer diskutieren, wie Unternehmen sich verändert haben oder verändern sollten. Sind Unternehmen durch den Umgang mit Covid-19 mehr oder weniger resilient geworden?

GH: In einigen Unternehmen herrscht immer noch das Gefühl vor, sie seien unantastbar. Ein falsches Sicherheitsgefühl birgt allerdings Gefahren. Firmen müssen erkennen, dass die Pandemie grundlegend verändert hat, wie Unternehmen funktionieren – auf der Mikro- wie auf der Makro-Ebene. Um noch einmal auf die organisatorische Resilienz dessen zurückzukommen: Die Fähigkeit, sich anzupassen, wird für das zukünftige Überleben von Unternehmen von zentraler Bedeutung sein.

Die Frage, die wir uns stellen können, ist: »Sind wir heute resilienter als vor 18 Monaten?« Ich denke, dass sich die Landschaft einfach verändert hat, weil dies eine sehr »menschliche« Krise war und ist. Milliarden von Menschen sehen die Welt heute anders, die Dinge haben sich geändert, und auch Unternehmen haben ein anderes Bild ihrer Mitarbeiter als vor Beginn der Pandemie.

TE: Wir denken oft in technischen oder unternehmerischen Begriffen, wenn wir uns mit Business Continuity und Informationssicherheit beschäftigen. Weniger in menschlichen Begriffen. Wenn ein Unternehmen resilient sein soll, muss man sich zwangsläufig mit menschlicher Resilienz beschäftigen.

GH: Die Pandemie hat die Führungsebene vieler Firmen gezwungen, den Umgang mit ihren Mitarbeitern auf einer sehr individuellen Ebene neu zu bewerten. Wenn man eine Krise unter diesem Aspekt durchdenkt, bezieht man ein, wie sie sich jeweils auf die einzelnen Menschen auswirkt und nicht nur auf das Unternehmen als Ganzes. Covid-19 hat vielerorts einen vergleichbaren Bewusstseinswandel ausgelöst.

TE: Ich würde behaupten, dass die Unternehmen, die ihre Denkweise dahingehend verändert haben, auch diejenigen sind, die nach der Pandemie wahrscheinlich erfolgreicher sein werden. Mitarbeiter haben sehr genau registriert wie Firmen in diesem neuartigen Szenario agieren. Und sind bereit, Konsequenzen zu ziehen und beispielsweise das Unternehmen zu verlassen. Das sorgt für einen dynamischen Arbeitsmarkt, auch im Bereich Cybersicherheit.

GH: Da stimme ich Ihnen völlig zu. Die Unternehmen, die an ihre Mitarbeiter gedacht, gut mit ihren Teams kommuniziert und sie auf dem Laufenden gehalten haben, sind diejenigen, die überleben und wachsen werden. Natürlich gibt es auch andere, darunter auch große Unternehmen, die weitermachen wie bisher. Ich denke, diese Firmen werden einen spannenden Prozess durchlaufen.

Umsetzbare Schritte in Richtung Resilienz

TE: Was sind Ihrer Meinung nach die wichtigsten Maßnahmen, die Unternehmen ergreifen sollten, um die organisatorische Resilienz zu verbessern?

GH: Wir haben über das Aufbrechen von Silos gesprochen, aber wie macht man das? Ich würde jedem da draußen dringend raten, egal ob Sie in den Bereichen Risiko, Compliance, Informationssicherheit oder einem unterstützenden Bereich tätig sind, sich zusammenzuschließen und eine Arbeitsgruppe ins Leben zu rufen. Diese Arbeitsgruppe sollte die Firma unter humanistischen Gesichtspunkten betrachten und eine Kraftfeldanalyse durchführen. Schauen Sie sich jede einzelne Funktion an, und jeden Einzelnen, der diese Funktionen besetzt. Fragen Sie sich auf einer Skala von 1 bis 10: »Wer sind unsere Unterstützer? Wer sind die »Cheerleader«? Wo sind unsere Kritiker, die Mitarbeiter und Mitarbeiterinnen, die wir davon überzeugen müssen, mitzumachen?«

Es spielt keine Rolle, ob man zwei, vier oder 10 Personen für diese Arbeitsgruppe braucht. Es geht immer darum, einen koordinierten Ansatz für Ihr Unternehmen in die Praxis umzusetzen.

Als nächstes sollten sie die Sprache Ihres Unternehmens lernen, zum Beispiel die der Finanz-, Personalabteilung sowie der betrieblichen Teams. Berücksichtigen Sie dabei auch wie in der Vergangenheit kommuniziert wurde. Setzen Sie sich mit dem Marketingteam zusammen, um eine interne PR-Kampagne zu entwickeln. Denn das ist letztendlich, was Sie tun. Sie versuchen, eine Botschaft zu verkaufen, eine Vision der Zukunft. Und das funktioniert nur, wenn Sie die Ziele und Zielsetzung des gesamten Unternehmens verstanden haben.

Wie funktioniert erfolgreiches Verkaufen? Mit langweiliger Werbung und langatmigen Filmen, Büchern oder Musik? Nein. Trotzdem verlassen wir uns bei Cybersicherheit und Risiko-Management auf genau solche Richtlinien und Ansätze. Gehen Sie die Sache anders an und werden Sie Marketer in eigener Sache. Es geht um eine extrem wichtige Sache, verkaufen wir sie auch so.

Nehmen Sie sich Zeit, Beziehungen aufzubauen, arbeiten Sie an Ihrem Ruf in diesen Bereichen und stellen Sie sicher, dass Ihre Abteilung als die wahrgenommen wird, die Probleme löst und nicht neue schafft. In Summe bauen Sie so ein resilientes Team auf und unterstützen das Unternehmen dabei, insgesamt resilienter zu werden.

413 Artikel zu „Resilienz“

NEWS | IT-SECURITY | STRATEGIEN

Cyberresilienz – ein Muss in der »neuen Normalität«

11. Januar 2021

Während die Welt mit der Pandemie beschäftigt ist und sich mit der neuen Normalität zurechtfindet, ist die Schaffung von Cyberresilienz von entscheidender Bedeutung, damit diese Bemühungen nicht beeinträchtigt werden. Wir durchleben heute in der Tat sehr unvorhersehbare und herausfordernde Zeiten. Alle mussten ihr persönliches und berufliches Leben auf eine »neue Normalität« umstellen, in der…