Wir erklären, was der Begriff Cyber-Resilienz bedeutet und wie Unternehmen ihre Widerstandsfähigkeit stärken können.
Gefahr erkannt, Gefahr abgewendet?
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) legt jedes Jahr einen sehr umfassenden Bericht mit dem Titel „Die Lage der IT-Sicherheit in Deutschland“ vor. Die wichtigsten Inhalte daraus präsentieren wir auch immer hier in unserem Blog (BSI Management Report 2023, BSI Management Report 2022, BSI Management Report 2021, BSI Management Report 2020, BSI Management Report 2019). In den letzten Jahren gab es einen klaren Trend: Die Bedrohungslage wird immer ernster, und die Risiken für die IT-Sicherheit sind daher enorm.
Mit seinem Bericht beschränkt sich das BSI jedoch nicht darauf, die düstere Situation zu beschreiben. Vielmehr gibt er auch wichtige Hinweise, wie Unternehmen und Organisationen auf diese Bedrohungslage reagieren sollten. In der Ausgabe 2023 sticht in diesem Zusammenhang ein Schlüsselwort besonders hervor: Cyber-Resilienz (oder kurz Resilienz). Der dringende Appell lautet, dass Unternehmen ihre Resilienz unbedingt stärken sollten, um sich auf die zunehmenden Bedrohungen im Cyberraum vorzubereiten. Das wirft die Frage auf: Was ist Cyber-Resilienz überhaupt?
Was ist Cyber-Resilienz? | Definition
Der Begriff Cyber-Resilienz (auch: Cyber-Resilienz) beschreibt die Widerstandsfähigkeit von IT-Systemen, Organisationen oder auch einer Gesellschaft gegenüber Sicherheitsvorfällen oder Cyberangriffen. Resilienz gegenüber Cyberbedrohungen resultiert aus einem komplexen Zusammenspiel organisatorischer und technischer Präventionsmaßnahmen. Resiliente Unternehmen werden in der Lage sein, ausgeführten Cyberangriffen entweder vollständig standzuhalten oder sich schnell und ohne bleibende Schäden von ihnen zu erholen.
In einer zunehmend vernetzten Welt und angesichts der wachsenden Bedrohungslage wird auch Cyber-Resilienz immer wichtiger. Sie konzentriert sich eindeutig auf Aspekte der IT-Sicherheit und basiert auf der Fähigkeit, Cyberangriffe zu verhindern, Cyberereignisse zu identifizieren, die Auswirkungen von Cyberangriffen zu minimieren und die Erholung nach einem Sicherheitsvorfall zu beschleunigen. Prävention, Resilienz und Wiederherstellung werden daher auch als die drei Säulen der Cyber-Resilienz bezeichnet.
Cyber-Resilienz: wichtige Maßnahmen
Der Aufbau der Cyber-Resilienz ist ein kontinuierlicher Prozess, da sich auch die Bedrohungslage ständig ändert und sich Cyberbedrohungen ständig weiterentwickeln. Hier sind wichtige Maßnahmen, die zur Verbesserung der Cyber-Resilienz beitragen können:
- Einführung einer Cybersicherheitsstrategie:
Eine Cybersicherheitsstrategie legt die Ziele und Maßnahmen zur Verbesserung der Cybersicherheit fest. Dazu muss natürlich zunächst eine Analyse der aktuellen Situation durchgeführt werden. Sobald potenzielle (Cyber-) Risiken identifiziert und bewertet wurden, kann auf dieser Grundlage eine Strategie entwickelt werden. Sie sollte unter anderem präventive Maßnahmen beinhalten, mit denen Cyberangriffe bestenfalls vollständig verhindert werden können. - Implementierung von Sicherheitssystemen:
Hier gibt es eine ganze Reihe von Instrumenten, mit denen die Cyber-Resilienz im Bereich der Prävention verbessert werden kann. Dazu gehören Antivirensoftware, Anti-Malware-Software und Firewalls. Tools, die zur Implementierung von Patch– und Backup-Management verwendet werden können, tragen ebenfalls zur Widerstandsfähigkeit des Unternehmens bei. Netzwerk- und Systemüberwachungslösungen wie Intrusion Detection Systems (IDS) und Intrusion Prevention Systems (IPS) sind ebenfalls nützlich. Ein effizientes Identitäts- und Zugriffsmanagement (IAM), mit dem der Benutzerzugriff und die Benutzerrechte gesteuert und verwaltet werden können, wird ebenfalls empfohlen. Ein Passwort-Manager und die Einrichtung einer Multi-Faktor-Authentifizierung (MFA) tragen ebenfalls zur Cyber-Resilienz bei. Nicht zuletzt sollten Unternehmen den Einsatz von Verschlüsselungstechnologien für die Datenübertragung und -speicherung sowie für die Sicherheit der Lieferkette in Betracht ziehen. - Vorbereitung eines Notfallmanagementsystems:
Ein ausgefüllter — und natürlich aktueller — Notfallplan ist unerlässlich, wenn ein Cyberangriff erfolgreich ist. In einem solchen Szenario ist es entscheidend, sofort und kompetent zu reagieren, um den Sicherheitsvorfall in den Griff zu bekommen und sich so schnell wie möglich davon zu erholen. Dementsprechend stärkt insbesondere die Umsetzung des Notfallmanagements den Pfeiler „Erholung“. Es ist jedoch nicht nur notwendig, einen Notfallplan zu erstellen und diesen regelmäßig zu aktualisieren, sondern auch Notfallübungen durchzuführen, um die Reaktionsfähigkeit auf Cyberangriffe zu testen. - Schulung des Personals:
Die „menschliche Firewall“ ist ein Schlüsselelement der Cyber-Resilienz. Die Mitarbeiter müssen jedoch angemessen geschult werden, um Sicherheitsrisiken zu erkennen und angemessen darauf zu reagieren. Die Sensibilisierung für Bedrohungen wie Phishing-Angriffe und andere Social-Engineering-Methoden ist hier elementar. Schulungen zur Umsetzung des Notfallplans sind ebenfalls wichtig. - Audits zur Bewertung der Cyber-Resilienz:
Da sich die Bedrohungslandschaft ständig verändert, muss die Cyber-Resilienz eines Unternehmens immer wieder neu bewertet werden. Die zentrale Frage: Sind die getroffenen Sicherheitsmaßnahmen immer noch auf dem neuesten Stand der Technik — oder ist eine Anpassung notwendig? Es sollten auch Lehren aus eingetretenen Sicherheitsvorfällen gezogen und Verbesserungen abgeleitet werden.
Wenn diese — und andere — Maßnahmen effektiv kombiniert werden, kann die Cyber-Resilienz von Organisationen und Unternehmen deutlich verbessert werden. Es ist wichtig, rechtzeitig Maßnahmen zu ergreifen!
Die EU-Kommission entwirft ein Gesetz über Cyber-Resilienz
Wenn das Bundesamt für Sicherheit in der Informationstechnik die Bedeutung von Cyber-Resilienz angesichts der zunehmenden Cyberbedrohung hervorhebt, ist es nicht allein damit, diesen Schwerpunkt zu setzen: Auch die Europäische Kommission sieht darin einen entscheidenden Ansatzpunkt für mehr Cybersicherheit und hat daher den Cyber Resilience Act (CRA) ausgearbeitet. Das am 14. September 2022 vorgelegte Gesetz soll Hersteller dazu verpflichten, die Cybersicherheit von Hard- und Softwareprodukten zu verbessern. Grundsätzlich kann jedes Hard- und Softwareprodukt das Einfallstor für einen Cyberangriff sein.
Die wichtigsten Anforderungen der CRA sind daher:
- Hersteller sollten die Sicherheit von „Produkten mit digitalen Elementen“ bereits in der Planungs- und Entwicklungsphase berücksichtigen — der Begriff dafür lautet Security — by Design.
- Um ihre Hard- und Softwareprodukte abzusichern, müssen Hersteller zusätzliche Sicherheitsmaßnahmen ergreifen.
- Hersteller sind verpflichtet, regelmäßig Sicherheitsupdates für ihre Produkte bereitzustellen, damit (neu entdeckte) Sicherheitslücken sofort geschlossen werden.
- Während des gesamten Lebenszyklus eines Hardware- oder Softwareprodukts müssen Hersteller dessen Sicherheit überwachen und verwalten.
Es wird erwartet, dass das Cyber Resilience Act 2024 in Kraft tritt. Für Unternehmen — gerade in Zeiten zunehmender Angriffe auf Lieferketten — würde das Gesetz einen besseren Schutz vor Cyberangriffen bedeuten: Sie könnten sich stärker darauf verlassen, dass die Tools zur Verbesserung der IT-Sicherheit im Allgemeinen und der Cyber-Resilienz im Besonderen den bestmöglichen Schutz durch den Hersteller bieten.
Verbessern Sie die Widerstandsfähigkeit mit Hilfe von Experten
Der BSI-Lagebericht 2023 hat gezeigt, dass kleine und mittlere Unternehmen zunehmend in den Fokus von Cyberkriminellen geraten. Sie sind daher erneut gefordert, die Gefahr von Cyberangriffen nicht auf die leichte Schulter zu nehmen und in Cyber-Resilienz zu investieren. Dabei stehen sie vor der besonderen Herausforderung, dass es im Unternehmen oft keinen IT-Spezialisten gibt — oder nur einen einsamen Wolf, der neben den täglichen Aufgaben ein Großprojekt wie die Stärkung der Cyber-Resilienz kaum durchziehen kann.
In solchen Fällen empfiehlt es sich, einen externen IT-Dienstleister mit ins Boot zu holen. Die dort beschäftigten IT-Experten können alle notwendigen Maßnahmen in einem einzigen IT-Projekt umsetzen und anschließend die Administration an einen internen Mitarbeiter übertragen, alternativ können IT-Dienstleister die Sicherheitsmaßnahmen auch dauerhaft managen und Unternehmen mit ihren Managed Services freihalten.
Sie möchten mehr darüber erfahren? Dann zögern Sie nicht, uns zu kontaktieren, wir helfen Ihnen gerne weiter!
Weitere Informationen:
BSI, IT-BUSINESS, PC-SPEZIALIST
Zur besseren Lesbarkeit verwenden wir im Text die männliche Form. Es sind jedoch immer alle Geschlechter und Geschlechtsidentitäten gemeint.
Lesen Sie den Originalartikel auf IT-SERVICE.network