KI, NIS2 und (nicht nur) die Frage der Cyber Resilience
KI-gestützt sorglos durch cyberresilientes Business Continuity Management? NIS2 und DORA fordern mehr Investition in Cyber Resilience von Unternehmen. Ein proaktiver Cyber-Resilience-Ansatz schont Ressourcen und hilft, Business Continuity im Zeichen von Ransomware sicherzustellen. Dabei erwarten wir uns heute umso mehr von KI.
Cyber Resilience ist erstmals gemäß der neuen Richtlinien nicht länger „nice-to-have“, sondern wird nunmehr zum Schlüssel für mehr Cybersicherheit. Zeit, sich einzugestehen: Cyber Security ist nicht Cyber Resilience – und reicht heute nicht mehr aus. Cyberangriffe können das BCM in dem Moment aushebeln, wo es den Angreifern gelingt, auch das Backup unbrauchbar zu machen – unsere „last line. of defense.
Mit einem KI-Ansatz erhofft sich so manches Unternehmen vereinfachte Lösungen, um bekannte Muster in der Datensicherung zu suchen und in der Sicherheit effizienter zu werden.
Mit den neuen Richtlinien bedarf Cyber Resilience nun gezielt eigener Ressourcen und Handlungskompetenzen zur Umsetzung. Zugleich bietet mehr Cyber Resilience künftig neue Chancen für Unternehmen, sich im Wettbewerb zu positionieren.
Ressource KI: BCM automatisiert vor Risiken aus dem Backup schützen
Moderne IT-Systeme unterliegen heutzutage ständiger Veränderung und Optimierung. Aus Security-Gesichtspunkten ist nicht die Verfügbarkeit eines Systems entscheidend, sondern dass es kontinuierlich verbessert, überwacht und getestet wird. Diese Maßnahmen stärken die Resilienz eines Systems. „Für einen Basisinfrastruktur-Dienst, wie das Backup, gibt es noch weitere KPIs zu definieren, wie
- Recovery Point Objective (kurz RPO, wie viele Daten verliere ich im Restore Fall)
- Recovery Time Objective (RTO, wie lange dauert eine Wiederherstellung).
Doch wie verändern sich diese Werte im Lifecycle der Backup-Umgebung, wie schnell ändern sich Anforderungen? Und können die vereinbarten SLAs jederzeit eingehalten werden?
Diese Fragen können heutzutage kaum durch klassisches Monitoring ausreichend beantwortet werden. Regelmäßige Restore Tests sind leider oftmals nicht möglich, da der Aufwand hoch und die Ressourcen knapp sind. Der Einsatz KI-basierter Technologien kann diesen Problemen effektiv entgegenwirken: Anomalien im Systemverhalten fallen schneller auf, Systeme werden untereinander besser vernetzt, komplexe Restore-Tests automatisiert durchgeführt und dokumentiert. Durch diese zusätzlichen Metadaten werden Bottlenecks schneller erkannt und Lücken im DR-Plan identifiziert und eliminiert. Doch moderne Cyber Resilience-Lösungen können viel mehr.
Recovery Assurance
Damit werden Systeme bezeichnet, die regelmäßige Restores von komplexen Applikationen oder ganzen Geschäftsprozessen automatisieren. Hier können Verknüpfungen in einer Orchestrierungsoberfläche erzeugt und die Restore-Tests abhängig der Business-Logik regelmäßig in isolierten Sandbox-Systemen durchgeführt werden. Diese Tests liefern Daten über die Restore-Performance und verifizieren die Ergebnisse. Abweichungen von vorangegangen Tests werden automatisch bewertet und bei Überschreitung von Grenzwerten als Alarm gemeldet.
Data Classification
Alle Assets im Backup System werden entsprechend ihrer Kritikalität und gesetzlichen Anforderungen konform verwaltet. KI liest Metadaten, Berechtigungen und indiziert den Datenbestand kontinuierlich. Auf Knopfdruck können alle Assets ermittelt werden, auf welchen sensible Personaldaten gespeichert sind oder deren Dateiberechtigungen kürzlich verändert wurden.
Ransomware-Erkennung
Cyberkriminelle sind erfolgreicher, wenn das Opfer keine unverschlüsselte Kopie der Daten mehr hat. Somit ist die Zerstörung oder Manipulation von Backups fester Bestandteil eines Cyberangriffs. KI-basierte Analysen der Backup Ereignisse zeigen Anomalien in Sicherungsdauer, in Veränderungen von Datenstrukturen bis hin zur Erkennung von Malware-Dateien in Sicherungen. Somit kann das Security Team laufende Attacken mit dem Ziel der Manipulation von Datensicherungen erkennen und entsprechend reagieren.
Warum Cyber Security ohne Cyber Resilience nicht mehr auskommt
Mit Blick auf das NIST Framework sind fünf aufeinander aufbauende Maßnahmenpakete für eine ganzheitliche Cyber Security-Strategie notwendig: Identify, Protect und Detect haben zum Ziel, Angriffe abzuwehren bzw. zu minimieren. Hierunter fallen Maßnahmen wie Firewalls, EDR/XDR Tools, Zero Trust und Netzwerksegmentierung. Alle Maßnahmen dienen der aktiven Abwehr und Schutz der primären Infrastruktur.
Respond und Recover werden heutzutage auch als Cyber Resiliency bezeichnet. Diese Maßnahmen beschäftigen sich mit dem Weiterbetrieb oder der Wiederherstellung von Geschäftsprozessen im Falle eines erfolgreichen Angriffs. Davon auszugehen, dass ein Angriff irgendwann erfolgreich an der Cyber Security vorbei kommt, ist für Cyber Resiliency maßgeblich. Die neue NIS2-Richtlinie beschäftigt sich deshalb primär damit, dass Organisationen und Unternehmen ihre Resilienz künftig kontinuierlich evaluieren, dokumentieren und verbessern. Sich also mit dem Ernstfall aktiv auseinandersetzen, Notfallpläne erstellen, Mitarbeiter schulen und Übungen durchführen.
Durch NIS2 müssen folgende Fragen beantwortet werden:
- Welche sind die unternehmenskritischen Applikationen und Daten?
- Wie stellt man sicher, dass Datensicherungen nicht zerstört/manipuliert werden?
- Wie lange dauert es, einen Geschäftsprozess wieder in Betrieb zu nehmen?
- Wann ist der richtige Wiederherstellungspunkt?
Oben beschriebene Recovery Assurance, Data Classifi cation und Ransomware-Erkennung helfen, diese Fragen zu eruieren: proaktiv durch Erkennung von Anomalien oder Malware, sowie reaktiv, indem Metadaten und Sicherungsstände zu forensischen Untersuchungen genutzt werden können. KI gibt in Echtzeit Antworten auf diese Fragen und hilft bei der performanten Bereitstellung des letzten „sauberen“ Backups.
BCM, NIS2 und Cyber Resiliency – strategische Themen, jetzt und in Zukunft
Die Themen BCM und Cyber Resilience werden auch in Zukunft essentielle Bestandteile der Unternehmens-Strategie sein. Regulatorische Anforderungen – wie NIS2 und DORA, Datenmengen, Prozesse und Abhängigkeiten von IT-Systemen wachsen stetig weiter – und somit die Risiken für einen potenziellen Ausfall. Die Frage ist dabei nicht, OB, sondern WANN es zu einem Störfall kommt.
Andreas Wagener und Markus Stumpf leiten die Bereiche Data Protection Consulting und Data Protection Services der Empalis Consulting.