Die Cyber-Resilienz im eigenen Unternehmen stärken

Sarah Kolberg | August 31, 2023

Die Frage ist nicht, ob man Ziel eines Cyber-Angriffes wird, sondern wann. Aus dieser Annahme ergibt sich ein ganzheitliches Sicherheitskonzept, dass einerseits Maßnahmen der Cyber Security beinhaltet, andererseits der Unternehmensorganisation: die Cyber-Resilienz. Diese befasst sich neben der Abwehr von Cyber-Angriffen auch mit dem Verhalten vor, während und nach einem Sicherheitsvorfall. Denn auch im Falle einer Kompromittierung soll die Aufrechterhaltung der Geschäftsfähigkeit, Integrität und Vertrauenswürdigkeit eines Unternehmens oder einer Organisation erhalten bleiben.

Der Resilienz-Begriff bedeutet, dass etwas oder jemand selbst in Zeiten der Veränderung, bei Störungen oder Stresssituationen funktioniert. Darin enthalten sind Widerstands-, Anpassungs- und Reaktionsfähigkeit. Cyber-Resilienz, meistens wird der englische Begriff cyber resilience verwendet, beschreibt die Standfestigkeit eines Unternehmens, auch während eines Cyber-Angriffs geschäftsfähig zu bleiben. Dabei geht die Cyber Resilience über ein klassisches IT-Sicherheitskonzept hinaus, das sich lediglich mit dem Verhindern von Cyber-Angriffen mithilfe traditioneller Sicherheitsmaßnahmen beschäftigt. Cyber-Resilienz beinhaltet entsprechend eine robuste IT- und OT-Infrastruktur, die das Risiko von Produktions- und Systemausfällen möglichst kleinhält, um monetäre Schäden oder gar Existenzbedrohung auszuschließen.

Der Betrieb ist darauf ausgelegt, dass es jederzeit zu Cyber-Attacken kommen kann. Entsprechend werden Vorbereitungen getroffen, um Angriffe vorzubeugen, einzugrenzen und entsprechende Reaktionen zu planen. Die Sicherheitsverfahren werden in die alltäglichen Abläufe der Organisation eingebunden. Es bestehen umfangreiche Notfallpläne, die eine Modifikation von Betriebsmechanismen vorsehen, um Ausfälle zu vermeiden oder eine schnelle Wiederaufnahme des regulären Betriebs zu ermöglichen. Bei einer besonders starken Cyber-Resilienz werden trotz eines Cyber-Angriffs die ordnungsgemäßen Ergebnisse und Zielvorgaben erfüllt.

Entsprechend müssen kritische Prozesse und elementare Infrastrukturen von Angriffen abgeschirmt werden. Das kann einerseits durch Segmentierungen gestaltet werden, sodass im Falle eines Angriffs nur Teilsysteme betroffen sind. Andererseits können Doppelstrukturen gepflegt werden, um Aufgaben zu übernehmen, bis der Schaden behoben ist. Eine weitere Möglichkeit ist es, auf alternative Arbeitsabläufe umzulenken, um den Betrieb aufrechtzuerhalten, bis zu den herkömmlichen Vorgehensweisen zurückgekehrt werden kann.

Reaktive und detektive Sicherheitsmaßnahmen sind stets eine Frage der Zeit. Im Falle eines Angriffs kann es hierbei bereits zu Schäden und Datenverlust kommen. Entsprechend braucht es eine Schadensbegrenzung durch präventive Maßnahmen. Präventive Maßnahmen befassen sich vor allem mit der Reduktion der Angriffsfläche und einer entsprechenden Vorbeugung von Angriffen, während reaktive Mittel eine möglichst niedrige Reaktionszeit, beispielsweise durch Automatisierung, vorweisen sollten.

Die Maßnahmen für eine starke Cyber-Resilienz bedienen sich aus Methoden der Netzwerk- und Informationssicherheit, IT-Forensik, des Krisenmanagements sowie Betrieblichen Kontinuitätsmanagements, um kontinuierlich einen sicheren Betriebszustand zu gewährleisten.

• Netzwerkübersicht und Überwachung
• Penetrationstest und regelmäßige Kontrolle potenzieller Schwachstellen
• Risikobewertung und -management
• Netzwerksegmentierung
• Regelmäßige Sicherheitsupdates
• Netzwerkzugangskontrolle mit granularen Zugriffsrechten
• Redundante Systeme für geschäftskritische Infrastruktur und Prozesse
• Security Awareness Training
• Datensicherung & Back-Ups
• Notfallplan mit Zuständigkeiten und Abfolge von Maßnahmen
• Endpoint Security

Reaktive & detektive Maßnahmen:

• Intrusion-Detection-Systemen
• Anomalie-Erkennung
• Cyber-Versicherungen
• SIEM & SOAR
• Endpoint Detection and Response
• Network Detection and Response
• IT-Forensik-Analysen
• Threat Intelligence Plattform

Der European Cyber Resilliance Act befasst sich mit verbindlichen Cyber Security-Anforderungen für Hersteller von Software und digitalen, netzfähigen Produkten. Ziel ist der Schutz von Verbrauchern und Unternehmen mithilfe einer Sorgfaltspflicht über den gesamten Lebenszyklus eines Produkts hinweg. Denn zahlreiche netzfähige Produkte erfüllen keine oder unzureichende Security-Standards oder bieten keine kontinuierlichen Sicherheitsupdates an.

Der Cyber Resillience Act legt einheitliche Regeln hinsichtlich der Cyber-Sicherheitsanforderungen für Produkte fest, bevor sie für den Markt zugelassen werden. Diese umfassen Planung, Entwicklung, Wartung der Produkte und eine entsprechender CE-Kennzeichnung. Insbesondere für IoT- und IIoT-Geräte, die bisher keinen Sicherheitsstandards unterliegen, könnten damit erhebliche Sicherheitslücken geschlossen und Risiken minimiert werden, die sich mit dem Internet of Things ergeben.

Der Vorschlag für eine Verordnung des Europäischen Parlaments und des Rates für Anforderungen an die Cyber Security von Produkten mit digitalen Bestandteilen wurde im September 2022 angenommen und soll von Anbieter-Unternehmen bis 2026 umgesetzt werden. Die Verordnung stellt eine Ergänzung der NIS2-Richtlinie dar. Der Cyber Resillience Act und die NIS2 EU-Richtlinie bilden einen gemeinsamen rechtlichen Rahmen, um die Cyber-Resilienz in europäischen Unternehmen und Organisationen zu stärken.