Cyber Resilienz auf dem Prüfstand

Die Zunahme erfolgreicher Angriffe zeigt: Cyber Resilienz braucht Management-Aufmerksamkeit.

Allein in Deutschland haben 53 Prozent der Unternehmen in den letzten sechs Monaten einen ­Cyber-Sicherheitsvorfall erlebt und in diesem Jahr rechnen sogar 63 Prozent der Entscheider mit einem solchen Angriff. Weitere Ergebnisse der Zscaler-Studie „Unlock the Resilience Factor: Why Resilient by Design is the Next Cyber Security Imperative“ untermauern die Forderung nach stärkerer Cyber Resilienz, die von der Firmenspitze gefördert werden muss.

Es herrscht Einigkeit darüber, dass Cyber Angriffe heute nur eine Frage der Zeit sind und nicht ob ein Unternehmen davon betroffen sein wird. Deshalb ist die Reaktionsfähigkeit auf einen Vorfall und das Eindämmen der Auswirkungen wichtiger denn je, um den Geschäftsbetrieb am Laufen zu halten. Die Mehrheit der befragten IT-Entscheider verstehen demnach die wachsende Bedeutung eines robusten Cyber Resilienz-Ansatzes, der genau diese Handlungsfähigkeit fördert, aber nur ein Drittel glaubt, dass dies eine der obersten Prioritäten ihres Managements ist. Diese mangelnde Priorisierung spiegelt sich in der Höhe des Budgets wider, das für Cyber Resilienz bereitgestellt wird. Etwa die Hälfte der Befragten gaben an, dass die Höhe der Investitionen in Sicherheitsresilienz dem steigenden Bedarf nicht gerecht wird.

Cyber Resilienz ist Management-Aufgabe
Ein weiterer Indikator für den unzu­reichenden Fokus ist auch an der fehlenden Einbeziehung der Führungsebene in Cyber Resilienz-Strategien festzumachen. In den meisten Unternehmen liegt die Verantwortung für die Planung bei den IT-Leitern und ihren Teams. Der CISO als eigentlicher Sicherheitsverantwortlicher ist bei weniger als der Hälfte der Unternehmen aktiv an der Resilienz-Strategie beteiligt. Ein weiteres Indiz für die isolierte Betrachtung der Cyber Resilienz ist die Tatsache, dass nur 30 Prozent angeben, dass ihre Cyber Sicherheit in die allgemeine Resilienz-Strategie ihrer Organisation eingebunden ist. Demnach ist der Führungsspitze nicht bewusst, dass diese Widerstandsfähigkeit entscheidenden Anteil an der Geschäfts­kontinuität hat.

Die Zscaler Zero Trust Exchange sorgt für ein starkes Fundament, das die Angriffsfläche auf Unternehmen eliminiert, durch Risikomanagement zur Erkennung von Schwach­stellen beiträgt, die laterale Ausbreitung von Angreifern in Unternehmens­umgebungen verhindert und durch Deception Angreifer in die Irre leitet und damit Datenverlusten vorbeugt.

Sascha Puljic
Sr. Regional Vice President Central Europe bei Zscaler

Ein Verharren auf dem Status Quo der Angriffsmethoden auf Seiten der Cyberkriminellen gibt es nicht. Das bedeutet für Unternehmen, dass sie ihr Risiko ununterbrochen mit modernen Tools erfassen müssen, um ihre Resilienz fortlaufend am Risiko ausrichten zu können. Die Einsicht, dass eine optimale Sicherheitslage kein statischer Zustand sein darf, muss sich in der Führungsebene erst noch durchsetzen. Besteht kein oder nur mangelhafter Einblick in die Risiken der aktuellen IT-Infrastruktur, wägen sich die IT-Entscheider in der trügerischen Sicherheit, für den Ernstfall gut gerüstet zu sein.

Diejenigen Organisationen, die das Versagen der präventiven Sicherheit einplanen und Maßnahmen für die Erkennung ergreifen, werden einen Geschäftsvorteil haben. Das oberste Ziel der Geschäftsleitung sollte also sein, die Folgen öffentlichkeitswirksamer Sicherheitsverletzungen und materielle Schäden abzufedern. Cyber Risiken sind letztlich Geschäftsrisiken und sollten entsprechend bewertet werden. Vertraulichkeit, Integrität und Verfügbarkeit der Systeme sind für die Geschäftsentwicklung unabdingbar. Alle drei Faktoren sind Eigenschaften der Cyber Resilienz-Planung, die oberste Priorität erhalten sollte. Doch mehr als zwei Fünftel der Cyber Sicherheitsstrategien und -budgets sind nach wie vor auf das Verhindern von Angriffen ausgerichtet – zu Lasten von Investitionen in Tools, die der ­Reaktionsfähigkeit auf einen erfolgten Angriff dienen.

Was steht mehr Cyber Resilienz im Weg?
Die drei größten Hindernisse für mehr Cyber Resilienz sind Komplexität der IT-Sicherheitsinfrastruktur, Legacy-Infrastrukturen und der Mangel an Ressourcen, die es zu beheben gilt. Diese Hindernisse sind allerdings Symptome, die auf eine unzureichende Transformation des Geschäftsbetriebs hindeuten. Zwar mögen Anwendungen und Prozesse bereits in die Cloud verlagert sein, die zugrundeliegende IT-Architektur, Netzwerk- und Sicherheitsmodelle wurden aber noch nicht angepasst.

Unternehmen müssen dieses Verharren in herkömmlichen Architekturen und Ansätzen hinter sich lassen und die Cyber Resilienz als einen kontinuierlichen Erneuerungsprozess betrachten. Das erfordert Investitionen in neue, intelligente Cyber Sicherheitsansätze, die „Resilient by Design“ sind. Ein solches Konzept einer proaktiven Resilienz-Strategie kann durch eine Cloud-basierte Sicherheitsplattform auf Basis von Zero Trust umgesetzt werden. Gleichzeitig wird dadurch für Komplexitäts- und Kostenreduktion gesorgt und ein Security-as-a-Service-Modell bietet den Ausweg aus der Personalknappheit. Die Zscaler Zero Trust Exchange sorgt für ein starkes Fundament, das die Angriffsfläche auf Unternehmen eliminiert, durch Risikomanagement zur Erkennung von Schwachstellen beiträgt, die laterale Ausbreitung von Angreifern in Unternehmensumgebungen verhindert und durch Deception Angreifer in die Irre leitet und damit Datenverlusten vorbeugt.

Fotos: Zscaler, Gorodenkoff/Shutterstock.com

Advertorial

Up to Date

Mit dem FORBES-NEWSLETTER bekommen sie regelmässig die spannendsten Artikel sowie Eventankündigungen direkt in Ihr E-mail-Postfach geliefert.