Das BSI warnt jedes Jahr wieder vor den zahlreichen Gefahren für die IT-Sicherheit. Aber wie können sich Unternehmen gegen die Bedrohung wappnen? Die Antwort: indem Sie ihre Cyberresilienz stärken.
Wir erklären, was unter dem Begriff Cyberresilienz zu verstehen ist und wie Unternehmen ihre Resilienz stärken können.
Gefahr erkannt, Gefahr gebannt?
Jedes Jahr aufs Neue stellt das Bundesamt für Sicherheit in der Informationstechnik (BSI) einen sehr umfangreichen Bericht mit dem Titel „Die Lage der IT-Sicherheit in Deutschland“ vor. Die wichtigsten Inhalte daraus stellen wir auch immer hier in unserem Blog vor (BSI-Lagebericht 2023, BSI-Lagebericht 2022, BSI-Lagebericht 2021, BSI-Lagebericht 2020, BSI-Lagebericht 2019). Dabei hat sich in den vergangenen Jahren eine deutliche Tendenz gezeigt: Die Bedrohungslage ist zunehmend ernst, die Gefahren für die IT-Sicherheit sind dementsprechend enorm.
Das BSI beschränkt sich mit seinem Bericht aber nicht darauf, die düstere Lage zu beschreiben. Vielmehr liefert es auch wichtige Anhaltspunkte dafür, wie Unternehmen und Organisationen auf diese Bedrohungslage reagieren sollten. In der 2023er Ausgabe fällt in diesem Zusammenhang ein Stichwort ganz besonders ins Auge: die Cyberresilienz (oder kurz: Resilienz). Der dringende Appell lautet, dass Unternehmen ihre Resilienz unbedingt stärken sollten, um sich für die zunehmenden Gefahren im Cyberraum zu wappnen. Dabei stellt sich die Frage: Was ist Cyberresilienz denn überhaupt?
Was ist Cyberresilienz? | Definition
Der Begriff Cyberresilienz (auch: Cyber Resilience) bezeichnet die Widerstandsfähigkeit von IT-Systemen, Organisationen oder auch einer Gesellschaft gegen Sicherheitsvorfälle oder Cyberangriffe. Die Resilienz gegenüber Cyberbedrohungen ergibt sich dabei aus einem komplexen Zusammenspiel von organisatorischen und technischen Präventionsmaßnahmen. Resilient aufgestellte Unternehmen in der Lage sein, ausgeführten Cyberattacken entweder vollständig standzuhalten oder sich schnell und ohne bleibende Schäden von ihnen zu erholen.
In der zunehmend vernetzten Welt und angesichts der wachsenden Bedrohungslage gewinnt auch die Cyberresilienz zunehmend an Bedeutung. Sie legt ihren Schwerpunkt eindeutig auf IT-Sicherheitsaspekte und beruht auf der Fähigkeit, Cyberattacken zu verhindern, Cyberereignisse zu identifizieren, die Auswirkungen von Cyberangriffen zu minimieren und die Wiederherstellung nach einem Sicherheitsvorfall zu beschleunigen. Prävention, Resistenz und Erholung werden daher auch als die drei Säulen der Cyberresilienz bezeichnet.
Cyberresilienz: die wichtigsten Maßnahmen
Der Aufbau von Cyberresilienz ist ein kontinuierlicher Prozess, da sich auch die Bedrohungslage ständig verändert und sich Cyberbedrohungen stetig weiterentwickeln. Hier sind eine wichtige Maßnahmen, die zur Verbesserung der Cyberresilienz beitragen können:
- Einführung einer Cybersicherheitsstrategie:
In einer Cybersicherheitsstrategie sind die Ziele und Maßnahmen für die Verbesserung der Cybersicherheit festgehalten. Dazu muss natürlich erst einmal eine Analyse des IST-Zustands durchgeführt werden. Sind potenzielle (Cyber-)Risiken identifiziert und bewertet, kann auf dieser Grundlage eine Strategie erarbeitet werden. Unter anderem sollten darin vorbeugende Maßnahmen enthalten sein, mit denen sich Cyberangriffe bestenfalls vollständig verhindern lassen. - Implementierung von Sicherheitssystemen:
Hier gibt es eine ganze Reihe von Tools, mit denen sich die Cyberresilienz im Bereich der Prävention verbessern lässt. Dazu gehören unter anderem Antiviren-Software, Anti-Malware-Software und Firewalls. Auch Tools, mit denen sich Patch-Management und Backup-Management realisieren lassen, zahlen auf die Resilienz des Unternehmens ein. Lösungen zur Netzwerk- und Systemüberwachung, beispielsweise Intrusion Detection Systems (IDS) und Intrusion Prevention Systems (IPS), sind ebenfalls sinnvoll. Außerdem zu empfehlen, ist ein effizientes Identity and Access Management (IAM), mit dem sich Benutzerzugriffe und Benutzerrechte kontrollieren und verwalten lassen. Ein Passwort-Manager und die Einrichtung der Multi-Faktor-Authentifizierung (MFA) tragen ebenso zur Cyberresilienz bei. Nicht zuletzt sollten Unternehmen an den Einsatz von Verschlüsselungstechnologien für Datenübertragung und Datenspeicherung sowie an die Supply-Chain-Sicherheit denken. - Ausarbeitung eines Notfall-Managements:
Ein fertiger – und natürlich aktueller – Notfallplan ist dann unerlässlich, wenn sich eine Cyberattacke erfolgreich zeigt. In so einem Szenario ist es entscheidend, unverzüglich und kompetent zu reagieren, um den Sicherheitsvorfall schnellstmöglich in den Griff zu bekommen und sich davon zu erholen. Dementsprechend wird mit der Implementierung eines Notfall-Managements besonders die Säule „Erholung“ verstärkt. Es gilt aber nicht nur, einen Notfallplan zu erstellen und regelmäßig zu aktualisieren, sondern auch Notfallübungen durchzuführen, um die Reaktionsfähigkeit auf Cyberangriffe zu testen. - Schulung der Mitarbeiter:
Die „Firewall Mensch“ ist ein Schlüsselelement der Cyberresilienz. Allerdings müssen Mitarbeiter entsprechend geschult sein, um Sicherheitsrisiken erkennen und angemessen darauf reagieren zu können. Die Sensibilisierung für Gefahren wie Phishing-Angriffe und andere Social-Engineering-Methoden ist hier elementar. Auch Schulungen zur Umsetzung des Notfallplans sind wichtig. - Audits zur Bewertung der Cyberresilienz:
Da sich die Bedrohungslandschaft ständig verändert, muss die Cyberresilienz eines Unternehmens immer wieder neu bewertet werden. Die zentrale Frage: Entsprechen die getroffenen Sicherheitsmaßnahmen noch dem aktuellen Stand der Technik – oder ist eine Anpassung notwendig? Aus eingetretenen Sicherheitsvorfällen sollten ebenfalls Lehren gezogen und Optimierungen abgeleitet werden.
Sofern diese – und weitere – Maßnahmen effektiv kombiniert werden, lässt sich die Cyberresilienz von Organisationen und Unternehmen maßgeblich verbessern. Es gilt, rechtzeitig aktiv zu werden!
EU-Komission entwirft Cyber Resilience Act
Wenn das Bundesamt für Sicherheit in der Informationstechnik angesichts der steigenden Cyberbedrohung die Bedeutung der Cyberresilienz hervorhebt, steht es mit dieser Schwerpunktsetzung nicht allein: Auch die Europäische Kommission sieht darin einen entscheidenden Ansatzpunkt für mehr Cybersicherheit und hat daher den Cyber Resilience Act (CRA) entworfen. Das Gesetz, vorgestellt am 14. September 2022, soll Hersteller dazu verpflichten, die Cybersicherheit von Hardware- und Software-Produkten zu verbessern. Grundsätzlich ist es nämlich so, dass jedes Hardware- und jedes Software-Produkt das Einfallstor für einen Cyberangriff darstellen kann.
Die wichtigsten Anforderungen des CRA sind daher:
- Hersteller sollen die Sicherheit von „Produkten mit digitalen Elementen“ bereits in der Planungs- und Entwicklungsphase berücksichtigen – der Begriff dazu lautet Security-by-Design.
- Zur Absicherung ihrer Hardware- und Software-Produkte müssen Hersteller zusätzliche Sicherheitsmaßnahmen implementieren.
- Die Hersteller werden dazu verpflichtet, regelmäßig Sicherheitsupdates für ihre Produkte bereitzustellen, sodass (neu entdeckte) Sicherheitslücken umgehend geschlossen werden.
- Über den gesamten Lebenszyklus eines Hardware- oder Software-Produkts müssen Hersteller dessen Sicherheit überwachen und verwalten.
Es wird erwartet, dass der Cyber Resilience Act im Jahr 2024 in Kraft treten wird. Für Unternehmen würde das Gesetz – besonders in Zeiten zunehmender Supply-Chain-Attacken einen besseren Schutz vor Cyberangriffen bedeuten: Sie könnten nämlich mehr darauf vertrauen, dass die eingesetzten Tools zur Verbesserung der IT-Sicherheit im Allgemeinen und der Cyberresilienz im Besonderen herstellerseitig bestmöglichen Schutz bieten.
Resilienz mit Expertenhilfe verbessern
Der BSI-Lagebericht 2023 hat gezeigt, dass kleine und mittelständische Unternehmen vermehrt in den Fokus der Cyberkriminellen geraten. Sie sind deshalb einmal mehr gefordert, die Bedrohung durch Cyberattacken nicht auf die leichte Schulter zu nehmen und in die Cyberresilienz zu investieren. Dabei stehen sie vor der besonderen Herausforderung, dass es oft keinen IT-Spezialisten im Betrieb gibt – oder nur einen Einzelkämpfer, der neben den alltäglich anfallenden Aufgaben ein Großprojekt wie die Stärkung der Cyberresilienz kaum wuppen kann.
In solchen Fällen empfiehlt es sich, einen externen IT-Dienstleister an Board zu holen. Die dort beschäftigten IT-Experten können in einem einzelnen IT-Projekt alle notwendigen Maßnahmen implementieren und die Verwaltung anschließend an einen internen Mitarbeiter übertragen; alternativ übernehmen IT-Dienstleister die Verwaltung der Sicherheitsmaßnahmen aber auch dauerhaft und halten Unternehmen mit ihren Managed Services den Rücken frei.
Sie möchten sich dazu eingehender informieren? Dann zögern Sie nicht, Kontakt zu einem Experten aus dem IT-SERVICE.NETWORK Kontakt aufzunehmen. Die IT-Systemhäuser in unserem Netzwerk helfen Ihnen gern weiter!
Weiterführende Informationen:
BSI, IT-BUSINESS, PC-SPEZIALIST
Zur besseren Lesbarkeit verwenden wir im Text die männliche Form. Gemeint sind jedoch immer alle Geschlechter und Geschlechtsidentitäten.
Schreiben Sie einen Kommentar
* = Pflichtfelder
Bitte beachten Sie unsere Datenschutzerklärung