Cyber-Resilienz: Komplexität als Gefahr : Eine Zscaler-Studie zeigt: Veraltete Architekturen, fehlende Strategien und Budgetlücken gefährden die Widerstandsfähigkeit von Unternehmen im Cyberraum

Laut einer aktuellen Studie des Sicherheitsanbieters Zscaler (Unlock the Resilience Factor) sehen viele IT-Verantwortliche die Komplexität der IT- und Sicherheitsinfrastruktur als zentrales Hindernis für Cyber-Resilienz. 43 Prozent von 1.700 IT- und Sicherheitsverantwortlichen weltweit stufen die Herausforderung als Haupthürde für die schnelle Reaktionsfähigkeit auf schwerwiegende Cyber-Ereignisse ein. Damit rangiert die Komplexität gewachsener Architekturen noch neun Prozentpunkte vor veralteter Sicherheitstechnologie. Diese Umfrageergebnisse unterstreichen die dringende Notwendigkeit für Organisationen, ihre Sicherheitsstrategien zu überdenken und sich per Design auf eine bessere Resilienz einzustellen.

Wahrnehmung und Realität klaffen auseinander

Trotz der Hindernisse ist fast die Hälfte der deutschen IT-Führungskräfte (44 Prozent) der Meinung, dass ihre Infrastruktur sehr widerstandsfähig aufgebaut ist. Ob diese Wahrnehmung von Resilienz gerechtfertigt ist, lässt sich nur durch den Abgleich mit erprobten Strategien und realen Vorfällen beurteilen. Die große Lücke zwischen Wahrnehmung und Realität wird offensichtlich angesichts des Eingeständnisses von 45 Prozent der Befragten, ihre Cyber-Resilienz-Strategie in den letzten sechs Monaten nicht überprüft zu haben. Angesichts der raschen Entwicklung von Cyber-Bedrohungen im Zeitalter der künstlichen Intelligenz und der ständigen Veränderungen in den IT-Umgebungen kann das Versäumnis kontinuierlich auf dem Laufenden gehaltener Reaktionspläne dazu führen, dass Unternehmen nicht auf Angriffe oder größere Ausfallszenarien vorbereitet sind.

Die Bedeutung der Integration der Cyber-Resilienz in eine umfassendere Strategie zur organisatorischen Widerstandsfähigkeit darf nicht unterschätzt werden. Da die Cybersicherheit heute für den Geschäftsbetrieb von grundlegender Bedeutung ist, muss auch die Cyber-Resilienz neben der Planung von finanziellen, operativen und Reputationsrisiken berücksichtigt werden, um eine Kontinuität des Betriebs im Fall von Ereignissen zu gewährleisten.

Zwischen Anspruch und Wirklichkeit: Investitionslücke bei Cybersicherheit

Die Studie zeigt zudem eine Diskrepanz zwischen dem Vertrauensniveau und den aktuellen Strategien auf. Mangelnde Investitionen der Unternehmensführung stellen einen wichtigen Reibungspunkt dar. Die Mehrheit der IT-Entscheider versteht laut Studie die wachsende Bedeutung eines robusten Cyber-Resilienz-Ansatzes, aber nur eine Minderheit von 33 Prozent glaubt, dass dies eine der obersten Prioritäten ihres Managements ist. Diese mangelnde Priorisierung spiegelt sich in der Höhe des Budgets wider, das für Cyber-Resilienz-Strategien bereitgestellt wird, wobei etwa die Hälfte der Befragten (49 Prozent weltweit, in Deutschland 52 Prozent) der Meinung ist, dass die Höhe der Investitionen dem steigenden Bedarf nicht gerecht wird.

Begrenzte Investitionen in die Cyber-Resilienz bleiben also trotz steigender Sicherheitsbudgets insgesamt eine Herausforderung. Und dass obwohl die Studie den Beleg liefert, dass der Handlungsbedarf groß ist. In den letzten sechs Monaten gaben 45 Prozent der Befragten weltweit an, dass ihre Organisation einen Cyber-Vorfall erlebt hat, wobei die höchsten Raten in Schweden (71 Prozent) und Deutschland (53 Prozent) gemeldet wurden.

Führungskräfte rechnen auch in naher Zukunft mit Schwierigkeiten. 63 Prozent der deutschen Entscheider gehen davon aus, dass es innerhalb der nächsten zwölf Monate zu einem schwerwiegenden Cybersicherheitsvorfall kommen wird. Das ist sowohl auf die schiere Menge an Cyberangriffen als auch auf die zunehmende Erkenntnis zurückzuführen, dass Cloud-Dienste nicht vor Störungen und Ausfällen gefeit sind. Obwohl die Erwartungshaltung hinsichtlich Angriffen je nach Region variieren – von 68 Prozent in Schweden bis zu 33 Prozent in Frankreich und Großbritannien sowie Irland – deuten die Studienergebnisse darauf hin, dass viele Unternehmen Investitionen in Cyber-Resilienz zunehmend als unverzichtbar ansehen.

Resilience by Design als Ausweg

Ein Ansatz zur Verbesserung der Reaktionsfähigkeit ist laut Zscaler die Einführung einer modernen Zero-Trust-Architektur. Zunächst lässt sich durch einen cloudbasierten Zero-Trust-Ansatz die Komplexität der IT- und Cybersicherheit reduzieren und damit das Haupthindernis für mangelnde Cyber-Resilienz beseitigen – auch wenn dessen Einführung selbst mit erheblichem Aufwand verbunden ist. Durch die Abschaffung traditioneller Sicherheitsabhängigkeiten von Firewalls und VPNs wird nicht nur die Angriffsfläche einer Organisation reduziert, sondern es werden auch der Betrieb optimiert, die Infrastrukturkosten gesenkt und die IT-Agilität verbessert. Zero Trust ermöglicht es Sicherheitsteams, sich auf strategische Initiativen zu konzentrieren, anstatt manuell aufwendige, veraltete Sicherheitskontrollen aufrechtzuerhalten.

Der zweite Vorteil besteht darin, die Seitwärtsbewegung von Angreifern innerhalb der Infrastruktur zu erschweren, falls es an einem Endpunkt zu einer Kompromittierung gekommen ist. User werden überprüft und erhalten die geringstmöglichen Zugriffsberechtigungen innerhalb der IT-Umgebung, sodass sich die Auswirkungen von Ransomware und anderen Quellen für Datenverluste eindämmen lassen.

Das Risiko eines Cloud-Ausfalls aufgrund natürlicher oder menschlicher Störungen, einschließlich Cyberangriffen und Sabotage, bleibt bestehen. Kaufentscheidungen für Cloud-Dienste werden oft eher vom Funktionsumfang als von Ausfallsicherheit bestimmt. Ein differenzierter Ansatz ist erforderlich: Während ein vierstündiger Ausfall einer internen HR-Plattform tolerierbar erscheint, könnte dieselbe Störung eines Kommunikationssystems katastrophale Auswirkungen haben.

Vorbereitung ist entscheidend: Schwachstellen frühzeitig erkennen

Unabhängig von Sicherheitsvorkehrungen sollten bei regelmäßigen Übungen im Rahmen von Notfallplänen zweimal jährlich Rollen, Verantwortlichkeiten und Kommunikationsprotokolle getestet werden, um die Teams auf potenzielle Ausfälle vorzubereiten. Auf diese Weise lassen sich Schwachstellen ermitteln, die bereits vor einem tatsächlichen Ausfallszenario behoben werden können. Viele Fachleute empfehlen, über rein reaktive Sicherheitsmaßnahmen hinauszugehen und Resilienz aktiv ins Sicherheitskonzept zu integrieren. Durch die Einbettung von Resilienz in ihre Cybersicherheits-DNA lassen sich mithilfe von Zero Trust, das Einbeziehen von Drittparteienüberprüfung und kontinuierlichen Übungen Betriebsabläufe effizienter vor unvermeidlichen Störungen schützen.

Autor

Rob Sloan ist VP Cybersecurity Advocacy bei Zscaler.