Covid-19 erwies sich als Stresstest par excellence für die Leistungsfähigkeit digitaler Infrastrukturen öffentlicher Organisationen und Unternehmen. Innerhalb kürzester Zeit mussten Strukturen, Prozesse und Technologien an die neue Situation angepasst werden. Zugleich nahm – und nimmt – die Anzahl von Angriffen seitens Cyber-Kriminalität und -Spionage zu, wobei auch eine Professionalisierung der Akteure zu beobachten ist.
Dies stellt bereits für sich betrachtet eine dynamische Gefährdungslage dar. In Kombination mit einer wachsenden smarten Vernetzung und einer zunehmenden Abhängigkeit von funktionierenden IT-Systemen ergibt sich ein hochriskantes Spannungsfeld. Auch für Industrie-Unternehmen wird es immer aufwendiger, effektive und dabei wirtschaftliche IT/OT-Sicherheitslösungen einzusetzen, um sich zuverlässig gegen Risiken wappnen zu können. Somit gewinnt Cyber-Resilienz nicht nur an Bedeutung – sie muss zukünftig als zentrales Leitbild innerhalb jeder IT-Strategie etabliert werden.
Cyber-Resilienz bedeutet einerseits, die Funktionsfähigkeit zentraler Prozesse und Infrastrukturen selbst unter außergewöhnlichen Umständen auf ausreichendem Niveau aufrechtzuerhalten. Andererseits bezeichnet der Begriff die Fähigkeit, eine schnelle Recovery zur vollen Leistung zu erreichen. Der Fokus liegt dabei nicht auf 100-prozentiger, sondern auf adäquater Sicherheit.
Ansatzpunkte für Cyber-Resilienz
Die Risikoanalyse kritischer Geschäftsprozesse sowie die Definition möglicher Bedrohungen sind die wesentlichen Ausgangspunkte auf dem Weg zur Cyber-Resilienz. Darauf aufbauend lassen sich wirksame Mitigationsstrategien erstellen, das heißt Maßnahmen zur Minimierung von Bedrohungslagen. Es gilt, tragfähige Notfallpläne für Risiken zu entwickeln, die bei akzeptablem Aufwand nicht vollständig vermeidbar sind. Speziell bei der Transformation von IT-Sicherheitsarchitekturen sind drei Bausteine zu berücksichtigen.
Erstens muss die hohe Komplexität effektiv und umfassend gehandhabt werden. Notwendig ist hierfür der Ausbau der Präventionsmöglichkeiten um intelligente AI-basierte Systeme und Methoden. Gleichzeitig muss die Komplexität jedoch reduziert werden, beispielsweise durch klar definierte und minimale Schnittstellen. Parallel dazu sollten die Detektionsmöglichkeiten und das Monitoring auf Netz- und Applikationsebene ausgebaut werden. Zweitens sind im Unternehmen Sicherheits-Policies anhand von Aufgaben und Verantwortlichkeiten zu entwickeln. Ein Schwerpunkt liegt auf Identitäts- und dienstebasierten Zugriffskontrollen, die sowohl bei der Prävention als auch bei der Detektion helfen. Und drittens sollten die Voraussetzungen für den Aufbau einer auf Cyber-Resilienz ausgerichtete IT-Sicherheitsorganisation geschaffen werden.
Dieser Gesamtprozess ist mehr als die Summe seiner strukturellen, personellen und technologischen Elemente: Seine Initiierung hat tiefgreifende transformative Auswirkungen auf die gesamte Organisation und ist der Weg zu einem neuen IT-Security-Paradigma.