Heute müssen sich Unternehmen nicht mehr die Frage stellen, ob, sondern wann sie Opfer eines Cyberangriffs werden. Tritt dieser Fall ein, ist guter Rat oft teuer. Daher lautet das Gebot der Stunde: Cyberresilienz stärken, um nach einem Angriff schnell zu reagieren und handlungsfähig zu bleiben.
2022 meldete einer Studie zufolge jedes zehnte deutsche Unternehmen (11 Prozent) eine Cybersicherheitsverletzung [1]. Dies stellt einen erheblichen Anstieg dar, den die Autoren unter anderem auf den Krieg in der Ukraine zurückführen. Auch das Bundesamt für Sicherheit in der Informationstechnik sieht die Bedrohungslage im Cyber Space auf einem neuen Höchststand [2]. In diesem angespannten Umfeld müssen Unternehmen handeln und ihre Sicherheitsstrategien kritisch prüfen und gegebenenfalls überarbeiten. Zweckoptimismus und Abwarten sind keine Lösungen.
Im Finanzsektor der EU wird Cyberresilienz ab nächstem Jahr sogar vom Gesetzgeber reguliert: Am 17. Januar 2025 tritt der Digital Operational Resilience Act (DORA) in Kraft, der für Banken, Versicherungen, Kreditgeber und andere Finanzdienstleister in den Mitgliedstaaten standardisierte Resilienzmaßnahmen vorschreibt [3]. Außerdem legt DORA großen Wert auf die Sicherheit und Widerstandsfähigkeit der Softwarelieferkette und nimmt auch IT-Dienstleister wie Kyndryl in die Pflicht. Betroffene Unternehmen müssen jetzt ihre eigene Resilienz prüfen und sich gegen diverse Herausforderungen wappnen.
Cyber Crime schläft nicht. Einer der wichtigsten Punkte bezüglich Cyberresilienz ist sehr trivial: Kriminelle halten sich nicht an deutsche Arbeitszeiten. Im Gegenteil, es werden vermehrt Attacken an Wochenenden oder an Feiertagen lanciert, um Unternehmen in möglichst verwundbaren Zuständen zu treffen, wie Studien nahelegen [4]. Zwar sind 90 Prozent der Cybersecurity-Experten besorgt, was Angriffe am Wochenende oder an Feiertagen angeht, allerdings haben 24 Prozent von ihnen keine dezidierten Maßnahmen etabliert, obwohl sie bereits Opfer geworden sind. Diese Zahl zeigt, dass Handlungsbedarf besteht und Unternehmen ständige Alarmbereitschaft aufbauen müssen. Gerade bei kleinen Teams, etwa im Mittelstand, kann das allerdings zur Herausforderung werden. Eventuell lohnt sich die Kooperation mit einem Dienstleister, der über große global verteilte Teams verfügt und so eine 24/7-Verfügbarkeit gewährleisten kann.
Kriminelle arbeiten außerdem immer mit dem aktuellen Stand der Technik. So nutzen sie beispielsweise generative KI, um ausgefeilten Schad-Code für ihre Angriffe in nie dagewesener Geschwindigkeit zu erstellen. KI kann andererseits aber auch im Security-Bereich genutzt werden, beispielsweise um Anomalien im Netzwerkverkehr zu erkennen.
Resilienz ist mehr als nur Verteidigung. Selbstverständlich sind im Rahmen einer Cybersicherheitsstrategie starke Verteidigungslinien wichtig. Doch IT-Verantwortliche müssen immer damit rechnen, dass diese durchbrochen oder umgangen werden. In einer von Kyndryl durchgeführten Umfrage unter 300 IT-Entscheidungsträgern sowie Risiko- und Compliance-Fachpersonal gaben 92 Prozent der Befragten an, dass ihr Unternehmen innerhalb der vergangenen zwei Jahre von einem Cyberangriff betroffen war.
Dies zeigt: Cyberangriffe sind keine einzelnen akuten Gefahren mehr, sondern eine dauerhafte Bedrohung. Diese ständige Exposition führt irgendwann dazu, dass Schwachstellen entstehen. Echte Resilienz bedeutet, sich dieses Problems bewusst zu werden und neben den Abwehrmaßnahmen auch Strategien zur Wiederherstellung nach Angriffen auszuarbeiten. Denn digitale Unternehmen können es sich nicht leisten, längere Zeit down zu sein, weshalb Cyberresilienz einen wesentlichen Faktor des Geschäftserfolgs darstellt.
Kontinuierliche Anstrengungen notwendig. Leistungsfähige Backup-Infrastrukturen und die Nutzung von KI bei der Erkennung von Bedrohungen und Automatisierung helfen heute dabei, kritische Workloads nach Angriffen schneller wiederherzustellen. Dennoch ist Resilienz keine Funktion, die man einmal implementiert und die dann gegeben ist. Vielmehr verbirgt sich dahinter anhaltende, harte Arbeit. Um wirklich wiederstandfähig gegenüber Bedrohungen zu sein, müssen sich Organisationen immer wieder an diese sich verändernde Umwelt anpassen. Wiederherstellungspläne müssen regelmäßig geprobt und wenn nötig an alternierende Umgebungsparameter angepasst werden.
Dabei sollten Verantwortliche allerdings immer die Komplexität der Maßnahmen im Blick behalten. Die Herausforderung ist, dass Sicherheits- und Wiederherstellungsmaßnahmen nicht zu einer Verkomplizierung der IT-Infrastruktur führen dürfen. Ein solches Komplexitätswachstum war vielerorts während der Pandemie zu beobachten. Ein wichtiger Schritt bei der Lösung dieses Problems kann tatsächlich mehr Cloud-Nutzung sein. Durch die Verlagerung von zusätzlichen Workloads in die Cloud können Anwendungen und Tools harmonisiert werden, was den Betrieb effizienter, übersichtlicher und somit auch sicherer gestaltet. Integrationsprobleme können Unternehmen währenddessen adressieren, indem sie eine einheitliche, sichere Integrationsplattform nutzen, die als Brücke zwischen verschiedenen (Multi-) Cloud- und hybriden Infrastrukturen fungiert.
Sicherheit ist eine Gemeinschaftsanstrengung. In heutigen komplexen Infrastrukturen lässt sich die Verantwortung für -Cybersicherheit nicht mehr einzelnen Abteilungen oder -Mitarbeitern zuweisen. Es muss vielmehr ein kollektives Bewusstsein dafür entstehen. Alle Akteure entlang der Lieferkette sind dafür verantwortlich. Auch die Chefetage muss sich mit dem Thema befassen, da Cyberresilienz direkte Auswirkungen auf den Geschäftserfolg von Unternehmen hat. Es gilt, im regelmäßigen Dialog mit IT-Sicherheitsexperten zu stehen und so Silos aufzubrechen.
Um den Dialog in der Branche zu fördern, hat Kyndryl beispielsweise einen Thinktank gegründet, der CISOs mit Sicherheitsexperten zusammenbringt. Ein solcher Austausch ist wertvoll für Branchen-Leader, die einen Überblick über sich ständig verändernde Umgebungsbedingungen, Bedrohungslagen und Regularien behalten müssen.
Cyberresilienz ist ein Thema, das heute praktisch alle Unternehmen angeht. Kein Mittelständler ist mehr zu klein, um unter dem Radar der Kriminellen zu bleiben, keine Branche mehr zu exotisch, als dass sie nicht das Ziel von Angriffen werden könnte. Jeder kann (und wird sehr wahrscheinlich irgendwann) Opfer werden – dann entscheidet gute Vorbereitung darüber, welche Auswirkungen ein Angriff auf das Unternehmen hat.
Markus Koerner,
Deutschland-Chef
des weltweit größten
IT-Dienstleisters Kyndryl
Illustration: © Roman Samborskyi | shutterstock.com