Cyberresilienz als Erfolgsfaktor für die Zukunft
Nicht zuletzt die weltweite Covid19-Pandemie hat Unternehmen gezeigt, dass Resilienz einer der wichtigsten Erfolgsfaktoren für einen erfolgreichen Fortbestand ihrer Geschäftsmodelle ist.
Plötzlich auftretende Ereignisse wie Naturkatastrophen, politische Spannungen oder die zunehmende Anzahl von gezielten Cyberangriffen können eine starke Belastung für Unternehmen aller Größenordnungen in den unterschiedlichsten Branchen darstellen.
Doch was ist eigentlich Resilienz und wie können Unternehmen diese steigern, um sich gegen die eingangs erwähnten Risiken zu wappnen? Und welchen Beitrag kann IT und Cybersecurity dazu leisten? Diesen Fragen möchten wir uns in diesen Blogbeitrag widmen.
Was ist eigentlich Resilienz und welchen Vorteil haben resiliente Unternehmen?
Resilienz (lat. resilire „zurückspringen, abprallen“) bedeutet in erster Linie die Widerstandsfähigkeit eines Systems oder Objektes gegen äußere Einflüsse. Hierzu gehört die Absorptionsfähigkeit, die beschreibt, wie stark der externe Impact auf das System ist.
Darüber hinaus beinhaltet Resilienz die Fähigkeit sich nach einem äußeren Schockereignis zu reorganisieren und den vorherigen Zustand wiederherzustellen. In der Ökologie wird Stabilität als einzigartiger Zustand beschrieben und die Resilienz als Fähigkeit diesen aufrecht zu erhalten.
Das Gegenteil der Resilienz wird als Brüchigkeit definiert: während ein Hammerschlag eine wenig resiliente Glaskugel zum Bersten bringt, würde ein Gummiball diesen abfedern und könnte seinen Zustand durch seine Materialeigenschaften schnell wiederherstellen.
Für Unternehmen und Organisationen, die nur wenig Resilienz aufweisen, können selbst kleinere äußere Ereignisse zu einer schwerwiegenden wirtschaftlichen Krise oder sogar zur Existenzgefährdung führen. Dahingegen sind Unternehmen mit hoher Resilienz in der Lage selbst schwerwiegende Katastrophen nach kurzer Reorganisationsphase zu verkraften oder sogar gestärkt daraus hervorzugehen.
Als unternehmerische Resilienz bezeichnet die ISO22316:2017 „die Fähigkeit eines Unternehmens einem sich wandelnden Umfeld anzupassen und dieses zu absorbieren, um die Unternehmensziele zu erreichen und weiter zu wachsen“.
Resilienz stellt also einen Wettbewerbsvorteil für nachhaltiges Wachstum dar, der durch vier grundlegende Eigenschaften beschrieben wird: Flexibilität, Robustheit, Situation Awareness und Recovery. Flexibilität beschreibt hierbei die Fähigkeit sich ändernden Umweltbedingungen anzupassen, Ressourcen nach Bedarf genau dorthin zu verschieben und umzupriorisieren, wo sie benötigt werden.
Robustheit meint die Widerstandsfähigkeit gegen grundlegende Bedrohungen, die durch eine gute Situation Awareness frühzeitig entdeckt und antizipiert werden können. Die Recovery hat die Aufgabe nach einem auftretenden Schock den vorherigen Zustand schnellstmöglich instand zu setzen.
Resilienz ist dabei aber leider nicht einfach messbar und folgt oftmals keinem klaren Ziel. Es gibt nicht die eine Herangehensweise oder Standardlösung zum Aufbau einer resilienten Organisation.
Vielmehr ist es eine unternehmensweite Einstellung über alle Abteilungen und Bereiche hinweg Widerstand gegen das Unerwartete und Unvorhersehbare zu leisten und sich darauf vorzubereiten.
Was bedeutet das für die IT?
In Zeiten von digitalisierten Prozessen und Informationsflüssen kann IT-Resilienz hierfür einen sehr wichtigen Beitrag leisten. Der Schutz der IT-Systeme und -Infrastrukturen gegen unbekannte und schwer vorhersehbare Risiken, sowie die schnelle Wiederherstellung der Verfügbarkeit von IT-Services nach einer Störung, gehören hierbei zu den Hauptaufgaben einer IT-Abteilung.
Die Unterstützung und Aufrechterhaltung der Kernprozesse eines Unternehmens stehen hierbei im Vordergrund. Diese betrieblichen Abläufe sind im Falle einer Wiederherstellung zu priorisieren, um die Ausfallzeiten so gering wie möglich zu halten.
Eine wesentliche Herausforderung der IT-Resilienz ist dabei die Abwägung zwischen Kosten und Nutzen der erarbeiteten Maßnahmen. Während zu Beginn mit relativ kleinem Aufwand große Resilienzzuwächse erzielt werden können, wachsen die Kosten mit fortschreitenden, spezielleren Maßnahmen schnell an.
Die Balance zwischen der Erhöhung der Resilienz und den hierfür notwendigen personellen, organisatorischen und finanziellen Ressourcen ist daher eines der wichtigsten Themen der IT.
Warum stellt Cyberresilienz ein Wettbewerbsvorteil für Unternehmen dar?
Die in diesem Beitrag behandelten Aspekte gelten ebenso für die Cybersecurity eines Unternehmens. Während die Kernaufgabe der Informationssicherheit die Umsetzung von Richtlinien und technischen Maßnahmen ist, um bekannte Risiken abzumildern oder zu eliminieren, liegt der Fokus der Cybersecurity bei der Abwehr von unbekannten Bedrohungen.
Denn von wem, wann und in welcher Form eine Cyberattacke auf ein Unternehmen gestartet wird, ist in der Regel nicht vorhersagbar. Die Herausforderung der Cybersecurity liegt darin die IT-Resilienz zu steigern, in dem technische Maßnahmen, die Steigerung der Mitarbeiter-Awareness und prozessuale sowie organisatorische Anpassungen präventiv durchgeführt werden, bevor es überhaupt zum Angriff kommt.
Noch weitaus schwieriger ist die Vorbereitung auf Bedrohungen, die man noch gar nicht kennt und damit nicht vorhersehbar sind. Flexibilität und Belastbarkeit, sowie ein gewisses Mindset zur Bewältigung einer solchen Bedrohung und zur Steigerung der Resilienz sind hierbei empfehlenswert.
Die sogenannte Cyberresilienz leistet dabei einen wichtigen Beitrag zur Cybersecurity eines Unternehmens und trägt damit zur IT- und letztendlich zur Unternehmensresilienz bei.
Gerne unterstützen wir Sie dabei die Resilienz Ihres Unternehmens gegen Cyberangriffe zu stärken und damit Ihre Wettbewerbsvorteile auszubauen.
Gemeinsam meistern wir die Zukunft!