Noch nie wurden im digitalen Zeitalter Unternehmen und deren etablierte Prozesse so stark und so unmittelbar beeinflusst wie seit Beginn der Corona-Pandemie. Führungsebenen mussten ihren Fokus häufig quasi über Nacht auf resiliente Geschäftsabläufe und Customer-Experience-Programme verlagern, um ihr Unternehmen sicher durch die Krise zu bringen. Durch die beispiellosen Veränderungen war der moderne Chief Information Security Officer (CISO) plötzlich verschiedensten Herausforderungen ausgesetzt – er war gezwungen,
- die organisatorische Resilienz zu unterstützen,
- Änderungen bei der Belegschaft anzugehen,
- die erhöhten Bedenken hinsichtlich „Insider Threats“ anzugehen,
- eine größere Risikofläche zu schützen, die durch die Umstellung auf die Cloud entstanden ist,
- und die Explosion von gezielten Phishing-Angriffen zu bewältigen.
Vorstände mussten in diesem Jahr ihre Sicht auf die Cyber Security mehr denn je in Frage stellen. Könnte das Unternehmenseine Kernaufgaben und Kundenaufträge auch während und nach einem Angriff weiterhin problemlos erfüllen? Wie widerstandsfähig wären die Systeme bei einer langanhaltenden Cyberattacke?
Viele Unternehmen und Branchen sind betroffen
Fragen zur Resilienz beschränken sich nicht nur auf Cyberangriffe von politischen Gegnern oder kriminellen Syndikaten. Auch Insider Threats – Bedrohungen, die im Innern des Unternehmens lauern – sind häufiger geworden: Mitarbeiter, Auftragnehmer oder Drittanbieter, die Zugriff auf wichtige cloudbasierte Unternehmensdaten haben, könnten diese für ihren eigenen finanziellen Vorteil herausschleusen, beschädigen oder löschen.
Produktions- und Logistikunternehmen sind zunehmend auf 5G-fähige Roboter und andere automatisierte Technologien angewiesen. Auch diese können durch Cyberangriffe schnell Probleme bekommen,– etwa durch anhaltende Ausfallzeiten, die Geschäfts- und Industrieprozesse unterbrechen. Die Frage, die sich CISOs in Zukunft stellen müssen , lautet daher: „Sind wir cyber-resilient?“
Was ist Cyber Resilience?
Das internationale Marktforschungs- und Beratungsunternehmen IDC definiert Cyber Resilience als die Verschmelzung von Cyber Security, Risikomanagement, Geschäftskontinuität und Resilienz-Praktiken, die die Fähigkeit eines Unternehmens fördern, einem versehentlichen oder absichtlichen Angriff standzuhalten und sich davon wieder zu erholen.
Vor allem muss an dieser Stelle zwischen Cyber Security und Cyber Resilience unterschieden werden. Zwar werden beide Disziplinen durch ein Ziel verbunden: Die Verhinderung von Cyberangriffen und Aufrechterhaltung des Geschäftsbetriebs. Doch Cyber Resilience erweitert den Umfang von Cyber Security, um sicherzustellen, dass ein Unternehmen vorsätzliche Angriffe, versehentliche Verstöße oder auch höhere Gewalt abfangen und aushalten kann. Es geht dabei insbesondere um „Was wäre, wenn…“-Szenarien.
Wie sollte das Cyber Resilience-Team aufgestellt sein?
Cyber Resilience ist ein Mannschaftssport, denn die Verantwortung liegt nicht nur auf der Seite der Security-Teams. Vielmehr brauchen Unternehmen einen multidisziplinären und organisatorischen Integrationsansatz, um die Transformation von Cyber Security zu Cyber Resilience zu unterstützen. Einige der wichtigsten Stakeholder bei der Entwicklung der Cyber Resilience sind:
- Der Vorstand: Cyber Resilience lässt sich nur dann umsetzen, wenn auch die Führungsebene eingeschaltet wird. Der Vorstand eignet sich ideal, um Erwartungen an die Zusammenarbeit zwischen den verschiedenen Abteilungen zu setzen und sicherzustellen, dass Fortschritte bei verschiedenen Cyber-Resilience-Projekten weiterhin auf der Tagesordnung stehen.
- Externe Stakeholder: Cyber Resilience findet nicht nur innerhalb des Unternehmens statt. In unserer digital vernetzten Welt müssen Unternehmen die Resilienz ihrer gesamten Lieferkette überprüfen. Enthalten die Managed-Service-Vereinbarungen eine Sprache, die Cyber Resilience unterstützen? Wurden alternative Anbieter überprüft, um den primären Anbieter im Zweifelsfall ersetzen zu können?
- Branchenspezifische C-Level: Chief Medical Officers im Healthcare-Bereich, Chief Manufacturing Officers in der Fertigung und Chief Supply Chain Officers müssen andere Teammitglieder über die kritischen Punkte in ihren jeweiligen Abteilungen informieren. Die Teilnahme aller Abteilungen an verschiedenen „Was wäre, wenn“-Sitzungen sind ebenfalls von entscheidender Bedeutung.
- Rechts-, Risiko- und Compliance-Beauftragte: Behörden und verschiedene Regierungsstellen interessieren sich immer mehr für die Cyber Resilience von Branchen, die eine nationale Bedeutung haben. Daher müssen entsprechend Beauftragte in diesen Unternehmen in der Lage sein, die Vorschriften von externen Stellen umzusetzen und aufkommende Anforderungen zu berücksichtigen.
- CISOs: Cyber Resilience und Cyber Security sind nicht dasselbe, spielen aber beide eine sehr wichtige Rolle in der Unternehmensstrategie. CISOs müssen gleichzeitig mehrere Projekte im Zusammenhang mit Cyber Resilience leiten, beraten und die Zuarbeit leisten können.
- Die Ersatzbank: Wenn die Startspieler einer Sportmannschaft müde oder verletzt sind, muss sich der Cheftrainer an die Ersatzspieler wenden können. Cyber-Resilience-Teams brauchen eine Ersatzbank, an die sie sich für ihre eigene Resilienz wenden können. Cyberstörungen treten nicht nach Terminplan auf. Wenn Störungen auftreten, während ein „Startteam“-Mitglied ausfällt, ist das Team auf einen ebenbürtigen Ersatzspieler angewiesen.
Haben Sie sich schon einmal mit dem Thema Cyber Resilience auseinandergesetzt? Informieren Sie sich auf unserem neuen Portal für Sicherheitsexperten im Detail zu den verschiedenen Aspekten rund um Cyber Resilience oder nehmen Sie an unserem Webinar „Being Cyber Resilient During, After and Beyond Covid-19“ am 14. Januar teil:
Jetzt anmelden: Being Cyber Resilient During, After and Beyond Covid-19
In einem unserer nächsten Blogbeiträge zu diesem Thema widmen wir uns Cyber Resilience auf einer tieferen Ebene. Wie erlangen Unternehmen Cyber Resilience und was sind die höheren Ziele dieser umfangreichen Sicherheitsdisziplin?
