Resilienz, die präventive Sicherheitsstrategie.
In vielen Lebensbereichen ist vorbeugender Schutz selbstverständlich: vor Krankheiten und Unfällen etwa. Autos stecken voller Sicherheitssysteme und Sensoren, die uns gegen Schäden abschirmen. Auch umsichtige Radfahrer sind vorsichtshalber behelmt unterwegs. Warum also ausgerechnet bei der IT unnötige Risiken eingehen?
Resilienz bezeichnet ein Konzept struktureller Widerstandsfähigkeit. In der Psychologie versteht man darunter die Fähigkeit von Menschen, mit Schwierigkeiten oder Stress umzugehen. Man kann das lernen und trainieren – und sogar daran wachsen, Krisen zu überwinden. In der Soziologie findet das Prinzip auch auf Organisationen, ja auf die Gesellschaft insgesamt Anwendung. Genauso lässt es sich auch auf die IT übertragen.
Cyber Resilience – der vorbeugende Schutz der IT – umfasst damit die Menschen und Organisationen ebenso wie Infrastrukturen und Technologien. „Digitale Souveränität und Integrität der IT-Anwender sind sogar Schlüsselfaktoren, die oft zu wenig Beachtung finden“, so Tobias Dames, Resilienzexperte bei Bechtle. Wenn sich alle an Sicherheitsregeln hielten – vorausgesetzt, dass sie wüssten, wie –, sei dem größten Risiko schon mal vorgebeugt. Deshalb bilden Awareness-Trainings und Verhaltensschulungen zentrale Elemente einer Resilienzstrategie.
Ein wichtiger Aspekt ist auch das Bewusstsein, dass es hundertprozentige Sicherheit nicht gibt, nicht geben kann. Tobias Dames und sein Team konzentrieren sich deshalb auf die Kernprozesse eines Unternehmens oder auch einer Behörde. Was muss immer funktionieren, was nicht unbedingt? Die Fertigung und die Logistik eines Teilezulieferers sind im Zweifel wichtiger als beispielsweise sein Bewerbermanagement.
Voraussetzung für Resilienz ist das Umdenken von reaktiv zu proaktiv – unternehmensweit und mit strategischem Ansatz. Mit Ansage des führenden Managements.
Für den kritischen Kern gilt es, die größte Widerstandsfähigkeit zu entwickeln. Dazu wird gewissermaßen ein Schutzschild aus mehreren Schichten gebildet. Damit gibt es bei Ausfällen verschiedene Rückfalloptionen. Gleichzeitig können im Fallback-Modus fehlerhafte Funktionen oder beschädigte Systeme wiederhergestellt werden. Und Achtung: „Die Strukturen und Regeln hierfür müssen sorgfältig und transparent dokumentiert werden“, betont Tobias Dames. Ein guter Notfallplan gibt enorm viel Sicherheit – nicht nur gefühlt, sondern auch faktisch.
Bechtle hat ein Framework entwickelt, um Cyber Resilience mit System umzusetzen. In einem initialen Assessment Center werden zunächst die für den Betrieb wesentlichen Prozesse identifiziert und die Sicherheitsanforderungen dafür definiert. Das dauert etwa drei bis fünf Tage. Dann stehen die Benchmarks. Dieser Herausforderungen nimmt sich ein Team aus Spezialisten verschiedenster Disziplinen an: Experten für Netzwerktechnik, Datensicherheit, Disaster Recovery, Business Continuity und Servicemanagement sind eben so dabei wie Organisationsberater, Risikomanager, Business Coaches und Antimanipulationstrainer. Sie „impfen“ die Mitarbeiterinnen und Mitarbeiter und immunisieren die IT-Infrastrukturen und -Anwendungen – mit dem besonderen Fokus auf Geschäftskritisches. Unternehmen sichern so im Zweifelsfall ihr wirtschaftliches Überleben. Betreiber sogenannter kritischer Infrastrukturen – wie Energie- und Wasserversorger und Institutionen der inneren und äußeren Sicherheit – nehmen eine umso größere Verantwortung wahr, indem sie so resilient wie nur möglich aufgestellt sind. Gewiss macht Cyber Resilience nicht unverwundbar, aber Systeme und Organisationen generell weit weniger angreifbar – auch im Sinne eines ganzheitlichen Verständnisses von Compliance.
Ansprechpartner.
Bechtle update Redaktion
update@bechtle.com
Zum Thema.
- Blog: Cyber-Resilience – proaktiv widerstandsfähig für die Aufgaben von morgen
- Artikel: IT-Security: vom Pflichtprogramm zum Zukunftsfaktor
Newsletter.
Erhalten Sie die besten Artikel aus dem Bechtle update alle zwei Monate direkt in Ihr Postfach. Hier geht's zur Anmeldung:
