Die Gefahren für wichtige Unternehmensdaten sind zahlreich. Analog zu natürlichen Ökosystemen sind Unternehmen abhängig von einer Vielzahl anderer Firmen, mit denen sie kommunizieren und Daten austauschen. Im Cyber-Ökosystem hat ein Angriff auf ein Unternehmen Auswirkungen auf die Datensicherheit vieler weiterer Firmen und Organisationen. Die Lösung in der Natur wie in der IT-Sicherheit ist: Widerstandsfähigkeit entwickeln. Unternehmen müssen ihre Position im Cyber-Ökosystem verstehen, um eine Cyber-Resilience aufbauen zu können.
Die neue Umgebung verstehen: Das Cyber-Ökosystem
Die Position eines Unternehmens im Cyber-Ökosystem hängt stark von äußeren Einflüssen ab: Dazu zählen sicherheitsrelevante Verbindungen zu verschiedenen Geschäftspartnern sowie schwer oder nicht kontrollierbare Umweltfaktoren. Diese müssen Unternehmen analysieren und kategorisieren. Im Zentrum der IT-Sicherheit stehen die sogenannten SOCs, die Security Operation Center der Unternehmen. In der Umgebung dieser SOCs im Cyber-Ökosystem kann man drei Risikogruppen unterscheiden:
1. Risikogruppe: Partner, mit denen sensible Daten zum eigenen Vorteil ausgetauscht werden. Das sind zum Beispiel Vertriebsgesellschaften oder Lieferanten. Das Risiko wird auf Grund des wirtschaftlichen Vorteils in Kauf genommen.
2. Risikogruppe: Dienstleister wie Werbeagenturen oder Softwareanbieter stellen einen variablen Risikofaktor dar, der von Unternehmen gesteuert werden kann.
3. Risikogruppe: Staatliche Regulierung oder Naturkatastrophen sind nicht-steuerbare Risiken für Unternehmensinformationen. Hier können Unternehmen nur begrenzte Vorkehrungen treffen.
Wirksamer Schutz: Die vier Bausteine der Cyber-Resilience
Investitionen in neue und bessere Hardware allein bieten Unternehmen keinen ausreichenden Schutz. Organisationen müssen eine eigene Resilience im Cyber-Ökosystem aufbauen. Vier Merkmale sind dafür wesentlich:
Eine resiliente Unternehmensführung ist der erste Baustein einer effektiven und transparenten IT-Sicherheit, mit dem Ziel Cyber-Attacken vorzubeugen, zu bekämpfen und im Nachgang zu analysieren. Die Unternehmensleitung und das Management müssen die neuen Anforderungen an IT-Sicherheit verstehen und den Aufbau geeigneter Schutzmechanismen aktiv vorantreiben. Ihre Aufgabe ist es, gemeinsame Strategien und Richtlinien für alle Mitarbeiter zu entwickeln und durchzusetzen. Resilience baut sich in der Unternehmenshierarchie von oben nach unten auf.
Die Entwicklung einer resilienten Unternehmenskultur unterstützt dabei, die Verantwortung von IT-Abteilungen auf alle Mitarbeiter zu verlagern. Die modernen Risiken und Gefahren erfordern, dass nicht nur IT-Experten das Wissen und die Fähigkeiten besitzen, Sicherheitslücken zu erkennen und zu bekämpfen. Alle Mitarbeiter müssen befähigt werden, Risiken abzuwägen, Gefahren frühzeitig zu erkennen und zu melden. Das beugt dem sorglosen Umgang mit sensiblen Daten vor und verkürzt gleichzeitig die Reaktionszeit auf Angriffe entscheidend.
Der Informationsaustausch in resilienten Netzwerken ist ein wichtiger Baustein für funktionierende Frühwarnsysteme. Tauschen kooperierende Unternehmen die gesammelten Daten über ihre Netzwerke aus, ist es wesentlich einfacher, vom Normalzustand abweichende Tätigkeiten festzustellen. Dadurch werden Gefahren früh erkannt, lokalisiert und gemeldet. Die Zusammenarbeit der Unternehmen erhöht die Sicherheit aller Partner nach dem Prinzip: Das Ganze ist mehr als die Summe seiner Teile.
Resiliente Change-Readiness steht für den Aufbau von Agilität und Anpassungsfähigkeit im IT-Sicherheitssystem. Diese beiden Merkmale sind zentral, um Technologien kontinuierlich weiterzuentwickeln. Im Cyber-Ökosystem muss sich IT-Sicherheit kontinuierlich weiterentwickeln und an neue Bedrohungslagen anpassen. Starre Prozesse und Strukturen sind anfällig für die sich ständig verändernden Formen von Cyber-Angriffen. Unternehmen, die eine agile und anpassungsfähige Cyber-Resilience aufbauen, sind besser geschützt.
So entwickeln Sie Ihre Cyber-Resilience
Die oben beschriebenen vier Bausteine sind Teile eines Entwicklungsprozesses hin zur Cyber-Resilience: Zuerst müssen Unternehmen die Basis für ihre IT-Sicherheit im Cyber-Ökosystem aktivieren, sich darüber hinaus stets an veränderte Sicherheitslagen anpassen und zukünftige Attacken antizipieren. So kann es ihnen gelingen, sich einen Vorsprung gegenüber Cyber-Kriminellen zu erarbeiten.
Die Aktivierung der Basis erfordert von Unternehmen, dass sie eine IT-Sicherheitsabteilung einrichten, ausrüsten und grundlegende Verteidigungsmaßnahmen installieren. In der folgenden Anpassungsphase müssen die Sicherheitsprozesse dynamisch gestaltet werden. Nur ein anpassungsfähiges IT-Sicherheitssystem ist in der Lage, wichtige Daten vor stetig neuen Angriffen zu schützen.
Aktivierung, Anpassung und schließlich Antizipation sind der Weg, den Unternehmen zurücklegen müssen, um langfristig die Sicherheit ihrer Daten sicherzustellen. Die Frage ist daher nicht, ob Unternehmen sich schützen müssen. Die Frage muss lauten: Ist Ihr Unternehmen Cyber-resilient? Die verschiedenen Bausteine tragen dazu bei, dass Organisationen besser geschützt sind. Darüber hinaus entsteht durch Kooperation der Unternehmen untereinander ein Multiplikator-Effekt, der die Wirksamkeit der Cyber-Sicherheit im gesamten Netzwerk der Unternehmen verstärkt. Zusammenarbeit lohnt sich - insbesondere im Cyber-Ökosystem!