Kein Unternehmen ist vollkommen immun gegen Cyber-Sicherheitsangriffe. Anstatt sich allein auf die Verhinderung von Angriffen zu konzentrieren, sollten Unternehmen sicherstellen, dass sie in der Lage sind, schnell zu reagieren, sich schnell zu erholen und den Betrieb aufrecht zu erhalten.

 

Mit anderen Worten: Sie müssen für Cyberresilienz sorgen.

 

Cyberresilienz erfordert die Einrichtung von Richtlinien und Prozessen, die dafür sorgen, dass ein Unternehmen auch angesichts ständig neuer Sicherheitsbedrohungen seine langfristige Strategie weiterverfolgen kann. Diese Widerstandsfähigkeit gegen Cyber-Angriffe sollte Teil eines ganzheitlichen Sicherheitskonzepts sein, das alle Bereiche des Unternehmens berücksichtigt, von den Mitarbeitern über die Partner bis hin zum Vorstand. Die Verbesserung der Sicherheit ist kein einmaliges Projekt, sondern ein fortlaufendes Programm.

Um Cyber-resilient zu werden, müssen Unternehmen ein ausgewogenes Verhältnis zwischen drei Handlungsaspekten finden: kritische Assets schützen, Sicherheitslücken erkennen und auf Vorfälle reagieren. Um die IT-Landschaft widerstandsfähig gegen Cyber-Angriffe zu machen sind Investitionen in die Infrastruktur, das Design und die Entwicklung von Systemen, Anwendungen und Netzwerken erforderlich. Gleichzeitig müssen Unternehmen eine Kultur schaffen und fördern, die sich dieser Resilienz und der Sicherheit als wichtigem Faktor bewusst ist.

Eine Cyberresilienz-Strategie für Unternehmen besteht aus drei wichtigen Komponenten:

1. Bereiten Sie Unternehmen und IT-Systeme auf Gefahren der nächsten Generation vor.

Unternehmen müssen sich auf globale Malware- und Ransomware-Angriffe ebenso vorbereiten wie auf subtilere Angriffe, bei denen sich der Gegner im Netzwerk versteckt. Beginnen Sie mit der Definition Ihrer Unternehmenssicherheitsarchitektur, um priorisierte Risiken anzugehen. Verschaffen Sie sich einen aktuellen Überblick über Ihre Sicherheitslage. Halten Sie beispielsweise fest, wie sich Ihr Unternehmen nach einem Ransomware-Angriff reagieren würde. Wir würden Sie zum Beispiel reagieren, wenn mehrere Websites, das Active Directory und Backup-Plattformen verschlüsselt werden? Bewerten Sie kritische Anwendungen und deren Abhängigkeit von der Infrastruktur. Definieren Sie anschließend eine Kommunikations- und Befehlsstruktur, um die Business Continuity zu gewährleisten.

2. Aktualisieren Sie Ihre Security-Governance-Strategie.

Governance ist ein wesentlicher Bestandteil einer erfolgreichen Sicherheitsplanung und entscheidend, wenn es um die Erreichung der Cyberresilienz geht. Um sicherzustellen, dass Ihre Strategie aufgeht, integrieren Sie Strategien für Schutz, Erkennung und Reaktion. Aktualisieren und testen Sie Pläne zur Aufrechterhaltung des Systembetriebs und für das Krisenmanagement, um auch neue Beschaffungsmodelle zu berücksichtigen. Erweitern Sie die Anforderungen des Krisenmanagements auf alle Partner und Zulieferer. Sensibilisieren Sie die Mitglieder von Vorstand und Geschäftsführung für Cyberrisiken und die Maßnahmen, die es zur Erreichung einer effektiven Cyberresilienz zu ergreifen gilt. Überprüfen und verfeinern Sie ältere Zugriffs- und Software-Patching-Richtlinien und erwägen Sie die Einführung einer rollenbasierten Zugriffskontrolle (Role-Based Access Control, RBAC), um den Zugriff auf Computer- und Netzwerkressourcen effizienter zu regeln.

3. Sorgen Sie für eine Kultur, die sich des Themas Resilienz bewusst ist.

Regen Sie alle Mitarbeiter – nicht nur das Team für Cybersicherheit – dazu an, sich des Themas Resilienz anzunehmen. Betonen Sie, dass die Mitarbeiter an vorderster Front stehen, wenn es um Bedrohungen wie Phishing und Malware geht. Fördern Sie die Zusammenarbeit zwischen den Teams mit relevanten Informationen über Sicherheit und Bedrohungen. Leiten Sie die Mitarbeiter dazu an, Informationen mit den zuständigen Behörden und Kollegen innerhalb und außerhalb des Unternehmens zu teilen.

Schauen Sie stets voraus

In dem Maße, in dem Unternehmen im Rahmen der fortlaufenden digitalen Transformation neue Technologien einführen, tauchen auch neue Bedrohungen auf. Unternehmen müssen gut vorbereitet sein und über die richtigen Mitarbeiter verfügen, um sich diesen Gefahren zu stellen:

IoT-Sicherheitslücken.

Berücksichtigen Sie die Anforderungen an Cyber-, physische und Ausfallsicherheit vor der umfassenden Bereitstellung von IoT-Systemen (Internet of Things) mit der damit verbundenen Abhängigkeit. Nutzen Sie IoT-Gateways und Peripheriegeräte, um verschiedene, getrennte Schutzschichten zwischen unsicheren Geräten und Internet bereitzustellen und so dem allgemeinen Mangel an IoT-Sicherheit entgegenzuwirken.

Die Komplexität der Blockchain.

Blockchain-Technologie ist von sich aus verteilt und resilient. Die Blockchain verlagert jedoch Transaktionen hin zu einem dezentralisierten Modell und erfordert damit die Kontrolle privater kryptografischer Schlüssel. Verwenden Sie bei der Einbettung von Sicherheit in Blockchain-Transaktionen rollenbasierte Authentifizierung und End-to-End-Verschlüsselung, um Daten angemessen zu schützen.

Fehlende SOC-Ressourcen.

Untersuchen Sie die wichtige Rolle, die SOCs (Security Operation Centers) beim Zusammenführen der für die Verteidigung erforderlichen Ressourcen spielen. Definieren Sie, was eine verdächtige Aktivität darstellt, identifizieren Sie Sicherheitslücken, konfigurieren Sie Erkennungstechnologien, suchen und bewerten Sie aktive Bedrohungen und benachrichtigen Sie schließlich alle betroffenen Parteien. SOCs müssen Identitäten verwalten und überwachen, sowie die Einhaltung von Richtlinien und gesetzlichen Anforderungen sicherstellen.

Wechsel zu DevSecOps.

Erwägen Sie die Einführung eines umfassenden DevSecOps-Modells, das Überprüfung und Governance umfasst und schnellere Release-Zeiten und Innovationen unterstützt. Stellen Sie fest, ob Ihr Unternehmen die für den Erfolg notwendigen Anforderungen erfüllen kann. Dazu gehören beispielsweise der Wechsel zu einer Kultur der Zusammenarbeit, der Aufbau von Sicherheit über den gesamten Entwicklungslebenszyklus hinweg und die Bewertung technischer und geschäftlicher Risiken.

 

Cyberresilienz sollte über einen modularen Transformationsprozess von einer sorgfältig definierten Strategie bis zu einer Projekt-Roadmap realisiert werden. Achten Sie darauf, dass Sie Ihre Strategie an den Geschäftszielen ausrichten, entwerfen Sie einen entsprechenden Plan und sorgen Sie für die ordnungsgemäße Umsetzung dieses Plans, zu der auch auf Risikomanagement basierende Entscheidungen gehören.

Weitere Informationen finden Sie im englischen Whitepaper How to create a culture of cyber resiliency.