Aktuelles, Branche, Studien - geschrieben von am Sonntag, August 9, 2020 19:49 - noch keine Kommentare

Cyber Resilience: 5 Mythen in der Analyse

Unternehmen sehen sich mit immer raffinierteren Cyber-Angriffen und teureren Datenskandalen konfrontiert

[datensicherheit.de, 09.08.2020] Angesichts der wachsenden Bedrohung durch Cyber-Angriffe wird die sogenannte Cyber Resilience für Unternehmen immer wichtiger. Erst 36 Prozent der Unternehmen hätten bisher allerdings ein hohes Resilienz-Level erreicht – so die Erkenntnis einer aktuellen Studie von Frost & Sullivan und Greenbone Networks. Ob „Cyber Resilience“ nur etwas für große Unternehmen mit hohen IT-Budgets ist, erörtert Elmar Geese, „COO“ bei Greenbone, in seine aktuellen Stellungnahme und möchte dabei „mit den häufigsten Mythen“ aufräumen.

greenbone-elmar-geese

Foto: Greenbone Networks

Elmar Geese: Auch KMU als Hidden Champions im Visier Cyber-Krimineller

Cyber-Vorfälle im aktuellen Allianz Risk Barometer zum weltweit wichtigsten Geschäftsrisiko aufgestiegen

Erstmals seien Cyber-Vorfälle im aktuellen „Allianz Risk Barometer“ zum weltweit wichtigsten Geschäftsrisiko aufgestiegen. Sie verdrängten damit den langjährigen Spitzenreiter, die Betriebsunterbrechung, von Platz 1 – beide Risikofaktoren seien eng miteinander verknüpft. Unternehmen sehen sich demnach mit immer raffinierteren Angriffen und teureren Datenskandalen konfrontiert. So koste ein schwerer Datendiebstahl laut dem Ponemon Institute heute durchschnittlich 42 Millionen Dollar und damit acht Prozent mehr als im Vorjahr.
Viele Unternehmen versuchten daher, Cyber-Resilienz zu erlangen. Laut einer Studie von Frost & Sullivan und Greenbone Networks hätten allerdings erst 36 Prozent der Organisationen in sechs Schlüsselindustrien in Deutschland, Frankreich, Großbritannien, den USA und Japan „ein hohes Level an ,Cyber Resilience‘ erreicht“. Häufig herrsche noch Unklarheit, „was sich hinter diesem Konzept eigentlich verbirgt und welche Faktoren und Fähigkeiten entscheidend sind“.

Mythos 1: Cyber Resilience reines Technologie-Thema

„Cyber Resilience“ beschreibe die Fähigkeit eines Unternehmens, trotz eines Cyber-Vorfalls geschäftsfähig zu bleiben, und gehe über den reinen Schutz von IT-Netzwerken und -Systemen hinaus. Der Ansatz bestehe darin, Sicherheit aus den Geschäftsprozessen heraus zu schaffen, statt einen Schutzwall um sie herum zu bauen. Technologie sei daher nur ein Aspekt. Genauso wichtig seien Menschen und Kultur sowie Prozesse und Organisation. Eine entscheidende Rolle spiele zum Beispiel die Art und Weise, wie ein Unternehmen Prozesse gestaltet und Mitarbeiter einbezieht.
Verantwortlichkeiten müssten klar und eindeutig festgelegt sein. So zeige der Report von Frost & Sullivan, „dass fast alle hochresilienten Unternehmen (95 Prozent) der Best Practice folgen, die Verantwortung eines digitalen Assets bei seinem Owner anzusiedeln, etwa einer Einzelperson oder einer Abteilung“. Außerdem kristallisierten sich in der Studie die folgenden Kernkompetenzen heraus: Die Fähigkeit, kritische Vermögenswerte jedes kritischen Geschäftsprozesses zu identifizieren, die potenziell durch einen Cyber-Angriff beeinträchtigt werden könnten (97% der hochresilienten Unternehmen). Ferner die Fähigkeit, identifizierte Schwachstellen zu mindern und zu beheben (94% der hochresilienten Unternehmen) – das schließe sowohl technische als auch organisatorische Schwachstellen ein.

Mythos 2: Widerstandsfähigkeit gegen Cyber-Angriffe eine Frage des Budgets

Die Studie zeige zwar, dass hochresiliente Unternehmen im Durchschnitt einen größeren Umsatz und ein höheres IT-Budget hätten als weniger resiliente. Bei genauerer Betrachtung werde jedoch deutlich, dass es keinen Zusammenhang zwischen der Höhe der IT-Ausgaben und dem erreichten Cyber-Resilience-Level gebe. Geese betont: „Wichtiger ist vielmehr ein grundlegendes Verständnis der Geschäftsprozesse und ein Bewusstsein dafür, welches die geschäftskritischen digitalen Ressourcen im Unternehmen sind.“
Gerade bei knappen IT-Budgets komme es darauf an, die zur Verfügung stehenden Mittel auf die wichtigsten Assets zu konzentrieren. Hierbei gehe es häufig um Entscheidungen, die nur Führungskräfte treffen könnten, denn diese müssten Risiken gegen Kosten abwägen. „Cyber Resilience“ müsse daher auf Management-Ebene angesiedelt sein. In 97 Prozent der hochresilienten Unternehmen werde „Cyber Security“ regelmäßig in „Senior Management Meetings“ besprochen.

Mythos 3: Cyber Resilience schließt System-Ausfälle aus

Auch mit den besten Security-Maßnahmen werde es nie hundertprozentige Sicherheit geben. „Cyber Resilience“ bedeute daher nicht nur, Hacker-Angriffe so gut es geht abzuwehren, sondern auch im Falle einer Attacke schnell gegenzusteuern und trotzdem die gesetzten Geschäftsziele erreichen zu können.
„Wie die Frost & Sullivan-Studie zeigt, sind sich Unternehmen zunehmend bewusst, dass Cyber-Angriffe unvermeidlich sind. Die Fähigkeit, sie zu verhindern, spielt daher eine eher untergeordnete Rolle auf dem Weg zur Resilienz“, erläutert Geese. Als wichtiger erachten die Befragten die Fähigkeit, auf Cyber-Attacken zu reagieren (81%), ihre Auswirkungen auf kritische Geschäftsprozesse zu mindern (79%) und identifizierte Schwachstellen zu schließen (78%).

Mythos 4: Cyber Resilience auf das eigene Unternehmen begrenzt

Da „Cyber Resilience“ auf die Geschäftsziele fokussiere und von der Prozess-Seite her gedacht werden müsse, „endet sie nicht an den Grenzen des eigenen Hauses“. Vielmehr müssten Unternehmen auch an alle Beteiligten denken, mit denen sie vernetzt sind oder zu denen es Abhängigkeiten gibt, zum Beispiel Lieferanten, Kunden, Mitbewerber oder Regulierungsbehörden.
Wie wichtig es sei, eine breitere „Nachbarschaft“ zu berücksichtigen, zeige das Beispiel des Energiesektors. Kommt es dort an einer Stelle im Gefüge zu Ausfällen, ziehe dies eine ganze Kaskade von Problemen nach sich, „denn ohne Strom funktioniert in unserer heutigen Gesellschaft nahezu nichts mehr“.

Mythos 5: Konzepte für Cyber Resilience nur etwas für große Organisationen

Geese stellt klar: „Es wäre fatal zu glauben, dass nur große Unternehmen von Cyber-Angriffen betroffen sind. Schon längst haben Hacker auch kleinere und mittelständische Organisationen als attraktives Ziel entdeckt.“ Denn gerade dort gebe es oft viele „Hidden Champions“, bei denen sich Industriespionage und Datendiebstahl lohnten.
Zudem seien KMU häufig schlechter geschützt als große Unternehmen und damit ein leichteres Opfer. Laut einer aktuellen Bitkom-Studie seien 2019 mindestens 75 Prozent aller deutschen Unternehmen von Cyber-Angriffen betroffen gewesen. Besonders bei den kleineren Betrieben mit zehn bis 99 Mitarbeitern sei die Zahl im Vergleich zu 2017 deutlich angestiegen. Die Fähigkeit, sich auf solche Vorfälle einzustellen, schnell handeln zu können und betriebsfähig zu bleiben, werde daher „für Unternehmen aller Größen zu einem entscheidenden Wettbewerbsfaktor“.

Weit aber lohnend: Der eigene Weg zur Cyber Resilience

Die meisten Unternehmen in den fünf größten Volkswirtschaften der Welt befänden sich noch am Anfang auf ihrem Weg zu hoher Cyber Resilience. Es gebe also noch viel zu tun. Nur indem Unternehmen alle drei Dimensionen „Technologie und Infrastruktur“, „Menschen und Kultur“ sowie „Organisation und Prozesse“ in einem umfassenden Konzept berücksichtigten, könnten sie ihr Ziel erreichen.
Cyber Resilience sei keine reine Frage der Technik, des IT-Budgets oder der Unternehmensgröße und dürfe nicht an den Grenzen des eigenen Hauses aufhören. „Wer auf seine geschäftskritischen Prozesse und Assets fokussiert, Schlüsselfähigkeiten erwirbt und sich an ,Best Practices‘ orientiert, macht einen großen Schritt nach vorn, so Geeses Fazit.

Weitere Informationen zum Thema:

Allianz, 14.02.2020
Allianz Risk Barometer 2020: Cyber steigt zum weltweiten Top-Risiko für Unternehmen auf

Greenbone
Cyber Resilience – die Antwort auf die Risiken unserer vernetzten Geschäftswelt

datensicherheit.de, 16.11.2018
Internationaler Cyber Resilience Think Tank: Hohe Priorität für Threat Intelligence



Kommentieren

Kommentar

Kooperation

TeleTrusT

Mitgliedschaft

German Mittelstand e.V.

Mitgliedschaft

BISG e.V.

Multiplikator

Allianz für Cybersicherheit

Datenschutzerklärung