Der Begriff "Resilienz" kam 2019 auch in der IT in Deutschland allmählich in Mode, ist aber in den vergangenen Monaten immer häufiger verwendet worden. Grund waren die Maßnahmen zur Eindämmung des Coronavirus und die dadurch hervorgerufenen Unterbrechungen in den weltweiten Lieferketten sowie die Probleme, den heute nahezu überall umfassend IT-unterstützten Geschäftsbetrieb in der Krisensituation aufrechtzuerhalten.
Dem aktuellen Risk-Barometer des Allianz-Konzerns zufolge sind Cybervorfälle und Betriebsunterbrechungen derzeit gleichauf die beiden größten Geschäftsrisiken, die Unternehmen drohen. Das zeigt, dass IT heute in immer mehr Branchen die unverzichtbare Grundlage für alle Geschäftsprozesse bildet. Angefangen bei der Kommunikation mit Kunden, Lieferanten und der Mitarbeiter untereinander per E-Mail, geht das über Webshops und Online-Handelsplattformen bis zu Systemen für Warenwirtschaft, Produktionsplanung- und Steuerung sowie für Buchhaltung und Personalwesen. Der Ausfall schon eines Bereichs kann dem Unternehmen schweren Schaden zufügen. Fallen sogar mehrere oder besonders wichtige Bereiche aus, geht schnell überhaupt nichts mehr.
IT ist unverzichtbar, aber nicht ausfallsicher
Der wichtigste Angriffsvektor bleibt mit großem Abstand E-Mail. Das bestätigt auch der von Vanson Bourne im Auftrag von Mimecast erstellte Bericht "The State of Email Security 2020". Daneben zeigt die Befragung diverse Mängel und Lücken auf. "31 Prozent der Befragten verzeichneten in den vergangenen zwölf Monaten einen Datenverlust aufgrund mangelhafter Vorbereitungen für Cyber Resilience, 82 Prozent berichten von Downtime nach einer Attacke, und bei 60 Prozent breitete sich der Angriff von einem infizierten Anwenderkonto auf andere Mitarbeiter aus", fasst Klaus Seidl, Vice President DACH bei Mimecast, zentrale Ergebnisse des Berichts zusammen.
Foto: Controlware
Dennoch gibt es bei 55 Prozent der Firmen immer noch keine regelmäßigen Awareness-Trainings - was besonders angesichts der Tatsache bedenklich ist, dass Angriffe via E-Mail oft Unkenntnis bei den Anwendern ausnutzen: 60 Prozent der Firmen beobachteten der Studie zufolge eine Zunahme bei Betrugsversuchen mit falschen Identitäten, 58 Prozent eine Steigerung bei Phishing-Angriffen.
Angesichts der zunehmenden Abhängigkeit von der IT wird es immer wichtiger, einen Angriff aushalten zu können - also Resilienz aufzubauen. Schließlich geht es eigentlich nicht darum, Malware abzuwehren, Zugriffe unbefugter Nutzer aufzudecken und Links auf infizierte Webseiten zu sperren. Das ist nur die Behandlung der Symptome. Es geht im Kern darum, den Betrieb des Unternehmens sicherzustellen und die Grundlage dafür zu schaffen, nach einer Störung möglichst schnell und mit möglichst geringem wirtschaftlichem Schaden weiterarbeiten zu können.
Foto: RSA
Daher setzt sich die Erkenntnis durch, dass Cyber-Resilienz-Strategien notwendig sind. Allerdings hapert es noch bei der Umsetzung. Hier können Systemhäuser und IT-Dienstleister ansetzen. Wie wichtig das Thema ist, zeigt der Mimecast-Report: Von den dafür Befragten haben bereits mehr als drei Viertel eine Cyber-Resilienz-Strategie oder arbeiten gerade daran. "Diese Strategien sind in der Regel mit E-Mail-Sicherheit, Netzwerksicherheit, Websicherheit sowie Datensicherungs- und Wiederherstellungslösungen kombiniert", berichtet Seidl.
Anwender trotz Plan oft nur schlecht vorbereitet
Einen Notfallplan oder eine Resilienz-Strategie zu haben bedeutet aber noch lange nicht, dass diese auch funktionieren. Das mussten viele Firmen schon schmerzhaft feststellen. "Teilweise wurden nach Ausfällen unterschiedliche Systeme mit der selben Priorität und Aufwand behandelt – in einigen Fällen stellte sich dies als falsch heraus" schildert Tracy Varnum von RSA plakativ fehlende Prioritäten nach Sicherheitsvorfällen. Sie führt das auf eine mangelhafte Risikoanalyse und Risikobewertung zurück und sieht es als Ausdruck des überkommenen Gedankens, dass alle Computersysteme gleichermaßen zu schützen und verfügbar zu halten sind - ungeachtet der von ihnen unterstützten Geschäftsprozesse.
In Bezug auf die Verlagerung von Arbeitsplätzen ins Homeoffice hat auch Rainer Funk, Solution Manager IT-Security bei Controlware, viele unvorbereitete Firmen beobachtet: "Das Allererste war es, alle Geschäftstätigkeiten aufrechtzuerhalten. Aufgrund der Remote-Arbeit galt es, ganz schnell ganz viele Lizenzen zu besorgen: VPN-Konzentratoren, Hard- und Soft-Token, Lizenzen für Video-Kommunikation und so weiter, aber auch ganz naheliegende Dinge, wie zum Beispiel businesstaugliche Kopfhörer."
"Der Lockdown im Zusammenhang mit der Coronakrise hatte vergleichbare Auswirkungen wie ein Cyberangriff", fasst Stanislaw Panow, Geschäftsführer des Münchner IT-Dienstleisters netcos, zusammen. In beiden Fällen könne man nicht abwarten, bis alles komplett bereinigt ist, bevor man den Betrieb wieder aufnimmt. "Wir versuchen bei Corona wieder hochzufahren, ohne dabei allzu große Risiken einzugehen. Bei IT ist das ähnlich: Auch da müssen wir manchmal wieder hochfahren, ohne bereits genau zu wissen, was uns angegriffen hat. Interessant aus meiner Sicht sind daher unter dem Stichwort Resilienz auch Systeme, die mir helfen, trotz einer weiterhin bestehenden Bedrohung sicher wieder hochzufahren", so Panow.
IT-Dienstleister als Impulsgeber und Berater
Im Tagesgeschäft kommen die meist chronisch überlasteten IT-Abteilungen der Unternehmen allerdings nicht dazu, entsprechende Pläne auszuarbeiten. "In der Regel sind wir als Dienstleister die Treiber hinter solchen Themen", sagt Stanislaw Panow. "Erst die Coronakrise hat dazu geführt, dass Kunden anfangen, sich von sich aus Gedanken dazu zu machen."
Foto: DextraData
"Die Erfahrungswerte mit unseren Kunden sind ähnlich", berichtet Nils Vorholt von DextraData. "Teilbereiche sind organisiert, aber einen interdisziplinären Ansatz mit Ausrichtung an der Unternehmensstrategie, der Prozess- und Organisationsentwicklung, gibt es nur selten. Hier besteht noch viel Optimierungsbedarf.
Bechtle-Mitarbeiter Tobias Dames schlägt in dieselbe Kerbe wie Vorholt: "Im Unternehmensumfeld machen sich die Verantwortlichen leider noch zu selten Gedanken über Resilienz. Einen Plan zu erstellen, wenn der Notfall da ist, ist zu spät. Wichtig wäre es, viel früher und viel grundlegender anzusetzen und sich die Frage zu stellen: Was sind meine essenziellen Punkte im Unternehmen? Was brauche ich überhaupt, um weitermachen zu können?" Und RSA-Mitarbeiterin Varnum fasst zusammen: "Es gibt unterschiedliche Möglichkeiten, mit Risiken umzugehen. Man kann sie minimieren, reduzieren, transferieren - indem man eine Versicherung abschließt – oder akzeptieren. Da Budgets nicht unendlich sind, muss priorisiert werden."
Foto: Bechtle
Dafür hat Bechtle schon länger ein Framework entwickelt, das sich am britischen Standard BS 65.000 orientiert, in dem es um die Resilienz ganzer Organisationen geht. "Wir haben einen Teil des Standards genommen und anhand dessen überlegt, welche Wirkungsketten es bei unseren Kunden gibt und wo diese jeweils beginnen. Dazu findet sich auch bei ITIL und ISO 27.000 etwas, zusätzlich spielen Desaster Recovery, Business Continuity und das Risikomanagement eine Rolle. All das haben wir so zusammengeführt, dass es ineinandergreift."
Resilienz für IT und Business gefragt
Damit macht Bechtle dann ein Assessment auf die individuellen Prozesse eines Unternehmens und verknüpft das mit den Risiken aus einer eigenen Datenbank sowie solchen, die der Kunde speziell für sich definiert hat. Solche Ansätze sind gefragt. "Wir haben viele Consulting-Anfragen zum Thema Business Continuity, zum Reifegrad der IT", sagt zum Beispiel auch Rainer Funk von Controlware. Dabei gehe es meistens darum, überhaupt erst einmal herauszufinden, wo die Kunden stehen.
Stefan Buchta von Axians geht noch einen Schritt darüber hinaus "Resilienz ist für mich die übergeordnete Planung, mit Notfällen umzugehen - egal ob das nun ein IT-Notfall, eine Pandemie oder ein Lieferant ist, der plötzlich wegfällt." Buchta ist daher der Meinung, dass "wir durch die ganzen Entwicklungen im Umfeld von Covid-19 einige Jahre in die Zukunft katapultiert wurden - einerseits durch die Notwendigkeit von Home Office, andererseits aber auch in Bereichen abseits der IT: Denn auch wenn ein Lieferant wegfällt, muss der Einkäufer dafür sorgen, dass er einen zweiten an der Hand hat."
Foto: Axians
Dieses zunehmende Bewusstsein für die Problematik auf vielerlei Ebenen im Unternehmen hilft auch, Überlegungen zum Thema Resilienz in der IT anzustoßen. Allerdings stellt sich hier wie auch in den anderen Bereichen schnell die Frage, was man sich das kosten lassen will. Dies lässt sich in vielen Fällen am besten mit der Gegenfrage beantworten: Was kostet es, wenn keine Resilienz gegeben ist?
Die Antwort darauf kann aber wiederum nicht die IT allein geben - dafür müssen auch die Fachbereiche involviert sein. "IT-Firmen können vor allem im technischen Bereich beraten. Das große Ganze macht entweder eine Beratungsfirma - oder der CIO muss ein Team zusammenstellen, von dem es betrachtet wird", sagt Buchta dazu.
Cyber-Resilienz verlangt auch Elastizität
Damit ist Resilienz aber auch mehr als der abstrakte Schutz der IT. "In Bezug auf IT-Sicherheit hat sich gezeigt, dass Perimeter-Schutz und alles andere, was bisher immer getan worden ist, nicht mehr ausreicht", sagt netcos-Chef Panow. "Irgendwann ist ein Angriff erfolgreich - und dann muss man die Systeme wieder hochfahren."
Foto: MTI Technology
Aus seiner Erfahrung im Storage-Bereich ergänzt Robert Meiners von MTI: "Richtige Resilienz-Konzepte haben besondere Eigenschaften. Einmal sind sie ohnehin schon unterbrechungsfrei. Vor allem haben sie aber die Fähigkeit, elastisch zu reagieren. Sie haben gewisse Fähigkeiten zur Selbstheilung - bis hin zu autonomen Entscheidungen. Die in Plänen hinterlegte Information, was wirklich wichtig ist, muss also auch in dem System bekannt sein."
Dazu ist ebenfalls eine enge Abstimmung zwischen der IT und den Geschäftsbereichen erforderlich. Denn, so Meiners weiter: "Wir konzentrieren uns auf Storage und Backup und sorgen da auch für Resilienz - machen aber keine Gesamtkonzepte. So wie die MTI für den Bereich Datacenter einen Bewertungskatalog erstellen, sollte man das auch bereichsübergreifend tun."
Verteilte Verantwortung, gemeinsame Datenbasis
Nils Vorholt von DextraData sieht das ähnlich "Die Verantwortung muss daher verteilt werden. Das kann nicht nur der IT-Abteilung aufgebürdet werden. Der Bezugspunkt sind vielmehr die 'Risk Owner'." Das bestätigt Rainer Funk von Controlware: "Wir versuchen ganzheitlich zu beraten. Hochverfügbarkeit, Business Continuity, Disaster Recovery auf der technischen Seite gehören da selbstverständlich dazu, Awareness-Schulungen und Trainings für die Mitarbeiter aber auch."
Foto: Mimecast
Diesen Ansatz hält auch Tobias Dames von Bechtle für sinnvoll: "Wir brauchen die Technologie - aber ohne den Faktor Mensch zu berücksichtigen, geht es nicht." Neben Awareness-Schulungen müssten auch die Führungskräfte wissen, wie sie mit Notfallsituationen umgehen und währenddessen ihre Mitarbeiter führen.
"Alle Unternehmen haben Schwierigkeiten, diese Entscheidungen zu treffen", weiß Tracy Varnum von RSA. "Das Risikomanagement spricht immer davon, das Risiko zu senken, die IT will mehr technischen Spielraum. Unserer Erfahrung nach kann man am besten damit umgehen, wenn man eine gemeinsame Datenbasis schafft und diese zur Verfügung stellt. Das ermöglicht den diversen Stakeholdern einen einheitlichen Blick auf die aktuelle Situation und erleichtert es, Entscheidungen zu priorisieren."
Derzeit würden jedoch in vielen Firmen noch Informations-Silos aufgebaut. "Wenn das Enterprise Risiko-Management nicht mit dem IT-Risiko-Management spricht, entstehen Inkonsistenzen in den dazugehörigen Business-Continuity-Plänen", warnt Varnum. "Ein Ergebnis daraus ist, dass vieles überlappend gemacht wird und unterschiedliche Messkriterien angelegt werden. Schließlich und endlich endet das im Chaos. Leider sehen wir in vielen Unternehmen, dass das der aktuelle Stand ist. Schritt eins ist daher, die gemeinsame Datenbasis zu etablieren, zu pflegen und aktiv zu nutzen – so wird der Entstehung von sogenannten "Blind-Spots" entgegengewirkt."
Public Cloud und Cyber-Resilience
In der Natur von Notfallplänen und Notfallressourcen liegt es, dass sie entweder nie oder nur sehr selten benötigt werden. Dennoch können die Kosten erheblich sein. Es gilt also einerseits durch ein gut koordiniertes Risikomanagement zu klären, was tatsächlich vorgehalten werden muss, andererseits aber auch das optimale Kosten-Nutzen-Verhältnis für die Resilienz zu finden.
Aufgrund der zunehmenden Akzptanz für nutzungs- oder verbrauchsbasierende Abrechnungsmodelle drängt sich hier der Gedanke auf, die Cloud oder SaaS-Angebote zu nutzen. Mimecast geht für E-Mail direkt diesen Weg, aber auch in anderen Bereichen, etwa Backup und Disaster Recovery, positionieren sich einige Anbieter mit dem Resilienz-Argument.
Foto: netcos
"In Unternehmen spielt Cloud für Resilienz aus Budgetgründen immer wieder eine Rolle", bestätigt auch Tobias Dames von Bechtle. "Bevor man etwas Eigenes einrichtet, bestellt man es lieber. Die Frage ist dann aber: Wie bringt man das alles zusammen. Das haben auch immer mehr Cloud-Anbieter festgestellt". Aus seiner Erfahrung als Leiter Competence Center Cyber Resilience bei Bechtle empfiehlt er hier: "Die einzige Chance, das zusammenzuführen sind viele, viele Schnittstellen."
Ähnlich sieht das auch Rainer Funk von Controlware: "Firmen stellen sich schon die Frage, wie sie das Thema Cloud künftig nutzen können, um die Dinge, die nicht optimal gelaufen sind, besser abzubilden." Seiner Ansicht nach 'elektrifizieren' viele Kunden die Cloud jedoch: Sie wollen die Konzepte, die sie seit 15 Jahren gewohnt sind, mit dem Wissen, das sie haben, in die Cloud bringen. "Aber das funktioniert nicht", warnt Funk. "Wir merken, dass diese neuen Architekturmodelle erst noch verstanden werden müssen."
Bei Cloud-Infrastrukturanpassungen und ähnlichen Themen herrsche dementsprechend eine enorme Nachfrage. "Die Notwendigkeit, in die Cloud zu gehen, ist bei unseren Kunden im gehobenen Mittelstand sehr stark und wird auch umgesetzt. Wir müssen da eher bremsen und darauf hinwiesen, dass ein Konzept dafür wichtig ist", berichtet Funk. Die grundsätzliche Ablehnung von Cloud-Angeboten sei durch COVID-19 immer seltener geworden.
"Cloud hat ein unglaubliches Potenzial", bestätigt auch Robert Meiners von MTI Technology. "Welche Versicherung müssen sie nur bezahlen, wenn Sie sie brauchen? Genau das ist Cloud. Sie müssen sie ja nicht jetzt schon eins-zu-eins dazubuchen, sondern erst, wenn Sie sie brauchen." Allerdings warnt auch Meiners vor zu viel Euphorie: "Ein komplettes HA-Konzept lässt sich damit vielleicht nicht realisieren, aber ein Resilienz-Konzept ist mit Cloud sicher günstiger und einfacher zu bauen, als in Eigenregie."
Weitere ChannelPartner-Workshops:
Digitale Identitäten sicher verwalten
Managed Print Services
Managed Security Services
Cyber-Resilienz - Chancen für den Channel