Getty Images
Das Prinzip Cyber Resilience: Schutz vor Betriebsausfällen
Cyberkriminelle agieren immer aggressiver. Gelingt ihnen trotz Security-Maßnahmen ein erfolgreicher Angriff, brauchen Unternehmen Prozesse, um schnell und effektiv gegenzusteuern.
Im Jahr 2018 waren 61 Prozent der deutschen Unternehmen von mindestens einem Cyberangriff betroffen. Das ergab eine Studie des Spezialversicherers Hiscox.
Das sind 13 Prozent mehr als im Vorjahreszeitraum. Unternehmen sollten in Sachen IT-Sicherheit also nachrüsten. Aber auch mit dem besten Security-Konzept wird es nie gelingen, alle Cyberangriffe abzuwehren. Vielmehr geht es darum, Risiken zu managen und einen Zustand der Resilienz, der nachhaltigen Widerstandsfähigkeit, zu erreichen.
Das Konzept Sustainable Cyber Resilience geht daher noch einen Schritt weiter als Cyber Security und ist ein übergreifendes, eher strategisch ausgerichtetes Konzept. Es umfasst nicht nur Maßnahmen, um Angriffe zu vermeiden.
Resilienz bedeutet auch, trotz einer Cyberattacke betriebsfähig zu bleiben. Um einen solchen Zustand zu erreichen, müssen Unternehmen ihre Schwachstellen analysieren und Risiken bewerten. Dazu gehört etwa Mitarbeitersensibilisierung und der Einsatz von technischen Tools wie ein professionelles Vulnerability Management. Darüber hinaus gilt es aber auch, Prozesse zu prüfen und Regelungen zu definieren, die im Ernstfall greifen.
Geschäftskontinuität von Prozessseite aus denken
Resilienz hat das Ziel, den operativen Zustand nach einem erfolgreichen Cyberangriff schnell wiederherzustellen oder ihn im besten Fall gar nicht erst zu verlassen.
Traditionell versucht man in der IT Geschäftskontinuität durch technische Redundanz zu sichern. Wichtige Systeme müssen demnach doppelt vorhanden sein, sodass Ersatz bereitsteht, wenn einmal eines ausfällt. Man unterscheidet dabei Cold Standby, Warm Standby und Hot Standby.
In letzterem Fall ist das Gerät voll durchkonfiguriert, läuft parallel und kann nahtlos übernehmen. Solche Redundanzen können jedoch sehr kostspielig sein. Für kleinere und mittelständische Betriebe sind sie oft nicht umsetzbar.
In einem Resilienzkonzept gehen Unternehmen das Ziel der Geschäftskontinuität (Business Continuity, BC) dagegen nicht nur technisch, sondern grundlegend von der Prozessseite aus an. Mitarbeiter sollten in der Lage sein, weiterzuarbeiten, egal, was passiert.
Um dies zu erreichen, müssen Unternehmen im Vorfeld zunächst ihre Geschäftsprozesse analysieren und ermitteln, welche Assets mit welchen Prozessen verknüpft sind. Wo können welche Fehler passieren und welche Konsequenzen entstehen daraus? An welcher Stelle können Mitarbeiter vielleicht einen Teilprozess auch ohne die gewohnten Technologien abwickeln und wie lange darf dieser Überbrückungszustand dauern?
Hier müssen Unternehmen Risiken ermitteln und abwägen, was für sie vertretbar ist und was nicht. In der Verwaltung können Mitarbeiter vielleicht auch einmal ein paar Tage auf Papier arbeiten. Fällt dagegen eine wichtige Produktionsmaschine aus, muss diese so schnell wie möglich wieder betriebsbereit sein. Aus dieser Prozess- und Risikoanalyse ergibt sich wiederum, welche technischen Systeme unbedingt redundant vorgehalten werden müssen.
Zur unmittelbaren Incident-Behandlung kommen rechtliche Vorgaben, die zu erfüllen sind. So müssen Unternehmen Datenschutzverletzungen gemäß der Datenschutz-Grundverordnung (DSGVO) zum Beispiel innerhalb von 72 Stunden bei der zuständigen Aufsichtsbehörde melden. Eventuell müssen auch Geschäftspartner, Lieferanten oder Kunden verständigt werden. Dabei spielen noch weitere Prozesse mit herein: Wer kümmert sich etwa im Marketing und in der PR um die Krisenkommunikation? Wie lässt sich Reputationsverlust begrenzen? All das sollten Unternehmen bereits im Vorfeld durchdenken, um im Ernstfall schnell und richtig handeln zu können.
Cyberresilienz muss Chefsache sein
Ein Resilienzkonzept erfordert also viele Entscheidungen, die nur das Management treffen kann. Denn die Geschäftsführung muss festlegen, wo und bis zu welchem Grad das Unternehmen Risiken in Kauf nehmen will und entscheidet über Prozessverantwortlichkeiten.
Das erfordert ein grundlegendes Verständnis dafür, wie IT und Geschäftsprozesse miteinander verknüpft sind. Nur so lassen sich Konflikte zwischen widersprüchlichen Interessen oder Regularien lösen. Im Bereich des Internet of Things (IoT) gibt es solche Konflikte zum Beispiel häufig zwischen Safety und Security.
„Um Betriebsausfälle im Ernstfall zu verhindern, sollten Unternehmen analysieren, wo Fehler entstehen können, Risiken abwägen und vorausschauende Prozesse definieren.“
Dirk Schrader, Greenbone
Safety beschreibt die Betriebssicherheit und schützt den Menschen vor der Maschine. Security schützt die Maschine dagegen vor dem Menschen, also vor Cyberangriffen.
So schreibt die Norm IEC62443-2-3 (IT-Sicherheit für Netze und Systeme) beispielsweise vor, dass Systeme gepatcht werden sollten, um sie vor Angriffen auf eine bestimmte Schwachstelle zu schützen. Eine solche Veränderung kann sich aber auf notwendige ISO-Zertifizierungen der Betriebssicherheit ISO13849-2 (Validierung der Sicherheit von Steuerungen) auswirken.
Was ist wichtiger? Fragt man den IT-Leiter, gewinnt die Security. Für den Produktionsleiter wiegt dagegen die Betriebssicherheit schwerer. Das Management hat die Aufgabe, die Kommunikation zwischen den Abteilungen zu fördern, so dass solche Konflikte schon im Vorfeld erkannt und Lösungen geplant werden können. Eine Möglichkeit wäre zum Beispiel, zeitlich begrenzte alternative Sicherheitsmaßnahmen zu implementieren, die bis zur endgültigen Freigabe des Patches zum Tragen kommen.
Widersprüchliche Interessen von IT und Informationssicherheit
Ähnliche Konflikte treten zwischen IT und Informationssicherheit auf. Die IT-Abteilung ist dafür verantwortlich, dass Hard- und Software funktionieren und der Betrieb aufrechterhalten wird. Die Security-Abteilung hat die Aufgabe, Daten und Assets vor Cyberangriffen zu schützen.
Dafür kann es zum Beispiel nötig sein, einen Webserver zu patchen, um eine Schwachstelle zu schließen. Das aber würde erfordern, den Webserver zeitweilig aus dem operativen Betrieb zu nehmen. Welches Risiko kann das Unternehmen eher in Kauf nehmen? Dass der Webserver einmal offline ist oder dass Kundendaten gestohlen werden? Auch hier ist eine Management-Entscheidung gefragt. Möchte man keines der beiden Risiken in Kauf nehmen, wird sich das Unternehmen vielleicht schon im Vorfeld dafür entscheiden, den Webserver redundant auf einem Backup-System zu betreiben.
Fazit: IT-Sicherheit umfassend denken
Der erste Schritt auf dem Weg zu Resilienz ist, zu akzeptieren, dass Fehler passieren. Menschen machen Fehler und auch bei Systemen treten immer wieder Schwachstellen auf. Um Betriebsausfälle im Ernstfall zu verhindern, sollten Unternehmen analysieren, wo Fehler entstehen können, Risiken abwägen und vorausschauende Prozesse definieren.
Diese Verantwortung liegt beim Management und nicht bei der IT-Abteilung. Nur wenn Unternehmen das Thema auf oberster Ebene ansiedeln und abteilungsübergreifend angehen, können sie sich wirklich widerstandsfähig gegen Cyberangriffe machen.
Über den Autor:
Dirk Schrader ist Cyber Resilience Strategist und CMO bei Greenbone.
Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.