In den vergangenen 20 Jahren wurde viel über Cybersicherheit gesprochen und darüber, wie IT-Security-Lösungen Unternehmensinfrastrukturen und -daten schützen können. Der Cyberspace hat sich aber in all den Jahren stark verändert. Das Internet ist immer schneller und demokratischer geworden, die Digitalisierung in alle Unternehmen vorgedrungen. Aufgrund ihrer Abhängigkeit von mehreren Dienstleistern sind Firmen heute einem höheren systemischen Risiko ausgesetzt.
Jeden Tag werden neue Schwachstellen aufgedeckt, die dieses Ökosystem immer anfälliger für (Cyber-)Attacken machen. Alle Schwachpunkte umfassend zu überwachen und zu schließen, ist sowohl personell als auch finanziell zu aufwendig. Demnach erscheinen Cyberattacken als unausweichlich. Wir stehen jedoch kurz vor einem Paradigmenwechsel hin zur Cyberresilienz.
Der Ansatz der Resilienz ist weit davon entfernt, fatalistisch zu sein. Er zielt darauf ab, die Auswirkungen eines Cyberangriffs auf den Betrieb des Unternehmens zu minimieren. Die Cybersicherheit bleibt dabei eine wesentliche Säule, wird aber in einen echten systemischen Ansatz integriert, nämlich den der Cyberresilienz. Es geht darum, nach einem Ausfall, einer Fehlfunktion oder einer Attacke die Fortführung der Geschäftstätigkeit des Unternehmens sicherzustellen, selbst im eingeschränkten Modus. Diese Geschäftskontinuität basiert auf fünf Säulen: Identifizierung, Schutz, Erkennung, Reaktion und Wiederherstellung.
Gute Vorsätze im Unternehmen zugunsten der Cyberresilienz
Die Erlangung der Cyberresilienz gelingt nicht über Nacht. Zuerst muss im Unternehmen die Tatsache kommuniziert und akzeptiert werden, dass eine digitale Krisensituation unvermeidlich ist. Das Verständnis dieser Ausgangslage ist insbesondere auf Geschäftsführungsebene wichtig, da das Management die Verantwortung dafür trägt, die notwendigen Ressourcen für die Umsetzung von Cyberresilienz-Plänen bereitzustellen. Zusätzlich zu den Basismaßnahmen – zum Beispiel die Durchführung regelmäßiger Datensicherungen und deren Speicherung in einer Umgebung, die nicht mit dem Unternehmensnetzwerk verbunden ist – sind weitere Schritte zu unternehmen.
> Einhaltung der Vorschriften überprüfen
Zunächst sollten Unternehmen deren Einhaltung der Vorschriften überprüfen und den bestehenden Geschäftskontinuitätsplan für Cyberattacken stärken.
Dabei sollte man bedenken, dass es sich um keinen einmaligen Prozess handelt: Die Mechanismen der Cyberresilienz müssen regelmäßig aktualisiert und getestet werden. Auf der einen Seite verändern sich die Bedrohungen, auf der anderen Seite die Unternehmen: Ein neues Geschäftsprojekt kann zum Beispiel das Risiko für einen Cyberangriff erhöhen und, wenn diese Gefahr nicht rechtzeitig erkannt wird, die Cyberresilienz-Maßnahmen unwirksam machen.
> Menschliche Komponente berücksichtigen
Die menschliche Komponente ist entscheidend. Man darf sich nicht ausschließlich darauf verlassen, dass die automatisierten Prozesse und technischen Security-by-Design-Maßnahmen greifen. Die Unternehmen müssen sich auch auf reaktionsschnelles Personal verlassen können, das sich des Themas Cybersicherheit bewusst ist. Das verhindert womöglich, dass Mitarbeiter ihre Arbeit wieder vornehmlich auf Papier erledigen müssen.
> Partner stärken
Genauso wichtig ist es, sich auf die Partner verlassen zu können, die ebenfalls auf die Gefahren im digitalen Ökosystem aufmerksam gemacht werden müssen. Noch besser wäre es, wenn Lieferanten und Auftragnehmer zur Verantwortung gezogen würden: Im Sinne der Datenschutzgrundverordnung (DSGVO) wäre eine Idee, die Aufteilung der Verantwortlichkeiten bezüglich der Cyberresilienz der Zulieferer vertraglich festzulegen.
> Den Informationsaustausch fördern
Schließlich sollte man festlegen, wie das Unternehmen über Cybersicherheits-Anliegen und -Attacken kommunizieren möchte. Zusätzlich zu den gesetzlichen Meldepflichten sollte der Austausch über diese Themen mit Kollegen, Partnern und Mitarbeitern, Investoren und sogar Kunden gefördert werden, denn so baut das Unternehmen Vertrauen auf. Wenn sich eine Organisation bereits heute auf potenzielle Vorfälle vorbereitet und in Cybersicherheit wie ihre eigene Cyberresilienz investiert, stellt dies ein echter Mehrwert für alle dar.
Wie bei allen Prozessen im Krisenmanagement muss die Cyberresilienz geschaffen werden, bevor es zu einem Sicherheitsvorfall kommt, den man damit unbeschadet überwinden soll. Im Einklang mit unserer digitalen Welt, in der täglich mehr Daten ausgetauscht werden, basiert diese neue Perspektive auf einem systemischen Ansatz, der das allgemeine Bewusstsein, den Informationsaustausch zwischen den Akteuren und die Auswahl der richtigen Tools für die Cybersicherheit als erste unerlässliche Schutzschicht umfasst.