Home

Intern

Deutsch|English

Neues Themenspecial "Green Trademarks, KI und Äußerungsrecht" » |

Weltweit

Anscheinend ist in Ihrem Browser JavaScript nicht aktiviert. Aktivieren Sie bitte JavaScript, und versuchen Sie es erneut.

Erhöhung der Cyberresilienz: Ein umfassender Ansatz

In einer zunehmend digitalisierten Welt ist die Cyberresilienz für Organisation und Unternehmen von entscheidender Bedeutung. Cyberresilienz bezeichnet die Fähigkeit Cyberangriffe abzuwehren und zu managen. Dabei geht es nicht nur darum, Angriffe zu verhindern, sondern auch darum, den Geschäftsbetrieb trotz Sicherheitsvorfällen kontinuierlich aufrechtzuerhalten. Doch wie kann man die Cyberresilienz innerhalb einer Unternehmensstruktur so erhöhen, dass Angreifer erst gar keine Chance haben?

Mit diesem Beitrag möchten Markus Merk & Roland Leick, Geschäftsführer der Rödl IT Operation GmbH und cloudgermany.de, Ihnen einen umfassenden Überblick geben, welche Aspekte auf eine hohe Cyberresilienz einzahlen und welche Maßnahmen in der Praxis möglich sind, um Unternehmen dabei zu unterstützen.

Notwendige Ebenen für eine starke Cyberresilienz

Die Erhöhung der Cyberresilienz erfordert Maßnahmen auf mehreren Ebenen: technologisch, organisatorisch und regulatorisch. Welche Aspekte die unterschiedlichen Ebenen umfassen und welche Maßnahmen an dieser Stelle sinnvoll sind, wird im folgenden Abschnitt dieses Beitrags näher erläutert:

Technologische Aspekte:

Sicherheitsinfrastruktur: Investitionen in fortschrittliche Sicherheitstechnologien wie Firewalls, Intrusion Detection und Prevention Systeme (IDPS), Verschlüsselungstechnologien und regelmäßige Software-Updates sind essenziell.

Überwachung und Erkennung: Implementierung von kontinuierlichen Überwachungs- und Erkennungssystemen, um ungewöhnliche Aktivitäten frühzeitig zu identifizieren und darauf zu reagieren.
Sicherheitsarchitektur: Eine robuste Sicherheitsarchitektur, die auf Prinzipien wie Zero Trust und Segmentierung basiert, erhöht die Widerstandsfähigkeit gegen Angriffe.
Risikoverteilung: Durch bewusstes Verteilen der Gesamtarchitektur auf unterschiedliche Service- oder Cloudanbieter verringert sich der Business Impact.

2. Organisatorische Aspekte:

Sicherheitskultur: Schaffung einer Unternehmenskultur, in der Cybersicherheit ernst genommen wird und alle Mitarbeiter regelmäßig geschult werden, um Phishing und andere Angriffsarten zu erkennen.
Notfallpläne: Entwicklung und regelmäßige Aktualisierung von Notfallplänen und Incident Response Strategien, um im Falle eines Angriffs schnell und effektiv reagieren zu können.
Risikomanagement: Etablierung eines kontinuierlichen Risikomanagementprozesses zur Identifikation, Bewertung und Minderung von Risiken.
BCM - Business Continuity Management: Planung und Verproben einer Notfallsituation mit Ziel, die Verfügbarkeitsszenarien auf die Probe zu stellen.

3. Regulatorische Ebene:

Regulatorische Anforderungen: Kontinuierliche Ausrichtung an regulatorischen Anforderungen und Standards, wie der NIS2-Richtlinie (Network and Information Security Directive 2), die von der EU eingeführt wurde, um die Cybersicherheit in Mitgliedsstaaten zu verbessern.
Internationale Zusammenarbeit: Förderung der internationalen Zusammenarbeit und des Informationsaustauschs zwischen Staaten und Organisationen, um Bedrohungen besser zu verstehen und darauf zu reagieren.
Politische Unterstützung: Förderung von und Forderung nach Cybersicherheitsinitiativen auf nationaler und internationaler Ebene.

NIS2-Richtlinie: Ein Meilenstein in der Cybersicherheit

Die bereits in der regulatorischen Ebene erwähnte Richtlinie NIS2 ist ein bedeutender Schritt zur Verbesserung der Cybersicherheit in Europa. Sie legt neue Anforderungen an die Sicherheitsmaßnahmen und die Meldung von Sicherheitsvorfällen fest und erweitert den Anwendungsbereich auf mehr Sektoren und Arten von Organisationen.

Die Basis ist ein Informationssicherheitsmanagementsystem (ISMS), welches die Grundlage für das Management der Informationssicherheit bildet. Ein ISMS ist der Ausgangspunkt für viele weitere Sicherheitszertifizierungen und -verbesserungen. Im Rahmen dieser Richtlinien wurden EU-weite Standards für Cybersecurity definiert. NIS2 ersetzt die ursprüngliche NIS-Richtlinie und erweitert deren Anwendungsbereich sowie die Anforderungen an die Sicherheitsmaßnahmen und die Meldepflichten von Sicherheitsvorfällen.

NIS2 betrifft eine breitere Palette von Sektoren und Organisationen, einschließlich wichtiger digitaler Dienste und kritischer Infrastrukturen wie Energie, Verkehr, Gesundheitswesen und Finanzwesen. Die Richtlinie fordert von den betroffenen Organisationen, robuste Sicherheitsvorkehrungen zu implementieren, regelmäßig Sicherheitsbewertungen durchzuführen und bei Sicherheitsvorfällen schnell zu reagieren und diese zu melden. Neu ist ebenfalls die Einführung der Geschäftsführerhaftung für die Einhaltung dieser Vorgaben.

Durch die Harmonisierung der Cybersicherheitsstandards innerhalb der EU soll ein hohes gemeinsames Sicherheitsniveau für Netz- und Informationssysteme erreicht und die Widerstandsfähigkeit gegenüber Cyberbedrohungen gestärkt werden.

Diese Richtlinie sollte aber nicht nur als "lästiges Gesetz" verstanden werden, sondern als eine Aufforderung und Sensibilisierung der Unternehmer sich mit den Risiken von Cyberkriminalität auseinanderzusetzen. Andererseits ist dies aber auch die Möglichkeit der Unternehmer über diesen Weg Forderungen an die Politik zur Bekämpfung gefährlicher monopol- und kartellähnlicher Großunternehmen rechtlich einzugrenzen, um somit die Resilienz europäischer Unternehmen zu erhöhen.

Verbindung von Organisation, Strategie und Lösung

Um eine effektive Cyberresilienz zu erreichen, müssen Organisation, Strategie und Lösung nahtlos integriert werden. Grundsätzlich tragen folgenden Maßnahmen dazu bei:

Integrierte Sicherheitsstrategie: Entwicklung einer umfassenden Cybersicherheitsstrategie, die sowohl technische als auch organisatorische Aspekte abdeckt und auf den Anforderungen der NIS2-Richtlinie basiert bzw. sich konsequent daran ausrichtet.
Stakeholder-Engagement: Einbeziehung aller relevanten Stakeholder, von der Geschäftsführung, über die IT-Abteilung, den Endbenutzern sowie der Shopfloor Devices und -Worker, um eine gemeinsame Verantwortung für die Cybersicherheit zu schaffen. Erfahrungsgemäß funktioniert eine gute Cyberresilienz nur dann, wenn alle Ebenen mit einbezogen und berücksichtigt werden.
Kontinuierliche Verbesserung: Implementierung eines kontinuierlichen Verbesserungsprozesses, der regelmäßige Bewertungen, Tests und Anpassungen der Sicherheitsmaßnahmen umfasst, um stets auf dem neuesten Stand der Bedrohungslage zu bleiben.
Technologische Innovation: Nutzung neuer Technologien und Ansätze wie abgesicherte Künstliche Intelligenz und Machine Learning zur Verbesserung der Erkennung und Abwehr von Cyberangriffen.
Make or buy: Prüfung und Entscheidung, ob das Unternehmen selbst in der Lage ist, ein SOC (Security Operation Center) 24/7 zu betreiben oder ob dieser Dienst zugekauft wird.

Risiken & Lösungen aus der Praxis

Neben den grundlegenden Maßnahmen zu Erhöhung der Cyberresilienz, scheuen viele Unternehmen auch heute noch den Einsatz zusätzlicher Lösungen, um Kosten und Aufwände klein zu halten. Dabei ist die Wichtigkeit höher denn je, besonders geschäftskritische Daten zu verschlüsseln und mehrfach abzusichern. Die Nachlässigkeit und Sparen am falschen Ende in diesem Bereich kann für Unternehmen im schlimmsten Fall das Ende der Geschäftstätigkeit bedeuten.

ERP-Systeme wie SAP, Software-Anwendungen, wie Office 365 oder auch Alt-Systeme nach einer Migration sind umfangreich mit geschäftskritischen Daten bespielt und bieten damit die wohl größte Angriffsfläche. Folgende Lösungen aus der Praxis gehen auf diese Thematiken ein und zeigen auf, wie man sich als Unternehmen genau in diesen Bereichen resilient schützen kann.

Paradebeispiel hierfür ist das 3-2-1-Backup-Prinzip. Unternehmensdaten werden dabei dreifach abgesichert: zweimal in der kundeneigenen Infrastruktur und einmal in einem verschlüsselten Offline-Datendepot. Die Sicherung erfolgt doppelt, auf unterschiedlichen Technologien, domänenunabhängig und mit Medienbruch. Die Vorhaltung einer dritten, besonders wichtigen Offline-Backup-Kopie in einer speziellen Umgebung, einem Datentresor, sorgt für den ultimativen Schutz vor Cyberangriffen und Datenverlust.

Auch steigende Zentralisierung und Bündelung von wichtigen Unternehmensdaten und -prozessen bei Hyperscalern führen zu einem immer größer werdenden Risiko durch die Bündelung aller Dienste und Daten bei einem Anbieter und die damit entstehende Abhängigkeit – auch im Falle eines Problems, eines Ausfalls oder einem Angriff. Dabei ist die Shared Responsibility ein entscheidendes Konzept: Während Unternehmen wie zum Beispiel Microsoft die physische Sicherheit der Infrastruktur und die Wartung der Plattform gewährleistet, liegt die Verantwortung für den Schutz und die Sicherung der eigenen Daten beim Kunden. Diese Eigenverantwortung umfasst nicht nur die Vorsorge gegen Verschlüsselung durch Ransomware. Auch die Nichtverfügbarkeit von Diensten durch Denial-of-Service-Attacken kann Unternehmen ohne eigene Backups arbeitsunfähig machen. Insbesondere menschliche Fehler, wie sie bei der Eigenverwaltung von beispielsweise Office 365 durch Endanwender häufig vorkommen, führen immer wieder zu Datenverlusten. Um diese Daten wirksam zu schützen, ist ein weiteres Backup in einer vollständig unabhängigen Umgebung unverzichtbar. Nur so kann die Kontrolle über geschäftskritische Daten erlangt werden, um jederzeit handlungsfähig zu bleiben, sei es für die Datenwiederherstellungen oder um Backup-Nachweise zu erbringen. Eine applikationsorienterte Backup-Lösung, wie zum Beispiel Office 365 Backup as a Service stellt sicher, dass Compliance-Anforderungen erfüllt werden, auch im Hinblick auf die Anforderungen gesetzlicher Nachweis- oder Aufbewahrungsplichten oder einer notwendigen Cyberversicherung.

Ebenso stellt die Archivierung von Alt-Systemen eine große Sicherheitslücke in vielen Infrastrukturen dar. Unternehmen lassen teilweise die Systeme ohne Support und Aktualisierung weiterlaufen. Oftmals liegt in Phasen der Transformation der Fokus auf der Applikation und Prozesssicht. Doch daraus entstehen "tickende Zeitbomben", da die Alt-Systeme nicht compliance-konform vorgehalten werden. Mit jedem Jahr der Alterung ohne Sicherheitsupdates steigt das Risiko und die gesetzliche Aufbewahrungspflicht kann aufgrund eines Daten- oder Systemverlust nicht mehr garantiert werden.

Durch die bewusste Aufbewahrung der Alt-Systeme wird nicht nur diese Sicherheitslücke eliminiert, sondern transformierte Systeme schlank gehalten. Mit dieser Archivierungslösung ist eine schnelle Wiederherstellung der gesicherten Daten möglich und erfolgt 1:1 und daher wirtschaftsprüfungskonform. Somit spielt die bewusste Aufbewahrung von Alt-Systemen und damit eine ganzheitliche Aufbewahrungsstrategie im Sinne der Cyberresilienz eine bedeutende Rolle in der Nachweisfähigkeit von Unternehmen.

Durch die gezielte Umsetzung dieser Maßnahmen haben Organisationen die Chance, ihre Cyberresilienz erheblich zu steigern und sich wirksam gegen die ständig wachsenden Bedrohungen im Cyberspace zu wappnen. Die Kombination aus technologischen Innovationen, organisatorischen Anpassungen und strategischen politischen Maßnahmen bildet nicht nur eine solide Sicherheitsbasis, sondern schafft ein dynamisches Schutzsystem, das es ermöglicht, auf neue Bedrohungen flexibel zu reagieren. So wird das Unternehmen langfristig widerstandsfähiger und besser gerüstet, um den Herausforderungen einer zunehmend vernetzten digitalen Welt zu begegnen.