Die drei Säulen der Cyberresilienz
Cybersicherheit war gestern, heute brauchen Unternehmen Resilienz. Die baut auf den drei Säulen Sicherheit, Krisenmanagement und einer unbedingten Nachbearbeitung eines jeden Vorfalls auf. Ein Beitrag von Alexander Bogocz, Cyber-Incident-Experte bei Skaylink.
Ein aktuelles Beispiel aus dem Gesundheitssektor Ende 2024 zeigt vorbildliches Verhalten: In einem deutschen Krankenhaus wurde an einem Sonntag ein IT-Sicherheitsvorfall bemerkt und es wurden sofort Maßnahmen ergriffen. Zunächst ging die klinikeigene IT ans Werk, die später einen externen Dienstleister an Bord geholt hat. Der Klinikbetrieb und vor allem die Patientenversorgung waren zu jedem Zeitpunkt gewährleistet. Das wurde bekannt, weil der Vorfall umgehend kommuniziert wurde. Aus ermittlungstaktischen Gründen erfolgte die Kommunikation kurz und knapp, weil die Klinik eng mit den zuständigen Behörden zusammengearbeitet hat.
Dieses Beispiel eines Cybervorfalls ist deshalb so positiv, weil es gleich eine ganze Reihe von Dingen zeigt. Erstens sind Angriffe auf die IT mittlerweile alltäglich, da sie jede Organisation unabhängig von der Branche oder ihrer Größe treffen können. Und da es keine hundertprozentige Sicherheit gibt, ist es für Unternehmen essenziell, sich auf einen möglichen Angriff vorzubereiten. Und genau das hat die betroffene Klinik gezeigt. Es gab offensichtlich einen Plan für den Ernstfall, externe Dienstleister, auf die die IT sofort zurückgreifen konnte, und auch eine Kommunikationsstrategie. Wenn die Frage ist, was mit dem Begriff Cyberresilienz gemeint ist, dann kann das Klinikum als positives Beispiel genannt werden.
Resilienz braucht eine Strategie
Wenn heute von Resilienz die Rede ist, geht es darum, Cybersicherheit ganzheitlich zu denken. Dazu gehört, das Sicherheitsniveau im Unternehmen permanent zu verbessern. Firewall, Multifaktorauthentifizierung, Verschlüsselungen, regelmäßige Patches und Updates sowie Detection- und Intrusion-Prevention-Systeme sind Schlagwörter, die auch jenseits der IT-Abteilung alle Verantwortlichen gehört haben sollten. Neben dieser robusten Sicherheitsinfrastruktur gehören aber auch eine schnelle und gezielte Reaktionsfähigkeit zur Cyberresilienz. Und als dritte Säule: eine ehrliche und offene Reflexion nach einem Vorfall, um daraus zu lernen.
Genauso wichtig ist es, die eigene Belegschaft regelmäßig zu schulen und Angriffe zu simulieren, um für den Ernstfall zu trainieren. Wichtig ist hier: Es geht nicht darum, jemanden vorzuführen, sondern wirkliche Schwachstellen aufzudecken. Denn genauso wie Unternehmen Geld in die Cyberabwehr investieren, wird auch die Gegenseite stetig besser und effizienter. Deshalb sollten Unternehmen ihre Mitarbeiter über neue Social-Engineering-Taktiken oder Angriffsmethoden informieren. Denn nur wenn die Mitarbeitenden wissen, worauf sie achten oder wonach sie Ausschau halten müssen, können sie Angriffe verhindern oder zumindest rechtzeitig entdecken.
Neuralgische Punkte
Unser Compromise-Recovery-Team wird nicht nur von Kunden, sondern auch von Versicherungen oder Forensikern angefordert, um „zu retten, was zu retten ist“. Und das ist in der Regel deutlich mehr, als man zunächst vermuten möchte. Wenn wir allerdings gerufen werden, war ein Angriff bereits erfolgreich. Müssten wir eine zentrale Gemeinsamkeit aus den diversen Einsätzen ziehen, dann die: Die wenigsten Unternehmen kennen ihre Schmerzpunkte.
Einerseits verständlich: Wer hört schon gerne von den eigenen Schwächen? Unangekündigte Angriffssimulationen oder Pentests können jedoch entscheidend dazu beitragen, Einfallstore zu schließen. Denn was die Verantwortlichen in den Unternehmen nicht außer Acht lassen dürfen: Letztendlich ist Cybersecurity immer auch ein Strategiespiel. Dabei dürfen sie nicht unterschätzen, wie hochprofessionell und gut ausgestattet die Angreifer sind. Deshalb ist es auch so wichtig, Bedrohungen möglichst früh zu erkennen. Hier können Unternehmen mittlerweile auf KI setzen, die mit einer Anomalie-Erkennung und Endpoint Detection and Response dabei unterstützt, verdächtige Aktivitäten zu finden.
Schnelle Handlungsfähigkeit entscheidend
Um noch einmal auf das genannte Beispiel aus dem Gesundheitssektor zurückzukommen: Die schnelle Handlungsfähigkeit ist das, was an diesem Beispiel positiv hervorsticht. Denn einen Notfallplan in der Schublade zu haben, ist das eine, handlungsfähig zu bleiben, etwas ganz anderes. Aber was zählt, wenn es doch ein Angreifer ins System schafft: Diesen schnellstmöglich auszuschließen und anschließend genauso schnell wieder handlungsfähig zu sein – oder noch besser: zu bleiben. Letzterer Aspekt ist eine der Kernkompetenzen von Compromised-Recovery-Teams und doch erleichtern Reaktions- und Krisenmanagementpläne im Unternehmen unsere Aufgabe immens.
Neben den technischen Maßnahmen ist auch die Kommunikation unabdingbar. Um Vertrauen zu erhalten und Reputationsschäden zu vermeiden, sollten Unternehmen ihre Kunden, Partner und Mitarbeiter zeitnah und transparent über den Vorfall sowie die Gegenmaßnahmen informieren. Und auch hier zeigt das Beispiel: Unternehmen, die schnell und professionell reagieren, können die Auswirkungen eines Cyberangriffs deutlich reduzieren und die Stabilität ihrer Geschäftsabläufe gewährleisten.
Nach dem Vorfall ist vor dem Vorfall
Wenn bei einem Cybervorfall die richtigen Experten miteinander arbeiten und schnell zum Einsatz kommen, ist es möglich, die Schäden einzugrenzen. Genauso wichtig wie eine solch gut ausgebildete, schnelle Einsatztruppe ist die Aufarbeitung eines Vorfalls. Jeder Cybervorfall darf als eine Art „Lerngeschenk“ betrachtet werden, das dazu beiträgt, die eigene Cyberresilienz zu verbessern. Jede Ebene – von der Sicherheitsarchitektur über das Krisenmanagement bis hin zur Nachbereitung – baut auf der vorherigen auf und sorgt dafür, dass Unternehmen den Herausforderungen des digitalen Zeitalters gewachsen sind. Und auch wenn der „Cyberwar“ nur wenig Regeln kennt. Eines ist definitiv nicht erlaubt: Stillstand.
