Kritische Infrastrukturen stehen 2022 im Fokus – und werden dort bleiben

Kritische Infrastrukturen sind in den vergangenen Wochen und Monaten erstmals in den Fokus der allgemeinen Öffentlichkeit gerückt. Aktuell wird heftig diskutiert, wie wir beispielsweise personell den Betrieb in Krankenhäusern aufrecht erhalten können, falls sich immer mehr Angestellte von Kliniken infizieren. Muss die Quarantänezeit eventuell reduziert werden? Wir alle erinnern uns noch an die Flutkatastrophe an der Ahr und was der Ausfall kritischer Infrastrukturen bedeuten kann. An diesen Beispielen wird gerade einer breiteren Öffentlichkeit deutlich, was kritische Infrastruktur bedeutet – und welche Folgen dort fehlendes Personal bewirken könnte.

Diese Frage stellt sich natürlich für alle Bereiche, die zur kritischen Infrastruktur beitragen, von Polizei bis zur Abfallentsorgung. Die Frage stabiler, resilienter Lieferketten ist eine andere Frage, die in den vergangenen Monaten in den Blickpunkt gerückt ist und die uns weiter beschäftigen wird. Das mag in Deutschland mit der Frage fehlenden Toilettenpapiers begonnen haben, geht aber unterdessen deutlich darüber hinaus. Fehlende Chips betreffen beispielsweise die Automobilindustrie – und das gerät natürlich im Autoland Deutschland damit auch ins allgemeine Bewusstsein.

Kritische Infrastrukturen – Alarmstufe Rot durch Log4j

Doch auch andere Ereignisse zahlen auf das Konto mehr Sensibilität für kritische Infrastrukturen ein. Ein Wendepunkt ist dabei die Log4j-Sicherheitslücke, die Ende 2021 bekannt wurde und nach Einschätzung vieler wohl „größte Schwachstelle in der Geschichte des modernen Computing„. Sicherheitslücken und Cyber-Attacken gab es schon lange Zeit vorher. Das reicht von den aktuellen Patches, die schon seit Jahren von IT-Abteilungen dringend eingespielt werden sollen, bis zu gezielten Angriffen, in denen Unternehmen oder auch Verwaltungen lahm gelegt werden.

Und es ist kein Problem, das erst 2021 aufgetreten ist. Man schaue sich nur einmal die Liste der Bedrohungen auf heise Security oder anderen entsprechenden Seiten an. Da kann man nur damit beginnen, zu weinen, frei nach WannaCry von 2017. Und wir können leicht noch weiter in die Vergangenheit zurück gehen. Kritische Infrastrukturen wurden und werden schon lange bedroht, durch Log4j könnte aber endlich ein neues Bewusstsein für Cyber Security entstehen. Und vielleicht denkt man endlich darüber nach, wie man solchen Bedrohungen neben den bekannten und bewährten Hausmitteln – spiele immer den neuesten Patch ein und so weiter – begegnen will.

Machen neue Modelle Sinn, in denen Unternehmen gemeinsam SWAT-Teams für Cyber Security oder SOCs (Security Operation Centers) aufstellen? Können gar IT Security-Experten, Verwaltung und Unternehmen in solchen Öffentlich-Privat-Experten-Konstellationen zusammen arbeiten, statt alleine den Security-Bedrohungen hinterher zu laufen? Die Fragen müssen endlich gestellt und durchdacht werden – im Sinne des Betriebs der kritischen Infrastrukturen.

Wie robust und stabil betreibe ich meine kritischen IT-Infrastrukturen?

Doch die Frage geht über das Thema Cyber Security hinaus. Generell müssen sich Unternehmen Gedanken machen, wie sie ihre IT-Infrastruktur robust, zuverlässig, resilient aufstellen – und was sie dafür bereit sind zu investieren. Ist mir als Unternehmen mein Betrieb so wichtig, dass ich aktive, kritische Anwendungen in zwei oder gar drei zeitlichen Regionen betreibe? Ist ein schnelles und vollautomatisches regionales Failover eine Option ?

Welche Rolle soll das eigene Rechenzentrum spielen, welche Anwendungen laufen dort, wie gewährleiste ich dort Ausfallsicherheit? Welche Mixtur an Multi-Cloud und Private Cloud und On Premise setze ich als Unternehmen ein? All das kostet natürlich auch entsprechend Geld und für diese Investitionen muss das Bewusstsein existieren, inklusive einer Risikobewertung.

Jenseits dieser eher an akuten Krisen orientierten Überlegungen stellt sich auch die Frage, wie Lösungen konzipiert und entwickelt werden. Baut man seine Anwendungen so, dass sie von der Cloud eines Hyberscalers in die Cloud eines anderen Hyperscalers oder gar die Private Cloud verschoben werden können, um Abhängigkeiten zu vermeiden? Auch das sind Überlegungen, die rund um die eigene kritische IT-Infrastruktur angestellt werden müssen.

CIO: Was mache ich selbst mit meinen Leuten? Wo hole ich externe Experten an Bord?

All diese Aspekte machen hoffentlich deutlich, dass das Thema kritische Infrastrukturen auf die Tagesordnung gehört. Natürlich müssen sich CIOs und IT-Abteilungen dem Aspekt IT-Infrastrukturen widmen. Man kann es sich einfach nicht mehr leisten, nicht hochprofessionell und schnell zu agieren. Der neueste Patch muss angesichts von Log4j und vergleichbaren Bedrohungen umgehend eingespielt werden. Dafür müssen die Ressourcen zur Verfügung stehen oder aber die entsprechenden Services müssen an externe Dienstleister vergeben werden. CIOs werden sich noch mehr fragen müssen, welche Aufgaben sie im Hause erledigen und wo sie sich – auch aufgrund des Mangels an IT-Spezialistinnen und -Spezialisten – externe Expertise zukaufen oder den Betrieb bestimmter Infrastrukturen outsourcen.

Stefan Pfeiffer
Stefan Pfeiffer

… arbeitet in Communications bei Kyndryl Deutschland, dem weltweit führenden Anbieter zum Management kritischer IT-Infrastruktur. Den gelernten Journalisten hat seine Leidenschaft für das Schreiben, Beobachten, Kommentieren und den gepflegten Diskurs nie verlassen. Diese Passion lebt er u.a. in seinem privaten Blog StefanPfeiffer.Blog oder auch als Moderator von Liveformaten wie #9vor9 – Die Digitalthemen der Woche und Podcasts aus. Digitalisierung in Deutschland, die digitale Transformation in der Gesellschaft, in Unternehmen und Verwaltung oder die Zusammenarbeit am modernen Arbeitsplatz sind Themen, die ihn leidenschaftlich bewegen.
Vor Kyndryl hat Pfeiffer in der IBM im Marketing in unterschiedlichen internationalen Rollen gearbeitet. Seine weiteren beruflichen Stationen waren FileNet und die MIS AG. Auf Twitter ist er als @DigitalNaiv „erreichbar“. 

Log4j und die Gefahr von Ransomware: Wie Unternehmen dem Angriff vorbeugen können 

Wie verwundbar Daten und Server sind, hat die kürzlich entdeckte Log4j Sicherheitslücke deutlich gezeigt: Ein Angriff auf ein unscheinbares Programm, Log4j als Teil einer weit verbreiteten Bibliothek für Java-Software, kann die größten Server- und Cloud-Dienste lahmzulegen. Hacker versuchen weltweit, diese Schwachstelle auszunützen: Sicherheitsforscher berichten etwa, dass eine berüchtigte Hacker-Gruppe, die sich auf Ransomware-Angriffe spezialisiert hat, gerade sehr aktiv ist.

Die Bedrohung durch Ransomware-Erpressung ist deshalb für Unternehmen gerade sehr aktuell – und wird auch 2022 eine ernstzunehmende Bedrohung bleiben. Die Angreifer zielen generell immer mehr auf Unternehmen ab und verweigern ihnen durch Verschlüsselungssysteme den Zugriff auf ihre Daten und Systeme. Diese digitalen Geiselnahmen lassen sich durch die Zahlung hoher Lösegelder beenden, um wieder Zugriff auf teils unternehmenskritische Inhalte zu haben. Deshalb zahlen viele Angegriffene dieses Lösegeld auch. Dieses Vorgehen hat sich deshalb mit der Zeit zu einer lukrativen Einkommensquelle entwickelt und nicht nur deswegen haben Ransomware-Angriffe für die US-Justizbehörde die gleiche Priorität in der Bekämpfung wie herkömmlicher Terrorismus. Das ist verständlich, wenn man etwa bedenkt, dass erst kürzlich Systeme des belgischen Militärs durch die Log4j-Lücke angegriffen und lahmgelegt wurden. Die Gefahr besteht nicht nur für Unternehmen, sondern auch auf der Ebene nationaler Infrastrukturen und Organisationen.

Die Vergangenheit zeigt, dass jedes Unternehmen unabhängig von Größe oder Branche zum Ziel eines Ransomware-Angriffs werden kann. Angreifer suchen mit nicht-spezifischen Ransomware-Varianten breit angelegt nach Zielen, die leicht angreifbar sind. Beispielsweise können Lieferanten oder Partnerbindungen als einfache Einfallstore dienen. Deshalb hat sich daraus ein florierendes Geschäft entwickelt, das sich fast schon einen normalen Anstrich gibt, indem Ransomware-as-a-Service in Onlineshops angeboten wird. So können auch Angreifer ohne Experten-Wissen Cyber-Angriffe ausführen. Wo früher nur technisch versierte Personen zu potenziellen Angreifern zählten, reicht heute allein kriminelle Energie.

Immer auf alles gefasst sein und einen Notfallplan vorbereiten

Wird diese Energie umgesetzt, hat das drastische Auswirkungen. Daher sollte Unternehmen optimal für den Ernstfall vorbereitet sein. Es gibt viele technologische Maßnahmen zur Abwehr, um Schäden für das Unternehmen so gering wie möglich zu halten. Ein hundertprozentiger Schutz ist allerdings nicht möglich und man muss immer darauf gefasst sein, Ziel eines Angriffs zu werden. Daher ist es wichtiger eine gute Strategie zur Schadensbegrenzung zu haben, als sich darauf zu verlassen, den Angriff abwehren zu können. Ein solcher Plan lässt sich durch die Kombination von vier technischen Maßnahmen erarbeiten.

  1. Man sollte sogenannte „Air Gaps“ implementieren
    „Air Gaps“ trennen die Produktionsumgebung von der Backup-Infrastruktur, so dass keinerlei Verbindungen zwischen beiden bestehen, außer es werden besagte Backups erstellt. Sie bieten so keine „Brücke“ zu den wichtigen Backup-Dateien während eines Ransomware-Angriffs.
  2. Unveränderbare Speicher sollten genutzt werden
    Diese waren in der Vergangenheit durch langsame Zugriffzeiten unattraktiv und nur wenig vielseitig einsetzbar. Heutzutage erlauben sie aber die Software-basierte Realisierung eines „write-once-ready-many“-Ansatzes und schnelle Wiederherstellungszeiten.
  3. Backup-Daten sollten kontinuierlich verifiziert werden
    Die regelmäßige Kontrolle der Backup Daten durch eine Datenvalidierungs-Engine kann sicherstellen, dass die Daten immer „sauber“ und „brauchbar“ sind.
  4. Automatisierte Disaster Recovery
    Die Kombination der vorangegangenen Techniken erlaubt ein unbeschadetes und unverschlüsseltes Backup, aus dem man alle unternehmenskritischen Daten wiederherstellen kann. Damit dies möglichst reibungslos und schnell nach oder während eines Angriffs passiert, sollte sie mit einer Automatisierungslösung versehen sein.

Diese vier Technologien und Mechanismen erlauben es Unternehmen innerhalb kürzester Zeit kritische Daten und Systeme aus den sicheren Backups wiederherzustellen, nachdem ein Ransomware Angriff erfolgreich war. Diese Sicherheitsstrategien verschaffen einen Vorsprung, sind eine gute Vorbereitung für das Worst-Case-Szenario und verringern die potenziellen Schäden effektiv. Kyndryl unterstützt Unternehmen als unabhängiger Technologie-Partner mit großer Erfahrung und dem richtigen Know-How bei sämtlichen Schritten eines solchen Vorbereitungsplans und steht beratend zur Seite.

Dieser Beitrag ist im Original im Handelsblatt ePaper zum Thema Cybersecurity & Datenschutz erschienen. Dominik Bredel hat in diesem Rahmen auch ein Videointerview zum Thema gegeben.

Dominik Bredel
Dominik Bredel

Dominik Bredel ist als Associate Partner bei Kyndryl für das Beratungsgeschäft im Bereich Security und Resiliency verantwortlich. Mit einem Team von erfahrenen Beratern und Architekten konzentriert er sich auf die Kombination von Informationstechnologie und Beratungsexpertise, um End-to-End-Lösungen für Kunden zu entwickeln.

Mit nahezu einem Jahrzehnt an Erfahrung in der Unternehmensberatung hat Dominik seine Fähigkeiten in zahlreichen Branchen wie Finanzdienstleistungen, Gesundheitswesen und Versicherungen unter Beweis gestellt. In seinen Projekten konzentriert sich Dominik auf die Aufrechterhaltung der Geschäftskontinuität seiner Kunden und die ständige Anpassung an neue Sicherheitsbedrohungen und regulatorische Standards.


Drei Beispiele zeigen: Unsere Unternehmens-IT ist sensibel und wir müssen handeln

Der Jahreswechsel ist die Zeit der Reflexion, auch in Sachen Unternehmens-IT. Und obwohl ich bewusst beruflich eine Auszeit genommen habe, haben mich doch einige Ereignisse, Trends und Nachrichten beschäftigt. Im Dezember war es die durch Log4j verursachte Sicherheitslücke, die noch dramatische Folgen haben kann, denn wir wissen nicht, in welchen Systemen derzeit unbemerkt Trojaner schlummern. Die Bedrohung für die Unternehmens-IT durch Log4j und damit verbundene Erpressungsversuche sind also bei weitem nicht vorbei und Unternehmen sollten sich weiterhin die Ratschläge von Domink Bredel zu Herzen nehmen (und zur Sicherheit immer noch ein Backup vor dem 1. Dezember 2021 vorhalten).

An Log4j ist nicht Open Source schuld

Diese Lücke wurde auch benutzt, um gegen Open-Source-Lösungen zu argumentieren und denen das Gerüchle anzuheften, diese seien nicht so sicher. Dabei sollte man doch wissen: Es gab und gibt genug Sicherheitslücken in proprietärer, geschlossener Software. Ist der Code offen, können zumindest theoretisch mehr Entwickler hinein schauen und Fehler beseitigen. Klar wurde durch Log4j natürlich, dass auch Open-Source-Lösungen nicht fehlerfrei sind und auch nicht sein werden. Ist dann entsprechender Code weit verbreitet wie im Falle Log4j, kann es eben entsprechende Auswirkungen haben, die in der Regel hoffentlich nicht so dramatisch sein werden.

Dass Software-Fehler leider- ich muss es so schreiben – zum traurigen IT-Alltag und damit zu unserer aller Alltag gehören, hat dann einmal wieder der Fehler in Microsoft Exchange zum Jahreswechsel demonstriert. Y2K22-Bug stoppt Exchange-Mailzustellung: Antimalware-Engine stolpert über 2022, titelt heise online. Einige Versionen des Exchange-Servers (2016 und 2019) lieferten zu Beginn des Jahres die E-Mails nicht aus, da ein falsches Datumsformat im integrierten Schadsoftware-Scanner nicht verarbeitet werden konnte. Der Fehler ist behoben, jedoch haben manche Server noch Schluckauf und es wird eine Weile dauern, bis sie alle E-Mails verdaut, sprich verschickt haben werden. Einmal mehr ein Indiz dafür, dass Systeme anfällig sind und wir von ihnen abhängen.

Ausfall von AWS legt nicht nur Disney+ und Netflix lahm

Gar nicht so sehr auf dem Radar hatte ich den Ausfall der Amazon Web Services Anfang Dezember 2021, von dem viele Unternehmen an der Ostküste der USA betroffen waren. Jedoch zeigt diese Störung exemplarisch, wie sehr Privatpersonen und Unternehmen von „der Cloud“, in diesem Falle dem Marktführer AWS abhängig sind. Plötzlich funktionierten Disney+, Netflix und die Geräte im Smart Home nicht mehr.

Doch wir befassen uns hier ja mit der Unternehmens-IT und dort mussten Firmen und Behörden feststellen, dass auch sie abhängig sind, selbst wenn sie glaubten, keine Verträge mit Amazon zu haben. Doch plötzlich liefen Trello oder Slack nicht mehr, eben weil diese Lösungen die Amazon Web Services nutzen.

Apropos Abhängigkeit von „der Cloud“: Meistens ist es eben nicht mehr eine Cloud, die Unternehmen nutzen.Wenn wir die Microsoft Office-Produkte im Einsatz haben, Trello oder Slack nutzen, auf SAP S/4 Hana migrieren oder andere Lösungen von HR bis zu den Lieferketten nutzen, haben wir als Unternehmen automatisch verschiedene Cloud-Anbieter im Einsatz, auch wenn es auf den ersten Blick nicht so wahrgenommen wird. Die Multi-Cloud ist heute meist schon Realität. Davon werden auch Unternehmen alleine aus Kostengründen nicht wegkommen. Einen Weg komplett zurück ins eigene Rechenzentrum ist wohl nicht mehr möglich. Stattdessen wird es eben die hybride Cloud-Welt geben, in der verschiedene Cloud-Anbieter sowie die Private Cloud im eigenen Data Center genutzt werden.

Herausforderungen für die Unternehmens-IT: Multi-Cloud, S/4 Hana, Cybersecurity

Alle beschriebenen Vorfälle zeigen, wie sensibel unsere kritischen IT-Infrastrukturen sind, wie schnell und konsequent wir oft reagieren müssen und wie viel Expertise wir beim Aufbau und vor allem dem laufenden Betrieb und dem Management der eigenen Unternehmens-IT benötigen. Cybersecurity ist vielleicht das Thema für 2022, der Aufbau und das Management einer hybriden Multi-Cloud bleibt neben der Migration auf SAP S/4 Hana, die bei vielen Unternehmen ansteht, auf der Agenda. Unternehmen werden sich darüber Gedanken machen müssen, wie sie in der Cloud-Welt möglichst unabhängig bleiben, Lösungen potentiell von einer Cloud in eine andere verschiebbar machen können. Sie werden sich damit befassen müssen, wie wichtig ihnen Ausfallsicherheit ist und was sie dafür bereit sind zu zahlen. Werden sie wirklich das Geld bereit stellen, um die kritischen Systeme in zwei oder gar drei Availability Zone zu betreiben?

Das alles sind besondere Herausforderungen in Zeiten, in denen IT-Fachleute krampfhaft gesucht werden, vom Sicherheitsexpertinnen und -experten bis zur Fachfrau und dem Fachmann für SAP. Ich wage die Prognose, dass Unternehmen und die Verwaltung externe Kompetenz und Partner ebenso benötigen, wie sie über neue Konzepte nachdenken sollten, um Kompetenz zu bündeln und gemeinsam zu nutzen, beispielsweise im Bereich Cybersecurity. Und die Fragen und Herausforderungen können nicht auf die lange Bank geschoben werden. Das haben die beschriebenen Vorfälle gezeigt.

Bild von Schäferle auf Pixabay

Stefan Pfeiffer
Stefan Pfeiffer

… arbeitet in Communications bei Kyndryl Deutschland, dem weltweit führenden Anbieter zum Management kritischer IT-Infrastruktur. Den gelernten Journalisten hat seine Leidenschaft für das Schreiben, Beobachten, Kommentieren und den gepflegten Diskurs nie verlassen. Diese Passion lebt er u.a. in seinem privaten Blog StefanPfeiffer.Blog oder auch als Moderator von Liveformaten wie #9vor9 – Die Digitalthemen der Woche und Podcasts aus. Digitalisierung in Deutschland, die digitale Transformation in der Gesellschaft, in Unternehmen und Verwaltung oder die Zusammenarbeit am modernen Arbeitsplatz sind Themen, die ihn leidenschaftlich bewegen.
Vor Kyndryl hat Pfeiffer in der IBM im Marketing in unterschiedlichen internationalen Rollen gearbeitet. Seine weiteren beruflichen Stationen waren FileNet und die MIS AG. Auf Twitter ist er als @DigitalNaiv „erreichbar“. 

Das Dilemma von Business, Cyber-Security und Resilienz: Wie Unternehmen die Balance halten.

Unternehmen stehen vor einer großen Herausforderung: Sie sind ständig damit beschäftigt, ihre Produkte anzubieten und sich gleichzeitig zu verändern. Es ist ein Balanceakt – die aktuellen Projekte  am Laufen zu halten und sich gleichzeitig zu transformieren, um zukünftige Chancen zu nutzen. All diese Bemühungen können jedoch bedeutungslos sein, wenn das Unternehmen, seine Kunden und andere wichtige Vermögenswerte nicht angemessen geschützt werden können, Zum Beispiel vor Bedrohungen im Bereiche Cyber-Security.

Deshalb müssen wir zu einem Modell übergehen, das die Widerstandsfähigkeit in den Vordergrund stellt. Ein solches Modell orientiert sich an den Geschäftsergebnissen und unterstützt gleichzeitig das Risikoniveau , das ein Unternehmen zu tragen bereit ist. Dies erfordert jedoch tiefgreifende Änderung in der Kultur und Denkweise der Sicherheitsteams.

Viele denken, dass sie sich an den Bedürfnissen ihres  Unternehmens orientieren. Doch was sind diese Bedürfnisse eigentlich genau? Wir müssen mit den Verantwortlichen der Geschäftsbereiche zusammenarbeiten, um deren Prioritäten und Erfolgsmaßstäbe zu ermitteln.  Solche Gespräche sind die Basis  für eine echte Partnerschaft die eine kontinuierliche Anpassung gewährleistet und die bestmöglichen Ergebnisse liefert. Bei diesem Wandel geht es darum, dass Cyber-Security in das gesamte Unternehmen eingebettet wird. So wird die Sicherheit  gewährleistet, die für  Unternehmen so entscheidend ist.

Aber auch die Sicherheit muss mit den Veränderungen Schritt halten, die für eine nahtlose Bereitstellung innovativer Lösungen erforderlich sind. Und solche Lösungen sind wichtig: Sie ermöglichen eine Differenzierung vom Wettbewerb und eine schnellere Akzeptanz durch die Verbraucher. Wie lange hat es beispielsweise gedauert, bis die Entwicklungs- und Betriebsteams ihren Ansatz von Wasserfall über Agile zu DevOps geändert haben? Unternehmen, die diese älteren Ansätze immer noch verwenden, werden jedoch von ihren Konkurrenten überholt.

Zusammenarbeit verschiedener Geschäftsbereiche für mehr Cyber-Security

Wie kann der Aufbau einer echten Partnerschaft zwischen den verschiedenen Geschäftsbereichen unterstützt werden? Auch  bei diesem Prozess  unterstützt ein  Modell, das über die Sicherheit hinausgeht und sich stattdessen auf die Widerstandsfähigkeit – die Resilienz – im Cyberspace konzentriert. Ein Schlüsselelement dieses Ansatzes ist, Business-Teams zu ermutigen, gemeinsam Prioritäten und Erfolge zu definieren. Viele Unternehmen haben damit begonnen, Informationssicherheitsbeauftragte / CISOs in ihre Geschäftsbereiche einzubinden, um dieses Ziel zu erreichen. Ich stelle immer wieder fest, dass diese Stellen mit hoch ambitionierten und hoch qualifizierten Menschen besetzt werden. Oft fehlt ihnen aber der Unterbau in der Organisation, um effektiv die wichtigsten zentralen Prozesse zur Bereitstellung von Cyber-Security und Cyber-Resilienz aufzubauen. 

Leider werden wir nicht in der Lage sein, alles in gleichem Maße zu schützen. Aber wenn Unternehmen nicht von Anfang an Sicherheit in die innovativen Funktionen, die neu eingeführt werden, einbinden, dann wird die Sicherheit weiterhin aufholen müssen. Es ist von entscheidender Bedeutung, in die Bereiche zu investieren, denen höchste Priorität eingeräumt wird.  Nur so kommt ein Unternehmen weiter voran und kann sich schützen, wenn etwas passiert. Dieser Ansatz ermöglicht es , Sicherheit  in die digitalen Veränderungen im Unternehmen zu integrieren. 

In jüngster Zeit haben wir die Auswirkungen von erzwungenen, schnellen organisatorischen Veränderungen erlebt, die schon seit geraumer Zeit aufgeschoben wurden. Dabei ging es meist um die Frage, wie Mitarbeiter ihre Arbeitspflichten unabhängig von ihrem Aufenthaltsort weiterhin erfüllen können. Darüber hinaus mussten Unternehmen ihre Umstellung auf Cloud-basierte Funktionen beschleunigen. Und die ganze Zeit über taten die Sicherheitsteams ihr Bestes, um mit diesen schnellen  Veränderungen Schritt zu halten.

Lernen aus Veränderungen

Wir haben in kurzer Zeit einige bemerkenswerte Dinge gelernt. Erste Erkenntnis: Es ist entscheidend, sich schnell anzupassen und den sicheren Zugriff auf Systeme, Anwendungen und Daten zu gewährleisten, die die Mitarbeiter benötigen, um das Unternehmen am Laufen zu halten. Und zweitens muss das Unternehmen selbst bei ungünstigen Ereignissen Gestaltungsmöglichkeiten erkennen und diese nutzen, um so  zukünftiges Wachstum zu ermöglichen.

Drittens ist es von entscheidender Bedeutung, dass wir unseren Ansatz von der reinen Cyber-Security und einem schmalen NIST-Modell zu einem Ansatz verlagern, der sich darauf konzentriert, unsere Organisationen widerstandsfähig gegen Cyber-Angriffe zu machen. Unternehmen haben in der Vergangenheit DevOps schnell eingeführt und weiterentwickelt , sind auf Cloud-Umgebungen umgestiegen und haben ihre Bemühungen um die digitale Transformation insgesamt beschleunigt. Dabei wurde die Sicherheit immer wieder vernachlässigt. Infolgedessen nehmen aufsehenerregende Sicherheitsvorfälle stark zu – und dies wird auch zukünftig so  sein. Immerhin hat die digitale Entwicklung dazu geführt, dass die Sicherheit nun auf der Prioritätenliste der C-Level-Führungskräfte nach oben gerückt ist.

Ein hervorragendes Beispiel hierfür ist der „2021 Global Risks Report„, der vom Weltwirtschaftsforum veröffentlicht wurde. Im diesjährigen Bericht ist „Cybersecurity failure“ auf Platz 4 der globalen Risiken aufgestiegen, was die Relevanz und Wahrscheinlichkeit auf kurze Sicht (null bis zwei Jahre) angeht. Nur gesellschaftliche Risiken (wie Infektionskrankheiten) und Umweltrisiken (wie extreme Wetterereignisse) sind von größerer Bedeutung.

Fragen Sie sich, wie Sie Ihr Unternehmen führen und gleichzeitig umgestalten: Habe ich den richtigen Ansatz gewählt, um sicherzustellen, dass wir das Cyber-Risiko für unser Unternehmen reduzieren? Kontaktieren Sie mich gerne per LinkedIn, wenn Sie sich diese Fragen stellen und Antworten suchen.

Florian Walling
Florian Walling

Florian Walling ist Senior Solution Sales Specialist  Security & Resiliency Services
bei Kyndryl Deutschland GmbH. Mit seinem Hintergrund als IT-Consultant für komplexe Infrastruktur Change Projekte und Fachmann für Security-Lösungen ist Florian Walling ein gefragter Experte, wenn es um Cyber Resiliency geht.