Resilient by Design Cyber-Resilienz: Von der Abwehr zu proaktiven Sicherheitsstrategien

Anbieter zum Thema

Zscaler Germany GmbH

Softeq Development GmbH

Unternehmen müssen heute davon ausgehen, dass Sicherheitsvorfälle unvermeidbar sind. Daher benötigen sie eine Resilient by Design-Sicherheitsstrategie, um nach Vorfällen schnellstmöglich wieder operativ zu sein und den Schaden zu minimieren. Auf diese Weise lässt sich die Cyber-Resilienz stärken.

Laut der von Zscaler in Auftrag gegebenen Studie Unlock the Resilience Factor mit einer Befragung von rund 1.700 IT-Führungskräften zum Stand der Cyber-Resilienz in Unternehmen erwarten 60 Prozent der Entscheider innerhalb der nächsten zwölf Monate einen gravierenden Ausfall und 45 Prozent gaben an, in den letzten sechs Monaten einen solchen durchlaufen zu haben. Trotz dieser offensichtlichen Risiken und Vorfälle sind die IT-Entscheider zuversichtlich, dass sie mit ihrer Cyber-Resilienz-Strategie gut aufgestellt sind. 49 Prozent der Befragten glauben, dass ihre IT-Infrastruktur sehr widerstandsfähig ist, und dieser Anteil steigt sogar auf 94 Prozent, die der Meinung sind, dass ihre derzeitigen Maßnahmen zur Cyber-Resilienz zumindest teilweise effektiv sind.

Die Umfrageergebnisse offenbaren allerdings trotz dieser dominierenden Überzeugung hinsichtlich der Resilienz beunruhigende Unstimmigkeiten: Obwohl viele IT-Führungskräfte die Bedrohung durch KI-basierte Cyberangriffe kennen, geben nur 45 Prozent an, dass sie ihre Cyber-Resilienz-Strategie an die modernen Anforderungen angepasst haben. Zwei Fünftel (40 Prozent) der Befragten gaben zu, dass sie ihre Cyber Resilienz-Strategie in den letzten sechs Monaten nicht überprüft haben. Hier zeigt sich eine gefährliche Diskrepanz zwischen wahrgenommener und tatsächlicher Resilienz.

Cyber-Resilienz hat für das Management (noch) keine Priorität

Ein Hauptproblem ist die mangelnde Investitionsbereitschaft auf Führungsebene. Zwar kennen Entscheider die Bedeutung von Cyber-Resilienz. Es waren jedoch nur 39 Prozent der Meinung, dass sie für ihre Führungskräfte oberste Priorität hat. Dies zeigt sich darin, dass fast die Hälfte (49 Prozent) der Meinung ist, dass die Höhe der finanziellen Investitionen dem steigenden Bedarf nicht gerecht wird. Und auch in der Tatsache, dass nur 44 Prozent der IT-Leiter bestätigten, dass ihr CISO aktiv an der Resilienz-Planung beteiligt ist und nur 36 Prozent erklärten, dass ihre Cyber Resilienz-Strategie in der Gesamtstrategie ihres Unternehmens enthalten ist.

Wenn die Führungsebene die Konsequenzen einer schwachen oder veralteten Cyber Resilienz-Strategie nicht erkennt, bleiben IT-Teams in der Defensive. Unternehmen sollten verstärkt in die Identifikation und Behebung von Schwachstellen investieren und eine Resilienz-Strategie entwickeln, die mit der gesamten Unternehmensstrategie verzahnt ist. Isolierte Konzepte sind ineffektiv und können dazu führen, dass kritische Geschäftsbereiche im Ernstfall unzureichend geschützt sind, was die Ausfallzeit erhöht. Denn: ohne Cyber-Resilienz gibt es keine Geschäfts-Resilienz.

Aufbau eines Resilient By Design-Ansatzes

Ein Umdenken muss einsetzen – weg von einem reaktiven „Detect und Response-Ansatz“ hin zu einer proaktiven „Identify und Mitigate-Sicherheitsstrategie“ – und damit zu einer Aufwertung von Cyber-Resilienz führen. Bei einer solchen Strategie bereiten sich Unternehmen vorausblickend auf Ausfallszenarien vor - eben auf den Ernstfall des erfolgten Angriffs - um Schaden eindämmen zu können. Bei einem solchen Resilient by Design-Ansatz auf Basis einer Zero-Trust-Sicherheitsplattform wird nicht nur das Risiko eines Angriffs abgeschwächt und die Angriffsfläche reduziert, sondern auch die laterale Ausbreitung von Angreifern in der IT-Umgebung durch Mikrosegmentierung unterbunden und dem Abfließen von Daten vorgebeugt.

Zur Erkennung von Angriffsvektoren kommt Risiko-Management mit Risk Hunting zum Einsatz und Technologien zur Täuschung (Deception) erkennen Angreifer in der IT-Umgebung. Gerade diese modernen Sicherheitstechniken setzen Unternehmen laut der Umfrage noch viel zu selten ein - gerade einmal ein Drittel (35 Prozent) haben bereits Deception Technologies im Einsatz und mit 42 Prozent setzen weniger als die Hälfte auf Mikrosegmentierung mit Hilfe von Zero Trust. Cyber-Resilienz darf kein isoliertes Konzept sein, sondern muss von Anfang an in die Unternehmensstrategie eingebunden werden. Damit können IT-Teams nicht nur Krisen überstehen, sondern sich auch flexibel an neue Herausforderungen anpassen und mit Zuversicht in die Zukunft blicken.