Menü
Anzeige - Sämtliche Inhalte dieser Seite sind ein Angebot des Anzeigenpartners. Für den Inhalt ist der Anzeigenpartner verantwortlich.

Cyber-Resilienz – das steckt dahinter

Cyber Resilienz

Kopfbild zum Artikel
© INOVASEC GmbH
Cyber-Resilienz: Schon wieder eines dieser Buzzwords, die keiner kennt und keiner braucht. Es hat wohl etwas mit Cyber zu tun, vielleicht Cyber-Sicherheit. Bisher ist es noch immer gut gegangen. Trotzdem werden die mahnenden Rufe immer lauter.

Manuel Bach, Leiter des Referats "Cyber-Sicherheit für KMU" im Bundesamt für Sicherheit in der Informationstechnik (BSI) fasst die aktuelle Lage in vier klare Aussagen zusammen:

1. Jeder wird angegriffen – es gibt keine Ausnahmen!
2. Früher oder später werden bisherige Schutzmaßnahmen versagen!
3. Prävention ist wesentlich preiswerter als Reaktion!
4. Teure Reaktion ist immer noch preiswerter als Kapitulation!

Die vier Aussagen zeichnen ein sehr düsteres Bild. Doch es lohnt sich, diese im Einzelnen einmal zu überprüfen.

Viele Unternehmen ziehen sich auf die Position zurück, dass sie für einen Angreifer nicht attraktiv sind. Das mag sogar stimmen, allerdings sind die Angreifer inzwischen auf einem Niveau, dass der überwiegende Teil der Angriffe vollautomatisch erfolgt. Das Internet ist riesig und trotzdem endlich. Wenn ein Angreifer über genug Zeit und Bandbreite verfügt, dann fängt er von vorne an und klopft nacheinander an jede Tür.

Eine zweite weit verbreitete Annahme: Wer eine sehr gute Firewall und einen sehr guten Virenscanner hat, ist sicher. Dieses Video geht auf verständliche und nachvollziehbare Art und Weise auf diese beiden Annahmen ein:


Firewall und Virenscanner sind wesentliche Elemente im Kontext der IT-Sicherheit. Das IT-Team übernimmt eine Vielzahl weiterer Aufgaben, um ein Mindestmaß an Sicherheit zu unterstützen:
  • Sicherung der Unternehmensdaten
  • Aktualisierung der eingesetzten Programme
  • Management der Identitäten
  • Segmentierung des Netzwerks, um zum Beispiel Produktionsmaschinen von der Bürokommunikation zu trennen.
Die Frage, ob diese Maßnahmen reichen, kann immer nur mit einer Wahrscheinlichkeit und einer Momentaufnahme beantwortet werden. Schlimmer noch, Cyber-Sicherheit ist – anders als Fußball – ein endloses "Spiel". Beim Fußball:
  • Einigen sich die Mannschaften im Vorfeld auf feste Regeln
  • Gibt es einen Schiedsrichter und einen Schlusspfiff
  • Gewinnt die Mannschaft, die bis zum Schlusspfiff die meisten Tore geschossen hat.
Cyber-Sicherheit soll vor einem Krieg schützen, der im Cyber-Raum tobt: im Internet. Die Angreifer ändern die Regeln nach Belieben, nutzen jede Erkenntnis und jede Sicherheitslücke. Der Staat kann die Unternehmen nicht schützen. Er kann die Grenzen nicht "dicht" machen, weil wir in einer globalisierten Welt auf die Kommunikation im Internet angewiesen sind. Und auch die Unternehmen selbst können diesen Krieg nicht gewinnen, allerdings können sie viel dafür tun, um im "Spiel" zu bleiben. An dieser Stelle beginnen die Aussagen drei und vier zu greifen und damit auch die Cyber-Resilienz.
Zum Thema

Was genau ist Prävention?

Oftmals hilft zunächst ein Blick in die "analoge" Welt, um das Thema Prävention im Cyber-Raum besser zu verstehen. Mit dem Auto ist es möglich, auch entferntere Ziele zügig zu erreichen. Aus Sicherheitsgründen hat man im Vorfeld eine Vielzahl an Maßnahmen eingeführt. Als Erstes muss man einen Führerschein machen. Hinzu kommen die Sicherheitskomponenten am Fahrzeug, die sich bewährt haben: Von den Bremsen über die Sicherheitsgurte bis zu den Airbags – all das für den unwahrscheinlichen Fall, dass man in einen Unfall verwickelt wird.

Unternehmen sind im hohen Maße von der IT und ihren Diensten abhängig. Keine Ware würde vom Hof gehen, wenn das Versenden von Lieferscheinen und Rechnungen nicht funktioniert. Cyber-Resilienz hat nun die Aufgabe, uns angemessen auf Cyber-Angriffe, aber auch auf alle anderen Arten von Störungen und Unterbrechungen vorzubereiten, immer mit dem Ziel, die eigene Lieferfähigkeit zu erhalten.

Das BSI hat einen Katalog mit insgesamt 47 elementaren Gefährdungen zusammengestellt: https://www.bsi.bund.de/SharedDocs/Downloads/...

Diese elementaren Gefährdungen können für die eigene Risikoanalyse herangezogen werden. Das Ziel ist es, die Gefährdungen für sich selbst einzuschätzen und gegebenenfalls das Risko durch bewährte Maßnahmen zu reduzieren.

Im Rahmen der Risikoanalyse ist es üblich, die Kriterien Eintrittswahrscheinlichkeit und Schadenshöhe zu berücksichtigen. Dies gilt es einmal am Beispiel von Ransomware konkret zu machen.

Was genau ist Ransomware?

Das englische Wort "ransom" (zu Deutsch: Lösegeld) bezeichnet den Zweck, zu dem Cyberkriminelle Ransomware-Schadprogramme einsetzen. Ransomware zielt häufig darauf ab, Unternehmensdaten zu verschlüsseln. Es ist heute üblich, dass Angreifer damit drohen, Unternehmensdaten zu veröffentlichen, wenn das Erpressungsgeld nicht bezahlt wird. Der BSI-Katalog adressiert eine Vielzahl von Gefährdungen, die mit Ransomware einhergehen. Hier ein Auszug:

• G 0.19 Offenlegung schützenswerter Informationen
• G 0.22 Manipulation von Informationen
• G 0.23 Unbefugtes Eindringen in IT-Systeme
• G 0.25 Ausfall von Geräten oder Systemen
• G 0.29 Verstoß gegen Gesetze oder Regelungen
• G 0.35 Nötigung, Erpressung oder Korruption
• G 0.38 Missbrauch personenbezogener Daten
• G 0.45 Datenverlust

Ähnlich wie der Sicherheitsgurt und Airbag beim Auto werden nun Maßnahmen definiert werden, um die Folgen von eingetretenen Gefährdungen abzumildern, zum Beispiel durch ein IT-Notfallkonzept:


Produktionsausfälle kosten Geld. Ein anhaltender Produktionsausfall kann sogar existenzgefährdend sein. Ziel des IT-Notfallkonzepts ist es daher, so schnell wie möglich und aus eigener Kraft wieder auf die Beine zu kommen und die Lieferfähigkeit wiederherzustellen.

NIS2 und Cyber-Resilienz

NIS2 ist eine von der EU verabschiedete Cyber-Sicherheits-Richtlinie. Im Spätherbst 2024 wird die NIS2-Richtlinie in allen europäischen Mitgliedsstaaten in nationales Recht überführt (NIS2UmsuCG in Deutschland). Diesmal trifft es auch Unternehmen im Mittelstand. Die NIS2-Richtlinie fordert unter anderem:
  • Konzepte in Bezug auf die Risikoanalyse und Sicherheit für Informationssysteme
  • Bewältigung von Sicherheitsvorfällen
  • Aufrechterhaltung des Betriebs, wie Backup-Management und Wiederherstellung nach einem Notfall, und Krisenmanagement
  • Sicherheit der Lieferkette

Der erste konkrete Schritt – ihre Standortbestimmung

Durch die NIS2-Richtlinie werden die Unternehmen gesetzlich aufgefordert, ein systematisches Risiko-Management und Cyber-Resilienz-Maßnahmen für ihre IT-gestützten Prozesse einzuführen. Dabei hilft eine klare Einschätzung ihres Status quo und ein auf die Möglichkeiten des Mittelstands abgestimmtes Zielbild.
Termin buchen


Die Firma INOVASEC GmbH hat speziell für den Mittelstand eine sehr pragmatische Standortbestimmung entwickelt. Die Grundlage ist ein Reifegradmodell, das über eine einfache und verständliche Ampel-Darstellung eine schnelle Erfassung der Gesamtsituation unterstützt. So wird das Thema "Cyber-Resilienz" proaktiv angegangen.
Impressum
Inovasec GmbH
Herr Christian Kress In den Obergärten 28 63329 Egelsbach Deutschland USt-IdNr.: DE230219678
T: 0049-6103-8038055
@: christian.kressinovasec.de
inovasec.de
Lesen Sie auch

NIS2-Compliance
Bild zum Artikel: NIS2-Compliance
NIS2 ist eine von der EU verabschiedete Cybersicherheits-Richtlinie. Im Spätherbst 2024 wird die NIS2-Richtlinie in allen europäischen Mitgliedsstaaten in nationales Recht überführt (NIS2UmsuCG in Deu ...

NIS2-Gesetz
Bild zum Artikel: NIS2-Gesetz
Am 16.01.2023 schrieb das Handelsblatt „Kaum zu bewältigen: Neue EU-Richtlinie für Cybersicherheit setzt Unternehmen unter Zeitdruck“. Und weiter: „Ob Energieversorger, O ...
Betreiber Impressum