Die stetige Verschärfung der Cyber-Bedrohungslage durch aktuelle geopolitische Ereignisse und die weiter voranschreitende Digitalisierung verdeutlicht einmal mehr: Die Frage nach einem Cyber-Angriff lautet nicht „ob“, sondern „wann“. Doch einem wachsenden öffentlichen Bewusstsein zum Trotz haben viele Unternehmen in Sachen Cyber-Resilienz Nachholbedarf. Dabei stärken Cyber-Resilienz-Maßnahmen die reaktiven Fähigkeiten eines Unternehmens, indem für konkrete Bedrohungsszenarien Pläne bereitgehalten und Strukturen zur Bewältigung von Cyber-Angriffen geschaffen werden.
Die Seminarleiter unseres Seminars „Cyber Resilience und IT Service Continuity Management“, Ralph Noll, Max Kaiser und Michael Fußeder, zeigen Ihnen, wie Sie Ihre Cyber-Resilienz ganz gezielt stärken können.
Der Begriff Cyber-Resilienz beschreibt die Fähigkeit eines Unternehmens, auf Informationssicherheitsvorfälle und insbesondere Cyber-Angriffe so reagieren zu können, dass die materiellen wie immateriellen Auswirkungen auf das Geschäft so gering wie möglich ausfallen. Es geht hierbei nicht um das Implementieren von technischen Maßnahmen zur Abwehr – wie beispielsweise Virenscanner, Firewalls und sonstige Absicherungsmaßnahmen – sondern um die Etablierung und regelmäßige Beübung reaktiver Fähigkeiten wie der Einrichtung eines Krisenmanagements oder das Bereithalten konkreter Pläne und Prozeduren für das Eintreten des tatsächlichen Cyber-Notfalls.
Cyber-Resilienz teilt sich in folgende drei Säulen der Informations- und Betriebssicherheit:
Das Incident Management beschäftigt sich ganz allgemein mit der Bearbeitung von Störungen des IT-Betriebs und ist wichtigster Dreh- und Angelpunkt für die Reaktionsfähigkeit des Unternehmens. Im Rahmen des Incident Managements werden spezifische Cyber-relevante Vorfälle erkannt, analysiert und der Bearbeitung sowie Behebung zugeführt, ihr Status überwacht und, falls notwendig, an relevante Stakeholder kommuniziert. Kommt es zu einer Eskalation werden das (IT-)Krisenmanagement sowie BCM und ITSCM involviert.
BCM bildet das Rückgrat für jede Reaktion auf sogenannte Incidents, welche den regulären Geschäftsbetrieb signifikant einschränken oder sogar vollständig unterbrechen. Im Rahmen des BCM werden die spezifischen Risiken für Betriebsunterbrechungen erörtert, die notwenigen Vorbereitungen für alle Ressourcen getroffen und das Gesamtsystem einer steten Verbesserung durch regelmäßige Tests zugeführt. Bei Cyber-Bedrohungen stehen die IT-Ressourcen unter besonderem Fokus. BCM nimmt eine Sonderrolle ein, weil es die fachlichen Einheiten zur Steuerung der Geschäftsprozesse sowie die technischen Einheiten zur Bereitstellung der notwendigen IT-Ressourcen zusammenbringt. Nur wenn ein Unternehmen seine Werttreiber kennt, kann die dafür notwendige Infrastruktur abgesichert und kontrolliert werden. Das ITSCM fokussiert sich hierbei insbesondere auf die IT-Ressourcen und bedient den gleichen Basisbaukasten wie das BCM.
Das (IT-)Krisenmanagement bildet die übergeordnete Klammer und übernimmt die Steuerung von Vorfällen, welche in der normalen IT-Betriebsorganisation nicht mehr bearbeitbar sind – beispielsweise, weil die Auswirkungen signifikant sind und eine akute Gefahr für den Geschäftserfolg des Unternehmens darstellen. Das Ziel des Krisenmanagements ist die Aufrechterhaltung bzw. Priorisierung der beeinträchtigten kritischen Geschäftsprozesse, die Kommunikation mit allen relevanten internen wie externen Beteiligten sowie das Treffen von notwendigen Entscheidungen im Störungs-, Notfall- und Krisenverlauf.
Für das erfolgreiche Meistern eines größeren Cyber-Vorfalls sind demnach mehrere Bereiche relevant – und das System ist nur so gut wie die Summe seiner Teile. Zur Steigerung der Cyber-Resilienz muss das System ganzheitlich betrachtet werden und die einzelnen Komponenten aufeinander abgestimmt sein. Neben den oben genannten drei Säulen ist hierfür zudem eine enge Verzahnung mit anderen Risikodisziplinen essenziell – beispielsweise der Informationssicherheit und dem Third Party Risk Management.
Bevor man sich dieser Frage widmen kann, muss der eigene Status Quo der relevanten Fähigkeiten überprüft werden. Dies erfolgt zum Beispiel im Rahmen eines Cyber-Resilienz-Reifegrad-Assessments.
In diesem ersten Schritt findet eine Bestandsaufnahme der eigenen Fähigkeiten in den jeweiligen Bereichen, die zur Cyber-Resilienz beitragen, statt. Im Fokus steht die Frage: Welche Möglichkeiten habe ich auf relevante Bedrohungen der Cybersicherheit zu reagieren, um die Auswirkungen auf das Unternehmen gering zu halten? Der Beantwortung liegen weitere Fragen zugrunde:
Sind alle relevanten Bedrohungsszenarien identifiziert?
Sind die kritischen Geschäftsprozesse bekannt?
Ist definiert worden, wie lange ein möglicher Ausfall oder eine mögliche Beeinträchtigung dauern darf?
Existieren Notfallpläne, Reaktionspläne oder Wiederherstellungspläne für alle Szenarien und kritischen Geschäftsprozesse (und zugehörige IT-Ressourcen)?
Sind die Verantwortlichkeiten geregelt, um die Behebung einer entsprechenden Störung von Erkennen über Analyse bis hin zu Beseitigung und Wiederherstellung sicherzustellen?
Werden derartige Bedrohungsszenarien in den beteiligten Einheiten regelmäßig eingeübt?
Nur durch Berücksichtigung all dieser Elemente kann eine ausreichende Cyber-Resilienz erreicht werden.
Wenn einmal Transparenz über die eigenen Fähigkeiten hergestellt ist, kann die inhaltliche Planung der notwendigen Cyber-Resilienz-Maßnahmen begonnen werden:
Design, Verprobung und Implementierung eines reproduzierbaren Methodenbaukastens (Framework)
Definition von relevanten Cyber-Szenarien und Priorisierung dieser
Erhebung der kritischen Geschäftsprozesse sowie deren (IT-)Ressourcenbedarfe
Erstellung von allen notwendigen Plänen und Prozeduren in Reihenfolge der Szenariopriorität (bspw. Business Continuity und Disaster Recovery Pläne)
Einrichtung einer IT-Notfall- und Krisenorganisation
Einbettung, Einübung und Verbesserung der Pläne in der allgemeinen und übergeordneten Notfall- und Krisenorganisation
Die eigene Cyber-Resilienz zu berücksichtigen, bedeutet, zu akzeptieren, dass es nur eine Frage der Zeit ist, bis man selbst von einem Cyber-Angriff betroffen sein wird. Glücklicherweise ist der Auf- und Ausbau der eigenen Cyber-Resilienz keinesfalls ein unerreichbares Ziel, wenn auch eines, das kontinuierliche Aufmerksamkeit sowie enge Zusammenarbeit von unterschiedlichen Bereichen und Disziplinen erfordert. Insbesondere das Identifizieren und stetige Durchspielen potenzieller Szenarien mit einer definierten reaktiven Notfall- und Krisenbewältigungsorganisation steigert die Fähigkeiten und das Wissen, um auf unerwartete Ereignisse erfolgreich reagieren zu können.
Der Bedarf zum Auf- und Ausbau der eigenen Cyber-Resilienz war nie wichtiger – schließlich steht nicht weniger auf dem Spiel als der Verlust der Geschäftsfähigkeit.
Holen Sie sich neue Impulse für Ihren Alltag! Wir geben in diesem Seminarprogramm zum Thema Führung & Management praktische Tipps und passende Seminarempfehlungen, mit denen Sie Ihre größten Herausforderungen im Daily Business erfolgreich meistern.
Kommentare
Keine Kommentare