27. September 2022

Widerstandsfähige Unternehmen: Was bedeutet Cyber-Resilienz?

Der Begriff der Resilienz taucht in verschiedenen Zusammenhängen auf. In der Cybersicherheit ist die Cyber-Resilienz eine wichtige Fähigkeit von Unternehmen, um souverän auf Cyber-Bedrohungen und -Angriffe reagieren und diese kompensieren zu können. Was diese Fähigkeit konkret ausmacht und wie sie in Unternehmen etabliert werden kann, erfahren Sie in diesem Artikel.

Was ist Cyber-Resilienz?

In der IT-Sicherheitsbranche ist Cyber-Resilienz ein häufig verwendeter Begriff, der zwar keine einheitliche Definition hat, aber dessen Bedeutung sich aus dem Kontext anderer Disziplinen ergibt. Resilienz wird in verschiedenen Zusammenhängen verwendet und bedeutet im Allgemeinen so viel wie Widerstandsfähigkeit oder Anpassungsfähigkeit.

Resilienz beschreibt die Fähigkeit, flexibel auf Herausforderungen reagieren und Ausfälle von Sicherheiten kompensieren zu können. In der Psychologie ist die Resilienz ein wichtiger Faktor, um schwierige Lebenssituationen ohne Beeinträchtigung zu überstehen. Dabei gibt es Faktoren, die die Resilienz begünstigen oder beeinträchtigen können.

Bezogen auf die Informationssicherheit beschreibt die Cyber-Resilienz die Fähigkeit von Unternehmen, auf Cyber-Herausforderungen reagieren zu können. Dies umfasst jegliche Gefahren der Cyberkriminalität, also Bedrohungen aus dem Netz ebenso wie Systemausfälle oder zukünftige Gefahren. Das Ziel einer Cyber-Resilienz-Strategie ist es, gut auf Angriffe vorbereitet zu sein, im Ernstfall schnell und effektiv reagieren zu können und Schäden zu minimieren.

Der Unterschied von Cyber-Resilienz und Cyber-Security

Die Cyber-Resilienz geht dabei Hand in Hand mit der Cyber-Security von Unternehmen und schließt Maßnahmen und Konzepte des Business Continuity Managements, der Informationssicherheit, IT Forensik und Incident Response ein. Cyber-Resilienz ist eine ganzheitliche Strategie und die grundlegende Fähigkeit von Unternehmen, Cyber-Ereignisse zu erkennen und zu identifizieren, darauf zu reagieren und sich schnell von Vorfällen zu erholen.

Die Maßnahmen und Konzepte der Cyber-Security (wie beispielsweise Firewalls, VPN, Anti-Malware etc.) sind ein wesentlicher Teil davon. Die Cyber-Resilienz geht jedoch darüber hinaus und schließt neben der Technologie Personen, Prozesse, Tools, Wissen etc. mit ein. Ziel ist die Stärkung der Widerstandsfähigkeit von Unternehmen bei einem Cyber-Angriff.

Die Relevanz von Cyber-Resilienz

Die Bedrohung durch Cyber-Angriffe nimmt zu und Cyberkriminelle sind schnell und effektiv im Entwickeln und Nutzen neuer Technologien. Vermeintlich kleine Sicherheitslücken, eine instabile politische oder gesellschaftliche Lage, Unsicherheit oder Unwissen können zum Einfallstor in die Systeme von Unternehmen werden. Vor diesen großen Herausforderungen wird die Cyber-Resilienz von Unternehmen zum unverzichtbaren Bestandteil der Sicherheitsstrategie.

Sicherheit in Unternehmen muss ganzheitlich gedacht werden und die zahlreichen Bedrohungen durch Cyberkriminalität sind nicht zu ignorieren. Die Widerstandsfähigkeit von Unternehmen gegen diese Bedrohungen und die Fähigkeit, im Ernstfall schnell und souverän zu reagieren und sich vor allem nach einem Angriff schnell wieder zu erholen, ist für Unternehmen von existentieller Bedeutung.

Cyber-Resilienz in Unternehmen umsetzen

Schutz und Sicherheit müssen als Grundbestandteile und Basis in der Struktur jedes Unternehmens verankert sein. Die Cyber-Resilienz ist ein ganzheitlicher Ansatz und umfasst im Grunde drei Bereiche, die Unternehmen beim Aufbau ihrer Resilienz berücksichtigen sollten:

1. Personen

Zum einen werden ausgebildete Sicherheitsexperten benötigt, um die notwendigen Maßnahmen im Unternehmen zuverlässig zu planen, umzusetzen und zu überwachen. Diese Experten können auch innerhalb des Unternehmens aus- oder weitergebildet werden und mit entsprechenden Schulungen für die unterschiedlichen Herausforderungen gewappnet werden.

Zum anderen kommt es darauf an, im gesamten Team des Unternehmens für eine grundlegende Aufmerksamkeit und das notwendige Grundwissen zum Thema Cyber-Security zu sorgen. Die Mitarbeiter:innen sind häufig besonders im Visier von Cyberkriminellen, weil Unsicherheit oder Unwissen häufig besser manipuliert werden können als technische Schutzmaßnahmen. Nur ein Klick auf den Link in einer gefälschten E-Mail kann Angreifenden Zugang zum System verschaffen. Deshalb sollten Unternehmen ihr ganzes Team zum Beispiel durch entsprechende Awareness-Schulungen für diese Gefahren sensibilisieren. 

2. Prozesse

Sicherheit ist kein statischer Zustand, sondern ein ständiger Prozess. Im Unternehmen müssen Strukturen verankert sein, die die Sicherheitsmaßnahmen stetig überwachen, kontrollieren, Lücken erkennen und diese schließen. Dies kann beispielsweise durch ein zertifiziertes ISMS (Informationssicherheits-Managementsystem) sichergestellt werden.

Außerdem braucht es klare Strategien und Abläufe für den Ernstfall. Bei einem Sicherheitsvorfall kommt es auf Schnelligkeit an: Den Vorfall erstens schnell zu bemerken und zu identifizieren, zweitens schnell zu reagieren und die Systeme zu schützen und sich drittens anschließend schnell davon zu erholen, damit die Geschäftsabläufe so wenig wie möglich beeinträchtigt werden. Mit einer klaren Incident Strategie können sich Unternehmen für den Ernstfall wappnen.

3. Technologie

Die personellen und organisatorischen Maßnahmen müssen natürlich durch die entsprechende Technologie unterstützt und umgesetzt werden. Technische Maßnahmen und Lösungen, die den Anforderungen des Unternehmens entsprechen, müssen implementiert und sicher in die Abläufe integriert werden. Dies reicht von Programmen und Software für Anti-Malware oder Nutzermanagement über Lösungen für die Cloud Security bis hin zu Netzwerksicherheit oder Kryptographie.

geschrieben von
Annika Brockhaus, für die isits AG International School of IT Security

Immer auf dem Laufenden:
News direkt in Ihr Postfach.

Wir feiern unser 20-jähriges Firmenjubiläum!

Laden Sie sich jetzt kostenlos unsere neue, umfassende Weiterbildungsbroschüre herunter:

Mit Klick auf den Button melden Sie sich zu unserem E-Mail-Verteiler an & erhalten unsere Weiterbildungs-News direkt in Ihr Postfach. Dieser Nutzung kann jederzeit widersprochen werden.