Sean Deuby

Angesichts der explosionsartigen Zunahme der Cyberkriminalität und ihrer Auswirkungen auf den Geschäftsbetrieb aktualisieren viele Unternehmen ihre Notfallpläne, um auf Cybervorfälle reagieren zu können. Viele der Prozesse und Richtlinien in herkömmlichen Notfallplänen haben sich seit Jahren, manchmal sogar seit über einem Jahrzehnt, kaum verändert, so dass sie für die Bewältigung von Cyberkatastrophen schlecht geeignet sind. Noch wichtiger ist, dass die Notfallwiederherstellung auf Unternehmensebene nur ein Aspekt einer umfassenderen Disziplin ist: die operative Widerstandsfähigkeit.

Simon Hodgkinson, ehemaliger Chief Information Security Officer bei bp und strategischer Berater von Semperis, betont, dass Unternehmen die Notfallwiederherstellung im Zusammenhang mit der allgemeinen Lebensfähigkeit des Unternehmens betrachten müssen - einschließlich der Prävention, Erkennung und Reaktion auf Cyberangriffe.

"Disaster Recovery ist ziemlich eng definiert und wird in der Regel in einem kleinen Zeitrahmen betrachtet", sagt er. "Operative Resilienz ist viel breiter gefasst und umfasst Aspekte wie die Art der Unternehmensführung, die Art und Weise, wie Sie das betriebliche Risikomanagement handhaben, Ihre Pläne für die Geschäftskontinuität sowie das Risikomanagement in den Bereichen Cyber, Information und Drittanbieter."

Mit anderen Worten: Notfallpläne befassen sich in erster Linie mit der Wiederherstellung. Operative Resilienz betrachtet das Gesamtbild: Ihr gesamtes Ökosystem und was getan werden kann, damit Ihr Unternehmen auch bei störenden Ereignissen betriebsbereit bleibt.

Eine zerbrochene Kette flicken

Der breitere Fokus der operativen Widerstandsfähigkeit erfordert eine organisationsweite Beteiligung. Sie können dies nicht einfach einer einzelnen Abteilung oder einem Team überlassen. Stattdessen müssen alle einbezogen werden, von der Geschäftsführung und dem Vorstand bis hin zu einzelnen Mitarbeitern in verschiedenen Abteilungen.

"Die Führungsebene muss das Risiko verstehen und die Risikotoleranz und Risikobereitschaft des Unternehmens kennen", sagt Hodgkinson. "Das gilt auch für Dinge wie die Beschaffungsfunktionen und Vereinbarungen mit Drittanbietern. Resilienz muss in alles eingebaut werden Und wenn ein einziger Lieferant nicht ausreicht, um das Risiko zu managen, dann ist eine Vielfalt von Lieferanten ein Muss."

Hodgkinson spricht eine wichtige Tatsache an, die viele zu vergessen scheinen: Im heutigen Klima ist nicht nur Ihr Unternehmen bedroht. Auch Ihre Lieferanten, Partner und Anbieter sind Zielscheiben. Wenn ein wichtiger Lieferant kompromittiert oder ausgeschaltet wird, könnte Ihr Unternehmen mit ihm untergehen.

"Ich habe viele interessante Fälle erlebt, in denen ein Cybervorfall bei einem Lieferanten dazu geführt hat, dass mehrere Unternehmen ihre Geschäftsziele nicht mehr erreichen konnten", erinnert sich Hodgkinson. "Denken Sie zum Beispiel an ein Einzelhandelsunternehmen, das einen Logistikdienstleister nutzt, um Produkte an seine Stationen zu liefern, und bei dem es zu Lieferengpässen kommt. Um solche Szenarien zu vermeiden, ist eine breitere Perspektive erforderlich. Im Zusammenhang mit der operativen Widerstandsfähigkeit muss jedes Risikomanagementszenario und jeder Prozess die Lieferkette berücksichtigen."

Das Wort "Operation" in operationelle Resilienz umsetzen

Das US-Verkehrsministerium hat eine Geldstrafe von 1 Million Dollar gegen Colonial Pipeline wegen "Versagen des Kontrollraum-Managements" bei der Cyberattacke im Jahr 2021, die zu einer Unterbrechung der Gaslieferungen im Osten der USA führte. Die Regierung ist der Ansicht, dass das Unternehmen die betriebliche Widerstandsfähigkeit ignoriert hat: Anstatt zu planen, wie man das Ausmaß eines Vorfalls bewältigen und begrenzen kann, schaltete das Unternehmen einfach seine Prozesskontrollnetzwerke ab, sobald die Malware die Systeme erreichte.

"Das ist ein wirklich interessantes Szenario", sagt Hodgkinson. "Aber ich glaube leider nicht, dass es ein Einzelfall ist. Ich würde sagen, dass viele Unternehmen die Auswirkungen der operativen Technologie bei einem Cybervorfall nicht vollständig verstehen.

"Idealerweise würden Organisationen, die nationale Infrastrukturen oder kritische Lieferungen verwalten, viel mehr über Business Continuity Management und Kontrollen zur Risikominderung nachdenken", sagt er. "Das fängt damit an, dass sie ihr Risikoprofil kennen und entsprechend planen, um es zu verwalten. Unternehmen müssen auch testen, was sie tun können, um ihre Netzwerke abzuschalten und sicherzustellen, dass sie in der Lage sind, die Verbindung zwischen Informationstechnologie und Betriebstechnologie zu unterbrechen, damit Malware nicht alles zum Stillstand bringt."

Überbrückung der Kluft zwischen IT und OT

Die Technologie, mit der Systeme wie Pipelines und Raffinerien betrieben werden, unterscheidet sich deutlich von der Technologie in einer typischen Büroumgebung. Es gibt andere Netzwerkprotokolle, eine andere Herangehensweise an den Sicherheitsstapel und eine größere Sorge um kritische Sicherheitsfragen. Laut Hodgkinson ist eine der größten Reibungspunkte für Industrieunternehmen - und der Grund für das Scheitern der Bemühungen um betriebliche Ausfallsicherheit - die fehlende Verbindung zwischen der Informationstechnologie (IT) und der Betriebstechnologie (OT).

Keine der beiden Abteilungen versteht die Arbeitsabläufe und Herausforderungen der anderen vollständig. Diese Diskrepanz muss sich ändern. Und das beginnt mit einer Änderung der Wahrnehmung.

„Ich denke, ein Teil des Problems besteht darin, dass Cyber immer noch als etwas Besonderes angesehen wird“, sagt Hodgkinson. „Die Diskussion scheint immer mit der Annahme zu enden, dass das Sicherheitsteam oder die IT-Abteilung ein bestimmtes Risiko verwaltet, so dass sich niemand sonst darum kümmern muss. Wir müssen die Cybersicherheit entmystifizieren. Nur mit dem richtigen Verständnis des Unternehmens und der Übernahme von Verantwortung für das Risiko können Sie angemessene Schutzmechanismen einrichten. Was meiner Erfahrung nach bei bp sehr gut funktioniert hat, war, die Technik in die Cybersicherheit und die Cybersicherheit in die Technik zu bringen, wodurch jedes Team Fachwissen und eine Perspektive erhielt, die ihm vorher fehlten.“

Die Wahrheit ist, dass verschiedene Teams unterschiedliche Prioritäten haben. Das technische Team ist sich vielleicht der Bedeutung der Cybersicherheit bewusst, muss aber verfahrenstechnischen Elementen und sicherheitskritischen Angelegenheiten Vorrang einräumen. Durch die Förderung der abteilungsübergreifenden Zusammenarbeit können Unternehmen festlegen, wie sie die Einführung von Kontrollen und Strategien in jeder Umgebung erleichtern können.

"Ich denke, dass es letztlich auf den Kontext ankommt", sagt Hodgkinson. "Was will das Unternehmen erreichen, und welche Ziele will es erreichen? Wie unterstützt es diese Ziele? Welche Technologie setzt es ein? Worauf kommt es bei der Vertraulichkeit, Integrität und Verfügbarkeit an?

Die Bedeutung von Active Directory-Sicherheit und -Wiederherstellung für den Aufbau betrieblicher Widerstandsfähigkeit

Active Directory (und Azure AD in hybriden Identitätsumgebungen) nimmt einen zentralen Platz bei der Suche nach betrieblicher Ausfallsicherheit ein.

"Sie haben einen Mechanismus zur Priorisierung, aber interessanterweise vergessen die Leute oft, dass Active Directory die wichtigste Anwendung [über alle Dimensionen hinweg] ist", sagt Hodgkinson. "Ohne sie können Sie keines Ihrer Geschäftsziele erreichen. Active Directory ist das Herzstück Ihrer Fähigkeit, zu arbeiten und Geschäftsergebnisse zu erzielen, und muss Teil Ihrer Strategie für die betriebliche Ausfallsicherheit sein, anstatt als Insel behandelt zu werden."

Übernehmen Sie eine aktive Rolle bei der operativen Widerstandsfähigkeit

Disaster-Recovery-Pläne, die sich auf Naturkatastrophen konzentrieren, reichen nicht aus, um modernen Bedrohungen für die betriebliche Stabilität zu begegnen. Da das Identitätssystem des Unternehmens für die Aufrechterhaltung des Betriebs entscheidend ist - und ein Hauptziel für Cyberangriffe darstellt - ist sein Schutz von größter Bedeutung. Wenn Unternehmen dem Schutz ihres Identitätssystems Priorität einräumen, können sie eine der größten Bedrohungen für die betriebliche Stabilität abwenden.

Mehr erfahren