de | Deutsch
IT-Sicherheit 13.05.2020

3 Fragen an Tobias Dames, Bechtle Cyber-Resilience-Experte.

In vielen Lebensbereichen ist vorbeugender Schutz selbstverständlich, zum Beispiel vor Unfällen oder Krankheiten. Warum also ausgerechnet bei der IT unnötige Risiken eingehen? Cyber Resilience umfasst nicht nur Infrastrukturen und Technologien, sondern auch Menschen und Organisationen. Erhöhen Sie die Widerstandsfähigkeit - proaktiv statt reaktiv.

Artikel teilen

tobias-dames.png
Tobias Dames
Leiter Competence Center Cyber Resilience

1. Vor welchen Herausforderungen stehen Organisationen im Bereich Cyber Resilience?

Tobias Dames: Bei vielen, die das Stichwort Resilienz hören, kommen auch schnell Begriffe wie DIN/ISO 27001, BSI IT-Grundschutz, Service Management oder das Business Continuity Management in den Sinn. Diese Konzepte sind allerdings allesamt eines: reaktiv. Sie definieren überwiegend Prozesse, die den entstandenen Schaden minimieren sollen. Zudem sind sie oft nicht vollständig umgesetzt, da schlicht Zeit und Ressourcen fehlen. Spätestens, wenn man dann auf Begriffe wie Incident- und Notfallmanagement eingeht, tauchen weitreichende Schwachstellen auf. Die Herausforderung liegt hier darin, mit den möglichen Ressourcen die bestmögliche Widerstandsfähigkeit für die Organisation zu finden - und zwar bestenfalls bevor ein Schaden entsteht.

 

 

2. Wie sieht eine resiliente Organisation aus?

Bei einer resilienten bzw. widerstandsfähigen Organisation greifen verschiedene Mechanismen ineinander: Eine Verzahnung von IT-Themen wie Informationssicherheit, Notfallmanagement, Desaster Recovery, Business Continuity, Risikomanagement und Servicemanagement in Verbindung mit strategischer Führung, Unternehmenskultur und weiteren Prozessen sorgen für eine proaktive Widerstandsfähigkeit.

 

 

3. Ist eine resiliente Organisation gegen alle Gefahren gewappnet?

Widerstandsfähig bedeutet nicht, alle Gefahren im Vorfeld auszuschließen, sondern für den Ernstfall und die unternehmensrelevanten Risiken gewappnet zu sein. Daher ist der Fokus auf die Kernprozesse wichtig. Was muss immer funktionieren, was nicht unbedingt? Fertigung und Logistik eines Teilezulieferers sind im Zweifel wichtiger als beispielsweise sein Bewerbermanagement. Kritische Prozesse können nahezu ausfallsicher gestaltet werden. Gewiss macht Cyber Resilience nicht unverwundbar, aber Systeme und Organisationen generell weit weniger angreifbar. Das übergeordnete Ziel ist es, die Organisation auch im Falle eines Vorfalls – wie auch immer er aussehen mag – handlungsfähig zu halten, um für künftige Fälle gewappnet zu sein.