Die Saison der Jahresrückblicke hat begonnen. Viele Medien dürften dabei ein Thema aufgreifen, dessen Auswirkungen immer mehr Menschen betreffen – Cyberattacken auf die IT-Infrastruktur von Unternehmen, Behörden und Organisationen. Das wohl sichtbarste Ergebnis im sich dem Ende neigenden Jahr: Lange Schlangen vor US-Tankstellen, weil Cyberkriminelle eine wichtige Pipeline der US-Ostküste lahmlegten; Oder gesperrte Kundenkonten in Deutschland, nachdem der Dienstleister einer Banken-Gruppe attackiert worden war. Die Accenture-Studie „The Cost of Cybercrime“ beziffert den global drohenden Schaden für den Fünf-Jahres-Zeitraum 2019/2023 auf 5,2 Billionen US-Dollar. Diese Summe dürfte durch eine steigende Zahl immer ausgefeilterer Attacken weiter zunehmen.
Viele Unternehmen haben reagiert und tun mehr für die Cyberabwehr. Gerade Banken und weitere Betreiber der kritischen Infrastruktur (KRITIS) müssen schon deshalb handeln, weil es regulatorisch geboten ist. Auch andere Organisationen verstärken ihre Verteidigungsmaßnahmen und investieren in Hard- und Software sowie die Sensibilisierung und Schulung der Beschäftigten. Schwachstellen und Sicherheitsvorfälle lassen sich so leichter erkennen, automatisierte Schutzmechanismen besser einsetzen.
Ein genauerer Blick auf diese Bemühungen um mehr Cyberresilienz, also eine größere Widerstandsfähigkeit der IT, lässt jedoch eine kritische Unwucht bei den Maßnahmen erkennen: Viele Unternehmen konzentrieren sich auf die Abwehr von Cyberattacken, haben aber keinen Plan zur Reaktion auf erfolgreiche Angriffe etwa mit Ransomware, die dann per Datenverschlüsselung ihr Geschäft zum Erliegen bringen. Es fehlt ein Konzept für das Business Continuity Management, also das Weiterführen des Geschäfts nach dem Tag X – in welcher Reihenfolge müssen welche Daten und Prozessen schnellstens wieder verfügbar sein, damit das Geschäft möglichst kurz unterbrochen ist?
Vielen Unternehmen fehlt der Notfallplan
Eine Umfrage für die Accenture-Studie „State of Cybersecurity Resilience 2021“ bestätigt: 78 Prozent der Business Executives wissen nicht, wie oder wann sich eine Cyberattacke auf ihre Organisation auswirken würde. Dabei wäre den Unternehmen am besten damit gedient, wenn die wichtigsten Aspekte des Geschäfts den Kern der Strategie für Cyberresilienz bilden und sie konsequent darauf abzielt, zwar alles möglichst gut, die Kronjuwelen des Geschäftsmodells aber stets optimal zu schützen.
Wer das erreichen will, muss sich zuerst von der Idee verabschieden, mit den richtigen Tools und Methoden könne jeder Angriff abgewehrt werden – 100 Prozent Sicherheit gibt es nicht. Gleichzeitig muss akzeptiert werden, dass nicht alles gleich schützenwert ist. Eine erfolgreiche Attacke auf das Herzstück des Geschäfts wäre viel dramatischer als der vorübergehende Ausfall kleinerer Nebensysteme. Knacken kriminelle Hacker etwa die Steuerung des Tors zum Firmengelände, könnten sie zwar mit einigen Trucks wegfahren. Viel schlimmer wäre aber, wenn es ihnen gelänge, die Software zur Steuerung der Logistik lahmzulegen. Dann gingen keine Lieferungen mehr zu den Kunden, weder mit eigenen noch gemieteten Trucks – der wirtschaftliche Schaden wäre enorm.
Cyberresilienz erfordert also eine differenzierte Betrachtung möglicher Cyberangriffe und ihrer Folgen. Daher gilt es, zuerst die Kronjuwelen des Unternehmens sowie die etwas weniger wichtigen Angriffspunkte zu identifizieren. Für alle Ziele gilt es dann, unter dem Kosten-Nutzen-Aspekt die angemessenen Abwehrmaßnahmen zu entwickeln – und individuelle Notfallpläne, damit nach einer erfolgreichen Attacke die wichtigsten Daten, Prozesse oder Geräte rasch wieder verfügbar sind. Das ist keine Aufgabe allein für die IT oder eine Person in der jeweiligen Abteilung. Technische und prozessuale Aspekte sollten immer unter Leitung eines Business-Verantwortlichen mit Blick darauf diskutiert werden, welche Attacken und Ausfälle geschäftskritisch sind, sprich wo welches Sicherheitsniveau erforderlich ist.
Was es mit dem Präventionsparadox auf sich hat
Zu kämpfen haben die Beteiligten dabei mit dem bekannten Präventionsparadox: Gebe ich viel Geld zur Gefahrenabwehr aus, bleibt der Ernstfall aus – und irgendwann wird die Frage gestellt, ob der Aufwand und die Ausgaben gerechtfertigt waren. Hier helfen in der Diskussion um finanzielle, personelle und technische Ressourcen nur transparente Berechnungen, was der optimale Schutz der Kronjuwelen inklusive gutem Business Continuity Management auch auf lange Sicht an finanziellen oder Reputationsvorteilen im Vergleich zu einer erfolgreichen Cyberattacke bietet.
Argumente im Ringen um Aufmerksamkeit, Anerkennung und Budgets liefert folgendes Ergebnis: Würden die anderen für die „State of Cybersecurity Resilience 2021“ betrachteten Unternehmen ihre Cyberresilienz mit so gut abgestimmten Konzepten zur Abwehr von IT-Angriffen und für Business Continuity Management stärken wie die sogenannten Cyber-Champions, ließen sich die finanziellen Verluste durch eine erfolgreiche Cyberattacke um bis zu 71 Prozent reduzieren.
Zur Cyberresilienz gehört wirkungsvolles Business Continuity Management. Dazu sollten Unternehmen
- die kritischen Daten und Prozesse kennen.
- die richtigen Verantwortlichen benennen.
- die Erfahrung externer Experten nutzen.
- bei Cyberresilienz an die Cloud denken, denn wer Daten und Prozesse weitgehend in die Cloud verlagert, hat bessere Möglichkeiten zum Speichern, Sichern oder Spiegeln.
- gezielt in Technik und Schulung investieren, denn IT-Resilienz basiert stets auf dem Zusammenspiel von Technik, Prozessen und Menschen.