Business Continuity Management : Response und Recovery: Zwei Phasen, ein Ziel : Wie Response und Recovery gemeinsam die IT-Resilienz sichern

Es ist der Worst Case und dennoch ist die Vorbereitung darauf unerlässlich: tritt ein schwerwiegender Cyberangriff im Unternehmen auf, bleibt keine Zeit fürs Reden, sondern nur für das Umsetzen vordefinierter Abläufe. Jedes Krisenmanagement ist auf eine proaktive Planung angewiesen, besonders wenn es um die Bewältigung der kritischen Phasen geht – der Response-Phase, in der das Unternehmen auf den Angriff reagiert, und der Recovery-Phase, in der die Systeme wieder vollständig hergestellt und optimiert werden. Oft wird von Entscheidern immer noch unterschätzt, wie schnell negative Publicity entsteht, wenn Unternehmen in diesen Phasen zu träge reagieren und Informationen nicht transparent mit ihren Stakeholdern teilen.

Wie wichtig die kontinuierliche Vorbereitung auf Cyberangriffe ist, zeigt sich in den statistischen Daten. In einer aktuellen Studie des TÜV gaben 15 Prozent der befragten Unternehmen an, im Jahr 2024 von sicherheitsrelevanten Vorfällen betroffen gewesen zu sein. In Befragungen des Digitalverbands Bitkom aus 2024 bestätigten 81 Prozent, schon einmal von Cyberangriffen betroffen gewesen zu sein – zwei Drittel bewerteten sie als existenzbedrohend. Diese angespannte Sicherheitslage sollte Grund genug dafür sein, sich mit Response und Recovery auseinanderzusetzen.

Parameter für eine wirksame Reaktionsfähigkeit

In der Response-Phase eines Incidents kommt es bekanntlich vor allem auf eine hohe Reaktionsgeschwindigkeit an, um den Angriff frühzeitig zu stoppen und damit den Schaden und die Anforderungen an die Recovery möglichst zu begrenzen. Auch wenn das vielen Entscheidern mittlerweile bewusst ist, so wirft es dennoch die Frage des „Wie“ auf. Die ehrliche Antwort ist, dass es kein Patentrezept gibt, das als Blankosheet in jedem Unternehmen implementiert werden kann. Aber es gibt einige Parameter, die fast immer eine wichtige Rolle bei der Entwicklung einer Response-Strategie spielen.

• Früherkennung: Je länger Kriminelle unbemerkt in den Systemen agieren können, umso größer ist das Schadensrisiko. Die Früherkennung ist deshalb ein entscheidender Faktor für das Response-Management. Sie kann durch 24/7-Monitoring und ein geschultes SOC-Team gestärkt werden, das aus der Vielzahl der Alerts die kritischen Fälle isolieren kann. Je höher das Grundrauschen ist, umso entscheidender ist eine effektive Kategorisierung der Fälle.
• Koordination: Im Fall der Fälle braucht es einen bewährten Business Continuity Plan (BCP), mit dem alle Verantwortlichen vertraut sind. Oft wird hier der Fehler gemacht, dass der BCP nicht kontinuierlich aktualisiert wird. Doch es ist wichtig, regelmäßige Gespräche darüber zu führen, wie sich die Bedrohungslage und die Unternehmens-IT entwickeln. Ein Plan von anno dazumal kann diese Anforderung nicht erfüllen. Jeder BCP sollte zudem auf einer Impact-Analyse basieren, in der die Rollen und Zuständigkeiten festgelegt sind und die Priorisierung der kritischen Systeme definiert wird. Das ist auch eine wichtige Grundlage für eine schnelle Recovery.
• Ressourcen: Um kritische Sicherheitslagen schnell lösen zu können, sind SOC-Teams darauf angewiesen, schnell ihre Ressourcen zu skalieren: sie müssen betroffene Systeme isolieren, Sicherheits-Patches implementieren und Umgehungslösungen aktivieren. Dafür bedarf es kurzfristig viel Manpower, was sich betriebswirtschaftlich meist nur durch die Zusammenarbeit mit SaaS-Providern abbilden lässt.
• Regelkreise: Die sorgfältige Dokumentation jedes Vorfalls – inklusive der Zeitpunkte, den beteiligten Personen und ergriffenen Maßnahmen – schafft nicht nur Transparenz, sondern bildet auch die Grundlage für die Qualitätssicherung und Optimierung der Systeme. Nur durch eine regelmäßige Auswertung kann der BCP optimiert werden.
• Software: Der Einsatz von automatisierten Response-Tools, die eine effektive Eskalationsmatrix ermöglichen, und KI-basierten Analytic-Tools stärkt die Schlagkraft von SOC-Teams: Muster lassen sich effektiver erkennen und Risiken besser einschätzen. Dadurch wird die technische Unterstützung zum Rückgrat für eine schnelle Incident-Response.

Response-Management sichert ein schnelles Recovery

Die Response-Phase ist ein entscheidender Moment, in dem sich zeigt, ob der BCP mehr graue Theorie oder ein praxiserprobtes Mittel der Gefahrenabwehr ist. Schneller als oft gedacht, wird der Umgang mit dem Angriff in die Öffentlichkeit gelangen. Um möglichst wenig Schaden in der Beziehung zu den eigenen Stakeholdern, wie beispielsweise den Kunden oder Lieferanten, zu verursachen, kommt der Response eine so zentrale Rolle in der Cybersicherheit zu. Eine unzureichende Response kann schnell ein geschäftskritisches Ausmaß einnehmen. Und sie erschwert die Einleitung der Recovery-Phase.

In der Recovery-Phase wird der Prae-ante-Zustand vor dem Incident wiederhergestellt. Wenn das BCP über Feedback-Loops verfügt, können jederzeit auch Verbesserungen erkannt und umgesetzt werden. Denn das Ziel des Recovery ist nicht einfach nur das Beheben einer Störung, sondern die Wiederherstellung der Funktionstüchtigkeit der IT-Systeme – und das sollte auch bedeuten, dass Schwachstellen eliminiert werden.

Rahmenbedingungen für das Recovery

Wie bei jeder Rehabilitationsmaßnahme sollten Verantwortliche auch bei dem Recovery einem klar definierten Ablauf folgen, der kritische Systeme identifiziert und Zuständigkeiten regelt. Je besser allen Beteiligten bewusst ist, welche Rollen und Aufgaben ihnen zufallen, umso schneller kann die Rückkehr zur Normalität erreicht werden.

• Priorisierung: Kritische Systeme first – das Mantra bei dem Recovery zeigt deutlich: nicht alle Systeme sind gleich wichtig, um den Geschäftsbetrieb. Bei der Priorisierung können sich Verantwortliche an Recovery Time Objectives (RTOs) und Recovery Point Objectives (RPOs) orientieren, die das Minimum Business Continuity Objective (MBCO) und den Datenverlust für jedes System festlegen.
• Datensicherung: Der Schutz der Daten im Unternehmen muss höchste Priorität haben. In der Praxis bedeutet das: ohne Backup-Systeme und Cloud-Lösungen riskieren Verantwortliche den Verlust ihrer Arbeitsfähigkeit. Bei der Wiederherstellung sollte die Integrität der Daten geprüft werden, um sicherzustellen, dass die wiederhergestellten Informationen korrekt, vollständig und frei von Beschädigungen sind.
• Belastungstests: Nach der Wiederherstellung müssen Verantwortliche strenge Belastungstests durchführen, um die Funktionstüchtigkeit der Systeme dauerhaft sicherzustellen. Anschließend sollte eine gründliche Analyse erfolgen: War die Reaktion schnell genug? Konnten die Vorgaben der Wiederherstellung eingehalten werden? Diese Erkenntnisse müssen in den BCP einfließen, um einen Lernerfolg sicherzustellen.
• Software: Durch den Einsatz cloudbasierter SaaS-Systeme können Unternehmen ihre Daten zuverlässig extern sichern. Das verringert die interne Komplexität und beschleunigt die Wiederherstellungsprozesse.

Langfristige Widerstandsfähigkeit aufbauen

Response und Recovery gehen Hand in Hand. Wenn Verantwortliche sie nicht isoliert betrachten, sondern als integralen Teil einer Gesamtstrategie begreifen, legen sie damit die Grundlage für echte Resilienz. Erfahrungen aus dem Recovery fließen dann in die BCP ein und können damit wiederum die Response stärken. So ergibt sich ein Kreislauf, bei dem Unternehmen aus Cyberincidents einen Mehrwert generieren können: indem sie diese Situationen nutzen, um sich besser auf zukünftige Bedrohungen vorzubereiten.

Autor

Gerald Eid ist Regional Managing Director DACH bei Getronics.