Was Sie in Ihren Cyber-Resilienzplan für 2025 aufnehmen sollten
COVID-19 hat uns gelehrt, dass Resilienz (Widerstandsfähigkeit) etwas ist, das wir alle besitzen oder uns aneignen sollten. Entscheider und Verantwortliche in der IT müssen das, was sie diesbezüglich gelernt haben, nun in die Tat umsetzen und die Entwicklung eines Resilienzplans für 2025 zu einer ihrer wichtigsten Aufgaben machen.
Was ist Cyber-Resilienz überhaupt?
Auch wenn COVID-19 leider viele Unternehmen eiskalt erwischt hat, hat es unter dem Strich auch zu mehr Cyber-Resilienz, einem besseren Krisenmanagement und einer größeren Belastbarkeit in vielen Bereichen beigetragen.IT- bzw. Cyber-Resilienz ist die Fähigkeit, Daten und Anwendungen vor praktisch allen Problemen zu schützen, die auftreten könnten. Einerseits hat sie zum Ziel, dass Systeme und Infrastrukturen Störungen verkraften und auch im Krisenfall weiterhin gut funktionieren.
Andererseits ist Resilienz ein firmenweites Konzept, welches auch das Krisenmanagement und die Geschäftskontinuität bei unerwarteten Ereignissen wie Naturkatastrophen und Cyberangriffen umfasst.
Während der Pandemie waren viele IT-Teams überlastet und wussten oft nicht, welche dringende Aufgabe sie denn nun zuerst angehen sollen.
So fragten sich viele von ihnen beispielsweise, ob sie sich eher um die IT-Servicekontinuität und die damit verbundenen Wartungsarbeiten oder um die Cybersicherheit kümmern sollten, indem sie zum Beispiel Software-Patches vornehmen. Oft war auch nicht für beides genügend Geld und Zeit vorhanden.
Heute ist die Cyber-Resilienz wichtiger denn je, da Firmen mit ihren Hard- und Softwareprodukten immer gravierender werdenden Cyberangriffen ausgesetzt sind.
Schließlich entstanden im Jahr 2021 durch Internetkriminalität weltweit Kosten von 5,5 Billionen Euro aufgrund der steigenden Zahl von IT-Sicherheitsverletzungen während der Pandemie, wie im Europäischen Cyber Resilience Act (CRA) zu lesen ist.
Die Europäische Kommission sagt dazu: „Die Pandemie war ein Katalysator für die zunehmende Digitalisierung Europas und der Welt.“
Nun, nach der Pandemie, verlangt das neue schnelllebige und dezentralisierte Umfeld eine bessere Cyber-Resilienzplanung und ein stärkeres Risikomanagement als je zuvor.
Arvind Govindarajan, Partner in McKinseys Risk and Resilience Practice, sagt: „Längerfristig werden Unternehmen lernen, dass Resilienz eine Fähigkeit ist, die sie unbedingt besitzen müssen – kein Alarmknopf, den sie erst dann drücken, wenn das Haus schon in Flammen steht.“
Weshalb ist Cyber-Resilienz so wichtig?
Heutzutage muss man sich vor vielen Gefahren schützen. Dazu gehören Datenverlust, Cyberangriffe, Malware-Einschleusung, Netzwerk- und Internetstörungen, Hard- oder Softwareausfälle sowie Brände und Naturkatastrophen.So legte zum Beispiel ein globaler Cyberangriff namens „WannaCry“ im Jahr 2017 mehr als 230.000 Windows-PCs in 150 Ländern an einem einzigen Tag lahm.
Dieser Ransomware-Crypto-Wurm war an Unternehmen gerichtet, die das Betriebssystem Microsoft Windows verwenden. Die Cyberkriminellen machten Daten durch Verschlüsselung unlesbar und verlangten dann „Lösegeldzahlungen“ in Bitcoins.
Eine ganz andere Art von Problem entstand 2021, als Anleger sich auf Vermittlungsplattformen stürzten, um Aktien von GameStop zu handeln, nachdem deren Wert plötzlich stark gestiegen war.
Arun Gundurao, Direktor bei Mckinsey & Company, schreibt in „IT resilience for the digital age“ dazu: „Inmitten des Chaos konnten Millionen von Kunden plötzlich nicht mehr auf ihre Kontoinformationen zugreifen und Handelsgeschäfte tätigen, da viele der Vermittlungsplattformen ausgefallen waren.“
Und weiter: „Solche Situationen zeigen einmal mehr, wie wichtig es ist, dass sich Firmen um ihre Cyber-Resilienz kümmern – also um die Fähigkeit, technische Störungen unbeschadet zu überstehen.“
Und viele von ihnen scheinen sich das für 2025 auch schon auf die Agenda geschrieben zu haben.
Bei der Umfrage „New Normal Survey – 2021/22“ von Brother sagte mehr als die Hälfte der befragten IT-Entscheidungsträger, dass der Schutz ihrer Unternehmen vor externen Bedrohungen zu ihren größten Herausforderungen im kommenden Jahr gehört.
Diese Experten haben erkannt, wie wichtig die Cyber-Resilienz ist, da sie ihrem Unternehmen hilft, seinen Fortbestand zu sichern und seine Transformation zu beschleunigen. Denn heute wie damals gilt: Wer Wandel voraussieht und sich darauf einstellt, kann Störungen und Ausfälle vermeiden. Außerdem kann die Cyber-Resilienz ihnen helfen, sich vor externen Gefahren zu schützen, auf die sie keinen Einfluss haben.
Laut IDC Research befürchten 29 % der Entscheidungsträger im IT-Bereich noch immer das Auftreten von Komplikationen, die Einschränkungen aufgrund neuer Coronavirusvarianten mit sich bringen könnten. Weitere Sorgen machen ihnen die steigenden Kosten von IT-Ausrüstung (49 %), Lieferkettenstörungen (34 %), politische Spannungen (31 %), Personalprobleme (23 %) und die zunehmende Gefahr einer Rezession (29 %).
Wie können Unternehmen ihre Cyber-Resilienz erhöhen?
Es gibt viele Möglichkeiten, die eigene Resilienz zu erhöhen. So könnte man beispielsweise die Sicherheitsvorkehrungen verstärken, um sich vor externen Bedrohungen zu schützen, in die richtige Technologie investieren und die Cybersicherheitsrisiken für die Druckumgebung verringern.
Kurzfristiges Denken führt jedoch hier wie überall nicht weit. Cyber-Resilienz sollte ein langfristiges Strategieprojekt im Rahmen der kollektiven Bemühungen um die richtige Prioritätensetzung, Budgetplanung, allgemeine Resilienzplanung und Risikoeindämmung sein.
Basil Fuchs, CIO von Brother International Europe, erklärt: „Das ist ein gemeinsames Anliegen. Dabei tragen wir als IT-Experten eine große Verantwortung für das Risikomanagement und die Geschäftskontinuität des Unternehmens, weil wir so viele Prozesse ermöglichen.“
Außerdem sollten sich Firmen seiner Ansicht nach auch gemeinsam mit ihren Outsourcing-Partnern um eine größere Cyber-Resilienz bemühen. „Sowohl Outsourcing- als auch IT-Partner sind Spezialisten in diesem Bereich. Wir als IT-Abteilung müssen die Resilienz und die Planung unter all diesen Partnern abstimmen, um zu gewährleisten, dass sie alle an einem Strang ziehen und immer auf demselben Stand sind.“
Was gehört zu einem guten Cyber-Resilienzplan?
- Investition in die richtige Technologie
- Die Bereitschaft, die Technologielandschaft bedarfsgerecht zu verändern
- Die fortlaufende Beobachtung des Marktes hinsichtlich neuer Technologien und Tools
- Die Durchführung unternehmensweiter Initiativen zur Stärkung der Resilienz
- Die Überprüfung der personellen Ressourcen und der Hard-/Software
Viele erfolgreiche IT-Führungskräfte haben all diese Punkte bereits in ihre Cyber-Resilienzpläne für 2025 integriert.
Und wie Sie sicher wissen, bedeutet der Aufbau von Resilienz nicht unbedingt, stillzustehen und das Bestehende zu schützen. Deshalb ist einer der ersten Punkte auf unserer Liste auch die Investition in die richtige Technologie.
Das bedeutet, dass Sie Ihre Technologielandschaft so anpassen sollten, dass sie die bestmöglichen Ergebnisse für Ihr Unternehmen bringt. So haben es sich viele Entscheider in der IT zum Beispiel angewöhnt, den Markt dahingehend zu beobachten, ob neue Technologien, Angebote oder Finanz-Tools aufkommen, mit denen sie ihren Erfolg präziser bestimmen, ihre IT-Landschaften besser verwalten und ihre Lieferketten umfassender analysieren können.
Andere Experten führen firmenweit Initiativen zur Stärkung der Resilienz durch, um sicherzustellen, dass ihre wichtigsten Infrastrukturen auch im schlimmsten Fall noch funktionieren.
Wie Brother International Europe diese Aufgaben angeht, beschreibt Basil Fuchs: „Jedes Jahr führen wir Wiederherstellungstests durch und vergewissern uns, dass das Backup noch funktioniert.
Außerdem überprüfen wir, ob die Systeme auch im Katastrophenfall wieder hochgefahren oder an einen anderen Ort gebracht werden können.“ Diese konventionelle Herangehensweise umfasst die Wiederherstellung im Krisenfall und ist ein entscheidender Teil jedes guten IT bzw. Cyber-Resilienzplans.
Ohne Übung, keine ausreichende Cyber-Resilienz
Viele globale Firmen führen theoretische Übungen durch, um die betriebliche als auch Cyber-Resilienz zu prüfen. Für Josh Frulinger von CSO sind solche Übungen „zwar keine Komplettsimulation, aber eine Gelegenheit zu sehen, wie die das ganze Unternehmen und die Mitarbeiter reagieren, wenn sie unter Druck geraten.“
Bei diesen Tests sollten Sie mehrstufig vorgehen und neben solchen theoretischen Szenarien auch Ihre Technologieinvestitionen überprüfen.
So können Sie Technologie im Hinblick darauf beurteilen, wie gut sie Ihrer Belegschaft in einer „Krise“ zur Seite steht. Vielleicht werden Sie dabei auch feststellen, dass Sie Ihre Mitarbeiter weiterbilden sollten, um die Systeme bestmöglich zu nutzen und fatale Fehler zu verhindern.
Schließlich gehen menschengemachte Fehler mit einem erheblichen Risiko einher. Denn der Mensch kann schnell Phishing-Angriffen und anderen Formen der Cyberkriminalität zum Opfer zu fallen.
„Hier geht es ja nicht darum, nur eine Krise zu bewältigen“, sagt Gonçalo Caseiro, Vorstandsvorsitzender von INCM, "sondern darum, auf alles vorbereitet zu sein und auf jede Störung der Geschäfte schnell und angemessen reagieren zu können.“
Wenn Sie mehr über die Thematik erfahren möchten, werfen Sie doch einmal einen Blick auf unsere Infografik, die Ihnen fünf Schritte zum Aufbau eines effektiven Cyber-Resilienzplans zeigt.
