Die Superkraft, die niemand sieht    

Wenn Cyberangriffe die Regel sind, müssen Unternehmen auch unter diesem Druck bestehen. Die «Superkraft» dafür heisst Resilienz – nicht nur in der Cybersecurity, aber auch

1. Dezember 2025, Text Andreas Heer, Bild: Swiss Cyber Storm        4 Min.

Stellen Sie sich vor, Ihr Unternehmen wird nicht nur daran gemessen, wie undurchdringlich seine Mauern sind. Sondern auch daran, wie schnell es nach einem Cyberangriff wieder aufsteht. Diese Resilienz ist die unsichtbare Superkraft der Cybersecurity. Diese Fähigkeit wird oft unterschätzt, ist aber entscheidend, wenn ein Cybervorfall eintritt oder eine neue Sicherheitslücke bekannt wird – denken Sie an «Log4J» oder «xz». Die Cybersecurity-Konferenz Swiss Cyber Storm 2025(öffnet ein neues Fenster) hat gezeigt: Wer Resilienz strategisch denkt, bleibt auch in unruhigen Zeiten handlungsfähig. 

Was bedeutet Resilienz in der Cybersecurity? 

Resilienz ist mehr als nur Abwehr. Sie ist die Fähigkeit, Angriffe nicht nur zu verhindern, sondern auch zu überstehen und daraus gestärkt hervorzugehen. Für Unternehmen jeder Grösse bedeutet das: Resilienz ist kein Zustand, sondern ein kontinuierlicher Prozess, der Technik, Organisation und Menschen umfasst. Sie verlangt, dass wir uns auf das Unerwartete vorbereiten und flexibel reagieren können. 

Informieren Sie sich über aktuelle Trends in der Cybersecurity und über relevante Bedrohungen.

Technische Resilienz: Incident Response für M365

Das B2B-CSIRT von Swisscom hat ein Incident-Response-Framework für Microsoft 365 entwickelt. Es kann regelbasiert das Vorgehen der Angreifer aufdecken und hilft Unternehmen, Massnahmen zu definieren, um die Attacke zu stoppen. So erkennt das Framework beispielsweise «unmögliche Reisen», also Logins aus unterschiedlichen Regionen in kurzer Zeit, neu registriert MFA-Geräte der Angreifer oder Massendownloads für die Exfiltration von Geschäftsdaten. 

Angelo Violetti, Incident Responder beim B2B-CSIRT von Swisscom, präsentierte zudem Handlungsempfehlungen, wie Unternehmen die Resilienz ihrer M365-Umgebungen steigern können. Dazu gehören Massnahmen wie: 

  • Phishing-resistente Multifaktor-Authentifizierung 
  • Continuous Access Evaluation: Zugriffe laufend überprüfen, beispielsweise auf geänderte IP-Adressen 
  • Conditional Access Policies, um das Hinzufügen zusätzlicher MFA-Geräte zu regeln 
  • Outbound Spam Policy, um den Massenversand aus erbeuteten Konten zu unterbinden 
  • Auditing und Logging in SIEM-Systemen fürs Monitoring im SOC
     

Mit diesem IR-Framework lässt sich nicht alles verhindern, aber vieles abfedern und schnell eindämmen. 

Regulatorische Resilienz: SBOM und neue Anfor­de­rungen 

Die Zeiten, in denen Softwareanbieter nach dem Verkauf keine Verantwortung mehr trugen, sind vorbei. Denn neue Regulie­rungen und Meldepflichten, wie der Cyber Resilience Act (CRA) in der EU, wollen die Cybersicherheit gerade in der Software Supply Chain verbessern. Ab September 2026 müssen Anbieter ausgenutzte Schwachstellen in ihren Produkten innerhalb festgelegter Fristen melden. Dazu muss bekannt sein, welche Komponenten und Bibliotheken überhaupt in einer Software stecken, um beispielsweise manipulierte Pakete aus den NPM- oder PyPi-Verzeich­nissen zu erkennen. Dazu sind SBOM (Software Bill of Materials) unumgänglich. Doch während der Ansatz klar ist, stellen sich bei der Umsetzung Herausforderungen: 

  • Eine automatisierte Prüfung ist nötig, um die Vielzahl an Abhängigkeiten und Schwachstellen zu managen. 
  • Nicht alle Schwachstellen sind als CVEs (Common Vulnerabilities and Exposures) publiziert, das Naming ist oft uneinheitlich, und die NVD (National Vulnerability Database) ist nicht immer aktuell. 
  • Offene SBOM-Standards wie CycloneDX(öffnet ein neues Fenster) von OWASP und Interoperabilität werden zur Grundvoraussetzung für eine erfolgreiche Schwachstellenprüfung.

Wer Resilienz will, muss also nicht nur technisch, sondern auch organisatorisch und regulatorisch aufrüsten – und bereit sein, Verantwortung für die gesamte Lieferkette zu übernehmen. 

Resilienz im Kontext globaler Cloud-Infrastrukturen 

Die Abhängigkeit von US-Cloud-Providern birgt geopolitische und juristische Risiken für die Daten­sicherheit, was die Vertraulichkeit und Verfügbarkeit der Daten angeht. Um resilient zu bleiben oder zu werden, gibt es technische und organisatorische Optionen. Sie haben ihre Nachteile, die es zu berücksichtigen gilt: 

  • Hold Your Own Key (HYOK): Alle Daten laufen durch einen Verschlüsselungs-Proxy. Das erhöht zwar die Sicherheit, ist aber auch teurer und limitierend. 
  • Confidential Computing: Daten bleiben verschlüsselt und werden erst in der CPU entschlüsselt – aber auch hier gibt es Restrisiken in Form von Sicherheitslücken. 
  • Hybride Architekturen: Damit lassen sich zwar sensible Daten lokal speichern und sichern. Aber es muss sichergestellt sein, dass diese nicht in einer Cloud verarbeitet werden. Beispielsweise, wenn eine Antiviren-Software eine Datei online auf Malware untersucht. 
     

Entscheidend ist, dass Unternehmen ihre Datenströme verstehen und kontrollieren können, um ihre Resilienz aktiv gestalten

Menschliche Resilienz: Zusammenarbeit mit KI

Kann KI in der Cybersecurity helfen, die «Abwehrkräfte» und damit die Resilienz zu stärken? Eine Meta-Studie der ETH Zürich ergab: Teamwork ist nicht immer besser als Mensch oder KI allein. Entscheidend ist, die Aufgaben so zu verteilen, dass Mensch und Maschine jeweils ihre Stärken ausspielen können: 

  • Wenn bei Aufgaben der Mensch besser ist, kann die Zusammenarbeit mit KI die Leistung verbessern. 
  • Wenn bei Aufgaben die KI besser ist, sollte sie übernehmen – aber der Mensch bleibt im Loop. 
  • Der «Match» zwischen KI-Modell und menschlichem Modell ist entscheidend. 
  • Vertrauen in die Systeme und in die eigenen Fähigkeiten ist die Basis für Resilienz. 

Fazit: Resilienz als strategische Superkraft 

Resilienz ist kein Nice-to-have, sondern der entscheidende Faktor, um in einer unsicheren Welt zu bestehen. Wer Resilienz als strategische Superkraft begreift, kann nicht nur Angriffe abwehren, sondern auch Chancen nutzen – und bleibt selbst dann handlungsfähig, wenn das Unerwartete eintritt. Die Swiss Cyber Storm 2025 hat gezeigt: Resilienz ist Teamarbeit, Technik, Organisation und Haltung zugleich. Sie ist die Superkraft, die niemand sieht – und die doch alles entscheidet. 

Threat Detection & Response: modulare Cyberdefense

Mit Threat Detection & Response (TDR) wehren Sie Cyberangriffe auf Ihr Unternehmen ab. Profitieren Sie von einer Cyberdefense mit Managed Security Services.

Mehr zum Thema