Cyberresilienz in der Praxis: Erfolgsstrategien und Best Practices

Die Resilienz gegen Cyberangriffe ist zentral, um den Betrieb eines Unternehmens bei einer Attacke aufrechtzuerhalten. Dieser Artikel beleuchtet praxisnahe Ansätze zur Stärkung der Cyberresilienz und fasst die wichtigsten Schritte und Massnahmen in einer Checkliste zusammen.

September 2024, Text Andreas Heer 4 Min.

Die Fragen nach der Widerstandskraft auf einen Cyberangriff sind schnell gestellt: Wie kann ich den Betrieb nach einer Ransomware-Attacke oder bei einem DDoS-Angriff gewährleisten? Bin ich von neuartigen Sicherheitslücken und Angriffsformen betroffen, und welchen Einfluss haben sie? Die Antworten auf solche und ähnliche Fragen der Cyberresilienz eines Unternehmens sind dagegen etwas schwieriger zu finden. Sie laufen darauf hinaus, die eigene Cybersecurity Posture zu kennen, den aktuellen Stand des Schutzes.

Dieser Artikel beleuchtet praxisnahe Ansätze zur Stärkung der Cyberresilienz. Die wichtigsten Schritte fasst eine Checkliste am Schluss des Textes zusammen.

Die Vorbereitung: Cybersecurity Posture bestimmen

Die Analyse des Ist-Zustands ist zentral, um Schwachstellen in der eigenen Cyberdefence zu erkennen und zu beheben. «Wir überwachen die generelle Bedrohungslage, führen laufend Risikoanalysen durch und validieren unsere Sicherheitsmassnahmen», fasst Marco Wyrsch, Chief Security Officer (CSO) von Swisscom, diesen Schritt zusammen.

Dahinter steckt ein ganzes Bündel an Vorkehrungen, das Technologie, Prozesse und Menschen umfasst: etwa Penetration Tests, Vulnerability Scanning oder Red Teaming, um Schwachstellen in der Infrastruktur aufzudecken. Eine wichtige Rolle spielt dabei die Zusammenarbeit mit Personen und Organisationen ausserhalb des Unternehmens, betont Marco Wyrsch: «Mit unserem Bug-Bounty-Programm erhalten wir wertvolle Hinweise auf Schwachstellen in unseren eigenen Angeboten, während der Informationsaustausch mit Partnern Einblicke liefert, die wir in unsere Cyberdefence einfliessen lassen können.»

In der Kombination liefert dieses permanente Monitoring der Situation und der Infrastruktur eine Vielzahl von Signalen. «Das ist eine Herausforderung», gibt Marco Wyrsch zu. «Wir gehen deshalb risikoorientiert vor und setzen auf Werkzeuge, die uns helfen, die richtigen Prioritäten zu setzen.»

Die Umsetzung: Cyberresilienz stärken

Aus diesen Prioritäten werden Massnahmen, die gemäss den Phasen des NIST Cybersecurity Frameworks (CSF) eingeordnet und umgesetzt werden. «Es handelt sich hierbei um organisatorische, prozedurale und technische Massnahmen, aber auch um solche, die das Potential der Mitarbeitenden adressieren», führt Marco Wyrsch aus. Der Mensch steht dabei im Zentrum, betont der Swisscom CSO: «Wir wollen die Mitarbeitenden befähigen, ihren Job auf eine sichere Art und Weise zu erledigen. Damit schaffen wir wiederum Sicherheit für die Mitarbeitenden und damit auch eine Resilienz, die nicht nur bis zur Technik reicht, sondern bis zu jedem einzelnen Mitarbeitenden.»

Für den technischen Schutz setzt Marco Wyrsch auf zeitgemässe Ansätze wie Security by Design oder die mehrstufige Defence in Depth. «Vermehrt kommen auch Zero-Trust-Ansätze zum Einsatz», ergänzt er.

Mit Cyberresilienz widerstehen Unternehmen Cyberattacken. In der PAC-Trendstudie erfahren Sie, wie Sie Ihre Organisation resilienter machen.

«Wir wollen die Mitarbeitenden befähigen, ihren Job sicher zu erledigen. Damit schaffen wir eine Resilienz, die nicht nur bis zur Technik reicht, sondern bis zu jedem Mitarbeitenden.»

Marco Wyrsch, CSO Swisscom

Mehrstufig sind auch die Ansätze für Erkennung und Reaktion auf Vorfälle, die Threat Detection and Response. «Wir optimieren hier laufend», sagt Marco Wyrsch. «Einerseits, um immer auf dem Stand der Technik und der Bedrohungslage zu sein. Andererseits, um den Cybersecurity-Mitarbeitenden ein attraktives Arbeitsumfeld bieten zu können, in dem sie sich möglichst wenig mit trivialen Vorfällen beschäftigen müssen.» Deren Behandlung wird wenn möglich automatisiert und mittels Machine Learning oder generativer KI zumindest vortriagiert und aufbereitet.

Das Erfolgsrezept: Zusammenarbeit zwischen den Bereichen

Genauso wie Cybersecurity-Massnahmen auf verschiedenen Ebenen stattfinden, erfolgt auch deren Umsetzung und Weiterentwicklung in verschiedenen Informatik- und Geschäftsbereichen. Damit eine Sicherheitskultur im ganzen Unternehmen gelebt wird, ist diese bereichsübergreifende Zusammenarbeit nötig, betont Marco Wyrsch: «Die Zusammenarbeit ist der Schlüssel für den Erfolg der Sicherheitsmassnahmen und fürs Etablieren einer resilienten Organisation. Ohne die Menschen, die tagtäglich die entsprechenden Massnahmen auch umsetzen, weiterentwickeln und betreiben, wäre die notwendige Skalierung gar nicht möglich.»

Aufgrund einer zunehmenden Zahl an Regulatorien wird Cybersecurity auch aus Compliance-Sicht und somit aus einer rechtlichen Perspektive immer wichtiger. Die Rolle beschreibt Marco Wyrsch so: «Oft ist Security die Brücke zwischen Geschäftseinheiten wie der IT und den verschiedenen Rechtsbereichen, um Compliance-Anforderungen umzusetzen, und dabei mit risikobasierten Massnahmen eine wirksame und resiliente Cyberdefence zu etablieren.»

Der Faktor Mensch spielt nicht nur eine Rolle als «first line of defence», sondern auch zur Stärkung der Cyberresilienz. «Durch die enge Zusammenarbeit können wir sicherstellen, dass unsere Cyberstrategie umfassend und auf allen Ebenen des Unternehmens verankert ist», sagt dazu Marco Wyrsch. Dazu gehört auch, dass das Management involviert ist und Prioritäten bei den Security-Themen setzt.

Der Härtetest: Prüfung der Massnahmen

Doch die besten Massnahmen nützen nichts, wenn sie nicht regelmässig getestet und bei Bedarf angepasst werden. Die realen Cyberattacken dienen auch als Prüfstein, sagt Marco Wyrsch: «Unsere Incident-Response-Pläne kommen dadurch immer wieder zum Einsatz und werden dabei sowohl geübt als auch getestet.»

Das gilt zumindest für häufige Formen von Angriffen wie etwa Ransomware, Phishing oder DDoS. Unternehmen müssen aber auch für weniger häufige Szenarien gerüstet sein. «Diese testen wir beispielsweise im Rahmen von Red Teaming oder mit anderen Methoden wie Tabletop Exercises», erläutert Marco Wyrsch. «Seltenere Szenarien sind jedoch eine Herausforderung, um immer bereit zu sein und jederzeit die Pläne in einer relativ aktuellen Version bereit zu haben.»

Die Hürden: Schwachstellen in der Cyberresilienz

Das wiederholte Prüfen und Anpassen von Massnahmen ist zentral für eine wirksame Cyberresilienz. Denn die Dynamik auf Angreiferseite ist hoch. Cyberkriminelle sind einfallsreich, wenn es darum geht, neue Angriffsformen zu entwickeln und bestehende Schutzmassnahmen auszuhebeln. Hinzu kommen neue Schwachstellen, auf die die Cyberdefence reagieren muss. Zudem steigt mit der vermehrten Nutzung von Cloud-Diensten und SaaS die Komplexität, das Risiko für Konfigurationsfehler nimmt zu.

Da immer vorbereitet zu sein ist keine einfache Aufgabe, so Marco Wyrsch: «Es ist oft eine Herausforderung, ausreichende finanzielle und personelle Ressourcen bereitzustellen, um alle notwendigen Sicherheitsmassnahmen zu implementieren und aufrecht zu erhalten.» Und weil selbst der beste Schutz durch menschliches Fehlverhalten ausgehebelt werden kann, ist auch Security Awareness ein Dauerthema. «Wir müssen konstant für das Thema werben und die Mitarbeitenden aktiv dabei unterstützen, ihren Job auf eine sichere Art und Weise zu erledigen», sagt Marco Wyrsch.

Die Cyberresilienz aufrechtzuerhalten, ist eine Daueraufgabe. Das Rezept dazu fasst Marco Wyrsch wie folgt zusammen: «Wir leben eine kontinuierliche Weiterentwicklung, hinterfragen Bestehendes und versuchen, unsere Ressourcen so optimal wie möglich auf die Bedrohungslage abzustimmen, um das Unternehmen resilient gegenüber Cyberattacken aufzustellen.»

Checkliste: die Cyberresilienz steigern

1. Die aktuelle Cybersecurity Posture bestimmen

Ein Security Assessment hilft, die bestehenden Massnahmen zu evaluieren und zu prüfen.

Die Analyse der Cloud-Sicherheitsmassnahmen untersucht (Public-)Cloud-Umgebungen auf Schwachstellen.

Vulnerability Assessments decken Lücken und Schwachstellen in lokalen und Cloud-Umgebungen auf. Ansätze sind: Penetration Testing, Red Teaming, Tabletop Exercises (TTX).

Eine Analyse früherer Sicherheitsvorfälle zeigt auf, wo Bedrohungen und Risiken liegen.

2. Die Cybersecurity-Leistung mit Industriestandards vergleichen

Ein Benchmark mit Industriestandards und Best Practices hilft, die Effektivität der Massnahmen einzuschätzen:

NIST Cybersecurity Framework (CSF)

ISO 27001 (Richtlinien zur Informationssicherheit), 27032 (Cybersecurity-Richtlinien)

CIS Controls (Best Practices für Cybersicherheit)

Mitre ATT&CK Framework

NIS-2-Richtlinie, falls betroffen

3. Verschiedene Stakeholder einbinden

Bedürfnisse abholen in Geschäftsbereichen und bei Abteilungen wie IT, Recht, Compliance und HR

Mitarbeitende befragen zu ihrem Verständnis von Sicherheitsvorgaben und Security-Awareness-Massnahmen entwickeln.

Cybersecurity-Massnahmen wie etwa Incident Response ins Business Continuity Management und Risikomanagement integrieren

Risikobasierte Planung von personellen und finanziellen Ressourcen und Cybersecurity-Massnahmen.

4. Risikoeinschätzung von Drittanbietern (Supply Chain) vornehmen

Evaluieren und auditieren der Sicherheitsmassnahmen und Risiken von Lieferanten.

Nach Möglichkeit Monitoring der Sicherheitsrisiken in der Supply Chain.

5. Erkenntnisse dokumentieren und analysieren

Die Ergebnisse aus Assessments, Benchmarks und von Bedürfnissen der Stakeholder in einem Bericht zusammentragen.

Lücken und Verbesserungsmöglichkeiten in der Cybersecurity Posture identifizieren.

6. Strategie für Grundschutz entwickeln

Basierend auf den Erkenntnissen aus Punkt 5 eine Cybersecurity-Strategie entwickeln, die die grundlegenden Ansprüche und Erwartungen abdeckt.

Die Strategie mit regulatorischen Anforderungen, Industriestandards und Unternehmenszielen abgleichen.

Risiken und Verbesserungsmöglichkeiten priorisieren.

7. Massnahmen zur Verbesserung der Cyberresilienz treffen

Schutz vor Bedrohungen verbessern mit Massnahmen wie Threat Intelligence und Threat Detection and Response (TDR).

Kontinuierliche Überwachung von Cloud-Infrastrukturen und Konfigurationen mit CNAPP-Ansätzen wie Cloud Security Posture Management (CSPM) und Cloud Workload Protection (CWP).

Security-Awareness-Training für die Mitarbeitenden.

Rollen und Verantwortlichkeiten des Cybersecurity-Teams definieren.

Compliance mit regulatorischen und gesetzlichen Vorgaben wie DSG, FINMA-Verordnungen, DSGVO oder NIS-2 sicherstellen.