Cyber-Resilienz statt Sicherheit

Denn Sicherheit – die gibt es hier gar nicht.

 

In der allgemeinen Wahrnehmung und Vorstellung vieler fachunkundiger Menschen sind Cyberattacken etwas, das „ab und zu“ stattfindet und ähnlich wie ein physischer Einbruch verläuft: Cyberkriminelle lancieren dabei mit Hilfsmitteln einen Angriff, überwältigen auf technischem Weg die Systeme und landen einen großen Coup. Die betroffenen Unternehmen werden dabei häufig als zufällige Opfer ohne Einfluss auf den Angriff gesehen.

Das mag zwar in Einzelfällen stimmen, ist aber meistens nicht haltbar. Oft sind fehlende Sicherheitsvorkehrungen, mangelhafte Schulungen (menschliches Handeln) und auch das Aushebeln von Prozessen die Basis von erfolgten Datendiebstählen.

Das entstehende Bild ist dagegen wohl auch im Sinn der Öffentlichkeitsarbeit von Unternehmen („Wir wurden angegriffen“), bei denen bekannte oder unbekannte Schwachstellen nicht behoben wurden und nicht zuletzt auch von der medialen Berichterstattung, geprägt.

Es ist natürlich ein Mythos, dass Angriffe nur gelegentlich stattfinden. Die Realität ist vielmehr, dass Cyber-Kriminalität ständig passiert: 365 Tage im Jahr, 24 h am Tag.

Ob das unser Laptop, der Receiver am Fernseher, die Smart Watch oder das selbst-regulierende Smart-Aquarium ist: Alles wird kontinuierlich angegriffen und das meiste davon passiert voll-automatisiert. Erst später kommen Menschen ins Spiel und arbeiten sich anhand der rückgemeldeten Schwachstellen weiter vor.

Genauso wie ständig angegriffen wird, muss also auch ständig verteidigt werden.

Was bedeutet Cyber-Resilienz?

Cyber-Resilienz bezieht sich auf die Fähigkeit eines Unternehmens, trotz widriger Ereignisse wie Cyber-Angriffen kontinuierlich das beabsichtigte Ergebnis zu erzielen. Im Wesentlichen sind hiermit die Bereiche Informationssicherheit, Business Continuity und auch die organisatorische Belastbarkeit adressiert.

Anders ausgedrückt bedeutet ein erfolgreicher Angriff mit Datenabfluss lediglich, dass die Organisation im entscheidenden Moment nicht die notwenige Cyber-Resilienz aufgewiesen hat, um den Angriff abzuwehren.

Resilienz beschreibt hier also die Fähigkeit, reguläre Liefermechanismen nach Attacken schnell wiederherzustellen oder auch kontinuierlich zu modifizieren, wenn dies angesichts neuer Risiken erforderlich ist. Auch Backups und Disaster-Recovery-Vorgänge sind Teilvorbereitungen, um im Fall einer Erpressung nicht den Lösegeldforderungen ausgeliefert zu sein.

Zusammengefasst: Unternehmen mit einem guten Cyber-Resilienz-Konzept sind genauso wenig davor gefeit, Opfer eines Angriffes zu werden. Sie können aufgrund guter Vorarbeit im Falle eines erfolgreichen Angriffes allerdings den Schaden auf ein Minimum begrenzen.