88 Prozent der Entscheider sind davon überzeugt, dass sie mit IT-Störungen gut und schnell fertig werden. In der Praxis kämpfen dennoch viele Betriebe mit unerwarteten Ausfällen. Der State of IT Risk Report erläutert, wie Unternehmen ihre Cyber-Resilienz stärken.
Unternehmen wollen sich auf ihre IT, die immer komplexer wird und sich zunehmend vom Kernnetzwerk entfernt, verlassen können. Laut dem State of IT Risk Report, für den das IBM Spin-off Kyndryl weltweit 300 IT-Entscheider befragt hat, betreiben die IT-Systeme in 84 Prozent der Unternehmen kritische Geschäftsprozesse.
Kommt es zu einem Netzwerkausfall, einem Cyber-Angriff oder anderen Systemstörungen, kann das verheerende Folgen haben. Zu den häufigsten Schäden zählen ein lahmgelegter Geschäftsbetrieb (50 Prozent), Bußgelder wegen Verstößen gegen den Datenschutz oder Compliance-Richtlinien (40 Prozent) sowie Reputationsschäden (35 Prozent).
Die gefühlte Sicherheit trügt oft
Trotz des Risikos von Störungen, Ausfällen und Cyber-Angriffen sowie der potenziellen Folgen, scheint ein Großteil der IT-Entscheider unbesorgt zu sein. 88 Prozent von ihnen sind sich sicher, dass ihre technische Ausstattung gut genug ist, um solchen Ereignissen angemessen zu begegnen. Hier offenbart sich ein Widerspruch: 92 Prozent der Unternehmen hatten in den vergangenen zwei Jahren mit Störfällen zu tun – sowohl mit als auch ohne Verbindungen zu cyberkriminellen Aktivitäten. Die meisten von ihnen berichten sogar von drei oder vier unterschiedlich gearteten Ereignissen. Die fünf häufigsten Störungsarten sind: Hardware- und Netzwerkausfall, Malware, ein Zusammenbruch des Data-Center-Betriebs sowie DDoS-Attacken (Distributed Denial of Service).
Kyndryl benennt fünf Best Practices, die in keiner Cyber-Resilienz-Strategie fehlen sollten:
1. Isolierte Silos aufbrechen
Oftmals arbeiten einige Geschäftsbereiche, wie die IT-Abteilungen, in Silos, also abgeschottet vom Rest des Unternehmens. Damit Cyber-Resilienz ihre volle Wirkung erzielen kann, müssen Unternehmen diese Silos aufbrechen und alle Abteilungen in ihre Strategie einbeziehen – und zwar von den ersten Gesprächen bis hin zur Definition der übergreifenden Mission. Cyber-Resilienz sollte ein integraler Teil der Unternehmenskultur sein.
2. Wiederanlaufplan aufsetzen
Zusätzlich zu den Toleranzvorgaben ihrer Branche bestimmen Unternehmen idealerweise die eigene Risikotoleranz und kommunizieren diese mit den Teams. Darüber hinaus sollten sie ermitteln, welche Unternehmensbereiche und IT-Systeme kritisch sind für den Betrieb, dessen Aufrechterhaltung und die Zielerreichung. Wichtig ist zudem ein Plan, diese Komponenten im Störfall so schnell wie möglich wiederherzustellen, damit das Geschäft keinen Schaden nimmt.
3. Frameworks und Guidelines einrichten
Da sich sicherheitsrelevante Ereignisse heute kaum mehr vermeiden lassen, empfiehlt sich ein Krisenmanagement-Plan. Darin ist festgehalten, wer bei einem Systemausfall oder einer Cyber-Attacke welche Verantwortlichkeiten übernimmt, wie Mitarbeitende zu reagieren haben und welche Prozesse durchzuführen sind. Diese Guidelines sollte das gesamte Team im Rahmen regelmäßiger Simulationen üben und verinnerlichen. Kommt es zum Ernstfall, muss alles sitzen, denn Zeit ist dann Geld. Zusätzlich bietet es sich an, eine Zero-Trust-Architektur zu implementieren. Ein Deny-by-Default-Ansatz stellt sicher, dass nur autorisierte Personen Zugriff auf kritische Systeme und Daten haben.
4. Regeln laufend an den Status quo anpassen
Unternehmen gleichen lebenden Organismen, die sich aufgrund innerer und äußerer Einflüsse verändern. Da IT-Landschaften komplexer werden und sich zudem die gesetzlichen Vorgaben wandeln, sollten Unternehmen ihre Cyber-Resilienz-Strategie anpassen, damit sie wirksam bleibt.
5. Awareness im gesamten Unternehmen schaffen
Das Security-Bewusstsein für potenzielle IT-Risiken und notwendige Schutzmaßnahmen muss bei den Mitarbeitenden weiter geschärft werden, und auch Führungskräfte und der Vorstand sollten Teil dieser Lernkurve sein. Nur dann lassen sich Risiken verstehen und Gegenmaßnahmen schnell kommunizieren und umsetzen.
„Unternehmen brauchen eine solide Cyber-Resilienz-Strategie, um Störungen zu antizipieren und sich vor den Auswirkungen zu schützen“, erläutert Dominik Bredel, Practice Leader für den Bereich Security und Resilienz bei Kyndryl Deutschland. „Dann stellen sie betroffene Systeme und Daten schnell wieder her und wenden existenzbedrohende Folgen ab.“ Jürgen Frisch
