Unternehmen investieren jährlich enorme Summen in die Cybersicherheit, um Risiken zu managen und Verluste zu minimieren. Oftmals drehen sich die Diskussionen dabei um Technologien, heruntergebrochen auf das Wesentliche gibt es jedoch nur zwei Ergebnisse, die schlussendlich von Bedeutung sind: die Betriebsausfallzeit und der finanzielle Gesamtverlust als Folge des Sicherheitsvorfalls.
Diese beiden Ergebnisse hängen zwar miteinander zusammen, werden jedoch unterschiedlich gemessen. Ähnlich wie bei einer Krankheit kann die Infektion nur von kurzer Dauer sein und anhand des Schweregrads gemessen werden, doch die Genesung und Rückkehr zum Normalzustand dauern oft viel länger und kosten das Unternehmen deutlich mehr. Ransomware ist nach wie vor eine der Hauptursachen für langfristige Störungen, und die harte Realität ist, dass sich viele Unternehmen nie vollständig erholen. Um Bedrohungen zu stoppen, bevor sie auftreten, bleibt Prävention zwar nach wie vor unerlässlich, doch Unternehmen müssen über die reine Prävention hinausgehen und in Wiederherstellung und Geschäftskontinuität investieren, um die Auswirkungen von Ausfallzeiten zu minimieren.
Vom Ausfall zur schnellen Wiederherstellung
Die Fähigkeit zur schnellen Wiederherstellung hat enormen Einfluss auf die allgemeine Resilienz eines Unternehmens. In der Regel setzen Unternehmen auf viele der gleichen Erkennungs- und Präventionswerkzeuge; der Unterschied besteht in ihrer Resilienz und damit in ihrer Fähigkeit, kostspielige Ausfallzeiten so weit wie möglich zu reduzieren. Eine aktuelle Umfrage von Absolute Security unter 750 CISOs im Vereinigten Königreich und den USA zur Cyberresilienz zeigte, dass über die Hälfte (55 Prozent) in ihrem Unternehmen in den letzten 12 Monaten einen Cyberangriff, eine Ransomware-Infektion, eine Kompromittierung oder eine Datenverletzung erlebt hat, die mobile, Remote- oder hybride Endgeräte unbrauchbar machte. 57 Prozent gaben an, dass ihre Unternehmen durchschnittlich mehr als 4,5 Tage für die vollständige Behebung und Wiederherstellung benötigten. Bei 19 Prozent zogen sich die Wiederherstellungsmaßnahmen sogar bis zu zwei Wochen hin.
Ähnlich wie beim Erhalt der persönlichen Gesundheit, bei der Prävention und Zugang zu Behandlungen zu unterschiedlichen Zeitpunkten wichtig sind, erfordert Cybersicherheit deshalb einen ausgewogenen Fokus auf proaktiven Schutz und starke Wiederherstellungsfähigkeiten. Bei der Überlegung, wie die Resilienz im ganzen Unternehmen am besten gefördert werden kann, ist es entscheidend, dass Unternehmen den gesamten Lebenszyklus eines Sicherheitsvorfalls betrachten, um zu verstehen, an welchen Stellen sie am anfälligsten sind und wie sie Ausfallzeiten minimieren können.
NIST-CSF 2.0 als Resilienz-Framework
Das NIST-CSF-2.0-Framework kann als sinnvolle Checkliste dienen, mit deren Hilfe Sicherheitsteams der Unternehmensleitung vermitteln können, wo das Unternehmen operativ am anfälligsten ist und wie sich dies auf die allgemeine Resilienz auswirkt. NIST definiert folgende Kernkomponenten, um Cybersicherheitsrisiken in Unternehmen zu managen:
• Govern: Festlegung und Überwachung von Strategien, Richtlinien, Rollen und Verantwortlichkeiten einer Organisation im Bereich Cybersicherheitsrisikomanagement.
• Identify: Identifizierung der Vermögenswerte des Unternehmens (z. B. Daten, Hardware, Software, Systeme, Dienste, Mitarbeiter) sowie Lieferanten und die damit verbundenen Cybersicherheitsrisiken und Optimierungsmöglichkeiten für Richtlinien und Prozesse, die das Cybersicherheitsrisikomanagement unterstützen.
• Protect: Sobald Vermögenswerte und Risiken identifiziert und priorisiert sind, werden Sicherheitsvorkehrungen entwickelt und implementiert, um diese Assets zu schützen und die Wahrscheinlichkeit und Auswirkungen von Cybersicherheitsvorfällen zu verhindern oder zu verringern. Zu den Maßnahmen gehören Identitätsmanagement, Authentifizierung und Zugriffskontrolle, Sensibilisierung und Schulung, Datensicherheit, Plattformsicherheit (Sicherung der Hardware, Software und Dienste physischer und virtueller Plattformen) sowie die Resilienz der technologischen Infrastruktur.
• Detect: Entwicklung und Umsetzung von Maßnahmen zur zeitnahen Erkennung von Cybersicherheitsvorfällen.
• Respond: Ergreifen von Maßnahmen bei einem erkannten Cybersicherheitsvorfall, einschließlich Analyse, Schadensbegrenzung, Berichterstattung und Kommunikation.
• Recover: Wiederherstellung der von einem Cybersicherheitsvorfall betroffenen Assets und Betriebsabläufe, um die Auswirkungen von Cybersicherheitsvorfällen zu verringern und eine angemessene Kommunikation während der Wiederherstellungsmaßnahmen zu ermöglichen.
Dabei sollten Verantwortliche die genannten NIST-Komponenten als Resilienz-Framework betrachten: Erkennung, Reaktion und Wiederherstellung fungieren als Beschleunigungsmotor und verkürzen mit größerer Wahrscheinlichkeit die Ausfallzeiten. Je schneller Sicherheitsteams ein Problem erkennen und je früher sie es beheben können, desto besser können Unternehmen Ausfallzeiten minimieren. Eine rasche Bedrohungserkennung und -eindämmung verkürzen die Ausfallzeit des betroffenen Geräts, während starke Wiederherstellungsfunktionen wie selbstheilende Systeme, zuverlässige Backups und getestete Wiederherstellungsprozesse darüber entscheiden, wie schnell ein Unternehmen den Betrieb wieder aufnehmen kann. Die Schutzmaßnahmen und die damit verbundenen Faktoren in den Bereichen Governance und Identifizierung bestimmen, wie groß und kostspielig ein Sicherheitsvorfall wird.
In Bezug auf den finanziellen Gesamtverlust sorgen Schutzmaßnahmen, Erkennung und Wiederherstellung durchweg für die größten messbaren Kosteneinsparungen, wobei die Reaktion eine wichtige unterstützende Rolle spielt. Governance und Identifizierung wirken hingegen als Multiplikatoren, indem sie Reibungsverluste im Unternehmen beseitigen, sodass technische Kontrollen wie vorgesehen funktionieren können.
Einfach ausgedrückt sollten Unternehmen, die Ausfallzeiten verkürzen möchten, den Schwerpunkten Erkennung, Reaktion und Wiederherstellung Vorrang einräumen. Unternehmen, die den finanziellen Gesamtverlust minimieren möchten, sollten ihre Investitionen auf Schutz (z. B. Verschlüsselung, IAM, DevSecOps-Schulungen), Erkennung (z. B. Analysen und KI-gestützte Überwachung) und Wiederherstellung konzentrieren, wobei Governance und Identifizierung dazu dienen, organisatorische Reibungsverluste zu beseitigen, damit die technischen Kontrollen tatsächlich greifen.
Resilienz des Unternehmens bewerten und Risiken mindern
Unternehmensleitungen suchen zunehmend nach Orientierung bei Managementteams, wo im Unternehmen Risiken liegen und welche Investitionen erforderlich sind, um diese zu mindern. In vielen Fällen beschränken sich diese Diskussionen auf Compliance-Kennzahlen und Schwachstellenberichte, wobei der Schwerpunkt zu sehr auf der Prävention liegt. Ein aussagekräftigeres Hilfsmittel ist ein Resilienz-Framework als Checkliste, das die relative Stärke jeder der oben genannten Komponenten zum Management der Cybersicherheit im Unternehmen vermittelt. Dies verschafft der Unternehmensleitung und den Führungskräften ein klares Bild von der Gesundheit der Organisation und ihrer Fähigkeit, einen Sicherheitsvorfall zu überstehen.
Info: Die vollständige Umfrage sowie die neue Ressourcen zum Thema Cyber-Resilienz für CISOs sind zugänglich unter: The Resilient CISO Inner Circle.
Von Thomas Lo Coco, Regional Sales Director Central Europe, Absolute Security
