Operative Resilienz schützt vor Kollateralschäden

Greg Day ist bei Cybereason als Global Field CISO tätig. In seinem Gastbeitrag erklärt er, wie CSOs ihr Unternehmen vor Kollateralschäden bewahren können in einem zunehmend volatilen Sicherheitsumfeld.

Unter Führungskräften in der Wirtschaft sollte der Begriff der operativen Resilienz nicht neu sein – für viele Sicherheitsverantwortliche ist er es jedoch. Es war Dwight D. Eisenhower, der sagte: „Bei der Vorbereitung auf eine Schlacht habe ich immer festgestellt, dass Pläne nutzlos sind, aber Planung unverzichtbar ist…“ Anders ausgedrückt: Wenn man die Pläne des Gegners nicht kennt, ist es schwer exakt zu kalkulieren. Aber man kann sich auf verschiedene Szenarien vorbereiten.

Das ist die Herausforderung, vor der Organisationen heute sowohl im öffentlichen als auch im privaten Sektor stehen: Sie sehen sich mit der Möglichkeit konfrontiert, Kollateralschaden eines Krieges in der digitalen Welt zu werden. Denn 2016 stellte die NATO fest, dass Cyberangriffe nach dem Krieg an Land, in der Luft, zur See und im All einen neuen Bereich militärischer Auseinandersetzungen darstellen.

Und natürlich planen auch die Sicherheitsverantwortlichen: Sie betrachten die IT Landschaft, die sie absichern müssen, und untersuchen dann die potenziellen Bedrohungen, die sich gegen diese Systeme richten könnten, wie menschliches Versagen, Ransomware, digitale Spionage, und so weiter. Für jede dieser Bedrohungen werden die Wahrscheinlichkeit und die potenziellen Auswirkungen geprüft. Auf dieser Grundlage wird dann entschieden, ob über die grundlegende Cyber-Hygiene hinaus spezifische zusätzliche Investitionen getätigt werden sollten, um die bekannten Bedrohungen zu erkennen, auf sie zu reagieren und sie abzuwehren.

In den letzten Jahren haben sich jedoch zwei wichtige Entwicklungen vollzogen: Erstens ist die Toleranz der Unternehmen gegenüber IT-Ausfällen gesunken, da die Zeit, in der kritische Prozesse unterbrochen werden können, angesichts der zunehmenden Abhängigkeit von digitalen Abläufen deutlich geringer geworden ist.

Zweitens nehmen die Abhängigkeiten auch zwischen den Prozessen stetig zu. SolarWinds war ein gutes Beispiel für den hohen Grad an integrierten Funktionen. Dadurch wurde in diesem Fall die Software für die Versorgungskette aufgrund der Komplexität aller integrierten digitalen Prozesse vernachlässigt.

Kommen wir noch einmal auf Eisenhower und den Begriff der operative Resilienz zurück, der besagt, dass wir alles in unserer Macht Stehende tun sollten, um die bekannten Risiken zu bewältigen: Was machen wir dann mit den unbekannten Risiken?

Beispielsweise könnte Ihre Online-Präsenz als Teil einer staatlichen Hacker Kampagne ausgenutzt werden, oder Ihr Unternehmen gerät ins Visier eines Angriffs, weil Sie zufällig die gleiche Software wie das beabsichtigte Ziel verwenden – es gibt unendlich viele Szenarien, die wir einfach nicht planen oder vorhersagen können. Die operative Resilienz bietet hier einen neuen Blickwinkel auf die Wiederherstellung der Business Continuity, nachdem Strategien zur Vorbeugung, Erkennung und Reaktion eingerichtet worden sind:

Was würde ein Unternehmen beispielsweise tun, wenn es ins Kreuzfeuer eines gezielten Angriffs gerät und wichtige digitale Prozesse offline genommen werden? Zunächst sollte man sich bewusst machen, welches die kritischen digitalen Abläufe des Unternehmens sind, und welche Abhängigkeiten zwischen diesen Prozessen bestehen. Gibt es für den Fall, dass diese Prozesse offline genommen werden, ein vollständig isoliertes Backup, das einspringen kann? Wenn nicht, wie lange würde die Wiederherstellung dauern, und wäre das für das Unternehmen akzeptabel?

Ein trauriges Beispiel hierfür sind Ransomware-Angriffe auf Einrichtungen des Gesundheitswesens, bei denen die Patientenversorgung nachweislich beeinträchtigt wurde, weil der Zugriff auf die Daten durch einen Angriff blockiert war und sich somit chirurgische Eingriffe oder andere Behandlungen verzögerten.

Es stellt sich die Frage, wie der Sicherungsprozess ablief. Wird auf analoge Unterlagen zurückgegriffen? Gibt es ein zweites IT-System, das online gehen kann? Wie stellen wir sicher, dass eine nahtlose Datenübergabe zwischen den beiden Systemen möglich ist, ohne dass das eine das andere gefährdet?

Im Grunde handelt es sich hierbei um Disaster-Recovery- und Business-Continuity-Planung, mit der sich viele Sicherheitsverantwortliche nur schwer befassen können, da ihre Aufgabe darin besteht, Cyberangriffe zu verhindern. Was sollten Sie also von Ihren Sicherheitsverantwortlichen verlangen?

  • Eine klare Vereinbarung mit dem Unternehmen darüber treffen, welches die geschäftskritischen digitalen Prozesse sind, welche wichtigen Abhängigkeiten dahinterstehen und wie lange das Unternehmen arbeiten könnte, wenn diese offline gehen sollten.
  • Wie sieht der Disaster-Recovery-Plan aus, sowohl im Hinblick auf die Aufrechterhaltung des Geschäftsbetriebs als auch auf die Wiederherstellung nach einem erheblichen Ausfall?
  • TESTEN, TESTEN, TESTEN, wobei das Unternehmen die unterschiedlichsten Szenarien in regelmäßigen Abständen durchspielt. Dies hilft dem Unternehmen, die Risiken zu verstehen und bereitet es auf die schwierigen Entscheidungen vor, die es möglicherweise im Ernstfall treffen muss.
  • Bereiten Sie sich im Voraus vor, denn nicht jedes Unternehmen verfügt über die bei einem Cybervorfall erforderlichen Fachkenntnisse. Haben Sie also Ihren Incident-Response-Partner im Voraus ausgewählt? Haben Sie Vorverträge abgeschlossen? Leider habe ich erlebt, dass juristische Verhandlungen, die vor dem Vorfall hätten abgeschlossen werden können und sollen, die Reaktionsprozesse in kritischen Momenten dramatisch verlangsamt haben.
  • Berücksichtigen Sie, dass unsere digitale Welt immer stärker miteinander vernetzt ist. Das bedeutet erstens, dass es sich nicht um ein einmaliges Projekt handelt, sondern um einen fortlaufenden Prozess. Zweitens bedeutet dies auch, dass andere Personen in den Vorfall involviert sein werden und dass Sie überlegen müssen, wie Sie mit ihnen während des Reaktionsprozesses kommunizieren.

Die gute Nachricht ist, dass es Organisationen gibt, die Ihnen helfen können, seien es nationale Behörden, CERTs, Branchengruppen oder ähnliche Einrichtungen. Stellen Sie sicher, dass Sie diese kennen und bereit sind, sie im Bedarfsfall zu kontaktieren und mit ihnen zu kooperieren.


Bildquelle / Lizenz:

Photo by George Pagan III on Unsplash


Creative Commons Lizenz CC BY-ND 4.0

Sie dürfen:

Teilen — das Material in jedwedem Format oder Medium vervielfältigen und weiterverbreiten und zwar für beliebige Zwecke, sogar kommerziell.

Der Lizenzgeber kann diese Freiheiten nicht widerrufen solange Sie sich an die Lizenzbedingungen halten.


Unter folgenden Bedingungen:

Namensnennung — Sie müssen angemessene Urheber- und Rechteangaben machen, einen Link zur Lizenz beifügen und angeben, ob Änderungen vorgenommen wurden. Diese Angaben dürfen in jeder angemessenen Art und Weise gemacht werden, allerdings nicht so, dass der Eindruck entsteht, der Lizenzgeber unterstütze gerade Sie oder Ihre Nutzung besonders.

Keine Bearbeitungen — Wenn Sie das Material remixen, verändern oder darauf anderweitig direkt aufbauen, dürfen Sie die bearbeitete Fassung des Materials nicht verbreiten.