Diese Angriffe abzuwehren, fällt Unternehmen der Branche zunehmend schwer, da sich ihre Angriffsflächen in den vergangenen Jahren massiv verändert haben: Mitarbeiter greifen nicht mehr nur vom klassischen Büroarbeitsplatz auf die Systeme zu, sondern vom heimischen Notebook aus, über das Smartphone auf Geschäftsreise, über kostenlose WLANs im Hotel und viele andere Kanäle. Dadurch wird es schwierig für die IT-Sicherheit, die IT-Umgebung als Ganzes zu überblicken und zu schützen.
Wachsende Bedrohungen
Der Energie- und Versorgungsmarkt in Europa sieht sich schon seit längerem mit zunehmenden Herausforderungen konfrontiert, wie sie etwa die Cyber-Attacke auf das Caspian Pipeline Consortium (CPC) und die Unterbrechung des Ölraffinerie-Zentrums Amsterdam-Rotterdam-Antwerpen (ARA) zeigen.
Cyber-Attacken auf systemkritische Infrastrukturen haben seit dem Jahr 2018 stark zugenommen und dann 2022 ein alarmierendes Niveau erreicht, insbesondere nach der Invasion Russlands in der Ukraine. Laut dem S&P Global Energy Security Sentinel hat es seit 2017 an die 49 Cybersecurity-Vorfälle gegeben, deren Ziele die Infrastruktursysteme in den Bereichen von Energie und Rohstoffen waren. Allein im Jahr 2022 fanden 15 solcher Angriffe statt – das ist der höchste Stand seit sechs Jahren.
Anstrengungen der Gesetzgeber
Die Mitgliedstaaten der European Union (EU) haben die Bedeutung der Cyber Security erkannt und verschiedene Maßnahmen zur Verbesserung von Vorschriften und Standards ergriffen. Die EU-Richtlinie zur Network and Information Security (NIS), die seit dem Jahr 2018 in Kraft ist, verpflichtet Betreiber wesentlicher Dienstleistungen einschließlich der Energie- und Versorgungsunternehmen, Sicherheitsmaßnahmen einzusetzen und bedeutende Cyber-Vorfälle zu melden.
Darüber hinaus wurde mit dem Cybersecurity Act der EU ein Rahmenwerk für die Zertifizierung von Produkten und Dienstleistungen im Bereich der Cyber Security geschaffen.
Der Bedarf an Cyber-Resilienz
Trotz dieser regulatorischen Maßnahmen und der Investitionen in fortgeschrittene Technologien im Bereich der Cyber Security sind sich Sicherheitsexperten in kritischen Branchen der Infrastruktur bewusst, dass Cyber-Attacken letztlich unvermeidlich sind. Konsequent hat sich deshalb der Schwerpunkt von der reinen Verhinderung von Angriffen auf die Entwicklung von Strategien verlagert, um die Auswirkungen von Cyber-Attacken abzuschwächen. Viele Energie- und Versorgungsunternehmen stützen sich bereits auf „Cyber-Resilienz“ als die geeignete Strategie, um diesen zunehmenden Bedrohungen zu begegnen.
Doch was genau ist Cyber-Resilienz und wie unterscheidet sie sich von herkömmlichen Praktiken bei der Cyber Security? Laut den Experten von MITRE besteht Cyber Resilience (oder Cyber Resiliency) in „der Fähigkeit, ungünstige Bedingungen, Belastungen, Angriffe oder Beeinträchtigungen von Cyber-Ressourcen zu antizipieren, ihnen zu widerstehen, sich von ihnen zu erholen und sich an sie anzupassen“.
Der Bedarf an Cyber-Resilienz ergibt sich demnach aus der zunehmenden Erkenntnis, dass traditionelle Sicherheitsmaßnahmen nicht mehr ausreichen, um Systeme, Daten und Netzwerke vor Angriffen zu schützen.
Ziel der Cyber-Resilienz ist es deshalb, sicherzustellen, dass ein feindliches oder unbeabsichtigtes Cyber-Ereignis (zum Beispiel ausgelöst durch fehlgeschlagene Software-Updates) keine negativen Auswirkungen auf die Vertraulichkeit, Integrität und Verfügbarkeit der Geschäftsabläufe eines Unternehmens haben kann.
Cyber-Resilienz und Co.
Bei der Cyber Security kommen Technologien, Prozesse und Maßnahmen zum Einsatz, die Systeme wie zum Beispiel Server oder Endpunkte, Netzwerke und Daten vor Cyber-Attacken schützen sollen. Im Gegensatz dazu konzentriert sich die Cyber-Resilienz auf aufspürende und reagierende Kontrollen in der IT-Umgebung eines Unternehmens, um Probleme oder Lücken zu bewerten und Verbesserungen an der allgemeinen Sicherheitslage vorzunehmen.
Die meisten Initiativen zur Cyber-Resilienz verwenden oder verbessern eine Vielzahl von Maßnahmen zur Cyber Security. Beide Strategien sind dann besonders effektiv, wenn sie gemeinsam eingesetzt werden.
Vorteile der Cyber-Resilienz
Eine wesentliche Strategie für mehr Cyber-Resilienz ist die Kontinuität der Geschäftsprozesse von entscheidender Bedeutung und kann vor, während und nach einem Cyber-Angriff eine Reihe von Vorteilen bieten. Dazu gehören etwa die folgenden Aspekte:
Verbesserte Sicherheitsaufstellung: Cyber-Resilienz hilft nicht nur dabei, auf einen Angriff zu reagieren und ihn zu überleben. Sie kann einem Unternehmen auch dabei helfen, Strategien zur Verbesserung der IT-Governance zu entwickeln, die Sicherheit kritischer Anlagen zu erhöhen, den Datenschutz zu verbessern und menschliche Fehler zu minimieren.
Geringere finanzielle Verluste: Laut dem „Cost of a Data Breach Report 2022“ von IBM belaufen sich die durchschnittlichen Kosten für eine Datenschutzverletzung weltweit auf 4,35 Millionen US-Dollar. Zusätzlich zu den finanziellen Kosten nehmen die Auswirkungen von Datenschutzverletzungen auf den Ruf eines Unternehmens zu, da allgemeine Datenschutzgesetze und strenge Meldepflichten für Verletzungen des Datenschutzes eingeführt wurden. Die Cyber-Resilienz kann dazu beitragen, die Wiederherstellungskosten zu verringern, indem die Zeit bis zur Wiederherstellung von Systemen verkürzt wird.
Verbesserte Einhaltung von vordefinierten Compliance-Regeln: Viele Industriestandards Normen und staatliche Vorschriften sowie Datenschutzgesetze propagieren heute Cyber-Resilienz.
Gesteigerte IT-Produktivität: Einer der häufig unterschätzten Vorteile der Cyber-Resilienz besteht in ihrer Fähigkeit, den alltäglichen IT-Betrieb zu verbessern, einschließlich der Reaktionen auf Bedrohungen und der Sicherstellung eines reibungslosen Ablaufs der Tagesgeschäfte.
Cyber-Resilienz nutzen
Um Cyber-Resilienz effektiv einzurichten, müssen Unternehmen ihre geschäftskritischen Infrastruktursysteme mit gängigen Taktiken, Techniken und Verfahren bewerten, wie sie auch von Hackern verwendet werden. So werden beispielsweise Endpunkte häufig als Zugangspunkt für Hacker und Cyber-Kriminelle verwendet, um Angriffe zu starten, die das Netzwerk eines Unternehmens infizieren oder als Ausgangspunkt dafür dienen können, um sich seitlich innerhalb des Netzwerks zu bewegen. Eine Umfrage des Ponemon Institute hat in der Tat ergeben, dass 68 Prozent der Unternehmen in den letzten 12 Monaten Opfer eines erfolgreichen Angriffs auf ihre Endpunkte wurden.
Trotz der weit verbreiteten Versuche, Endpunkte zu sichern, deutet diese Tatsache darauf hin, dass die Sicherheit in den heutigen Umgebungen des Work-from-anywhere schnell an ihr Ende gekommen und daher Endpoint Resilience erforderlich ist, die nur eine Variante der Cyber-Resilienz darstellt. Maßnahmen zur Endpoint Resilience versetzen Unternehmen in die Lage, stets zu wissen, wo sich ihre Endgeräte befinden, sowie tiefgreifende Sicherheitskontrollen durchzuführen und Abwehrmaßnahmen auf diesen Geräten einzurichten. Dazu gehört auch die Reparatur von eigentlich schützenden Sicherheitsanwendungen, wenn diese deaktiviert oder verändert wurden oder anderweitig gefährdet sind.
Cyber Resilience dient, wenn sie richtig implementiert ist, als Präventivmaßnahme gegen menschliches Versagen, böswillige Handlungen und unsichere Software. Ihr Ziel ist es, das gesamte Unternehmen aggressiv zu schützen und alle verfügbaren Cyber-Ressourcen abzudecken.