Cyber-Resilienz-Maßnahmen an Bedrohungen anpassen

Herr Puljic, ein Ergebnis ihrer Resilient by Design-Studie ist, dass die Cyber-Resilienz-Strategien veraltet sind und nicht ausreichend Budget erhalten. Welche Gründe sehen Sie dafür?

Sascha Puljic: Die Diskrepanz zwischen dem überwiegenden Vertrauen in die Cyber-Resilienz und der tatsächlichen Umsetzung von Strategien zeigt, dass mangelnde Investitionen einen Reibungspunkt darstellen. Die Mehrheit der IT-Leader verstehen zwar die wachsende Bedeutung eines robusten Cyber-Resilienz-Ansatzes, aber nur ein Drittel in Deutschland glauben, dass dies eine der obersten Prioritäten ihres Managements ist.

Einen Stillstand auf Seiten der Angreifer gibt es nicht. Das bedeutet für Unternehmen leider auch, dass ihre Cyber-Resilienz-Strategie fortlaufend angepasst werden sollte. Dazu muss das Risiko ununterbrochen mit modernsten Maßnahmen erfasst werden. Die Einsicht, dass eine gute Sicherheitslage kein statischer Zustand sein darf, muss sich in der Führungsebene durchsetzen. Besteht kein Einblick in die Risiken, die die aktuelle Sicherheitsinfrastruktur birgt, wägen sich die Entscheider in der trügerischen Sicherheit, gut gerüstet für die Reaktion auf Angriffe zu sein.

Das Thema Resilienz scheint häufig nicht auf der Security-Agenda der Unternehmen zu stehen. Was muss sich ändern und wer trägt die Verantwortung?

Sascha Puljic: Unternehmen sind gut beraten, ihre Cyber-Resilienz-Maßnahmen an die Bedrohungslandschaft anzupassen, um mit den Angreifern zumindest Schritt halten zu können. Und ein solcher Prozess benötigt entsprechende Investitionen, um sich Resilient by Design aufzustellen. Darunter verstehen wir, dass man sich auf Angriffe vorbereitet, um die Auswirkungen einer Kompromittierung einzudämmen und Schaden abzuwenden.

Ein Umdenken muss einsetzen – weg von einem reaktiven „Detect und Response“-Ansatz hin zu einer proaktiven „Identify und Mitigate“-Strategie von Risiken. Dadurch wird die Cyber-Resilienz aufgewertet, die wir als Reaktionsfähigkeit auf Angriffe verstehen. Dazu muss auf jeden Fall der CISO noch stärker in die Cyber-Resilienz-Planung einbezogen werden, als das laut der Studie derzeit der Fall ist. Denn gerade einmal 44 Prozent der IT-Verantwortlichen gaben an, dass ihr CISO aktiv an der Resilienz-Planung beteiligt ist und lediglich ein Drittel der Unternehmen haben ihre Cyber-Resilienz-Strategie in der Resilienz-Strategie ihres Unternehmens verankert. Hier besteht Handlungsbedarf für die Unternehmensspitze, die in der Pflicht steht, die Geschäftskontinuität aufrecht zu erhalten.

Die Gesetzgeber scheinen das Thema erkannt zu haben und “zwingen” mit Regulierungen Organisationen dazu, mehr in Cybersecurity zu investieren. Einige Unternehmen empfinden das als Gängelung.

Sascha Puljic: Regulierte Cyber-Resilienz kommt zum Tragen, wenn Regierungen mit ihrer Gesetzgebung einspringen müssen, damit sich Organisationen Risiko-bewusster aufstellen. Initiativen wie die NIS2-Direktive oder DORA haben also ihre Berechtigung und leisten ihren Beitrag, die Resilienz von Unternehmen zu stärken. Allerdings sollten Unternehmen nicht nur danach streben, die geforderten Mindestmaßnahmen zu erfüllen, sondern sie sollten angesichts der Gefahrenlage danach streben, sich optimal aufzustellen. Dazu muss Cyber-Resilienz zur obersten Priorität des Managements werden, und nicht zur lästigen Pflichtübung. Denn es muss klar sein, dass es ohne Cyber-Resilienz auch keine Geschäfts-Resilienz gibt.

Hilft GenKI Unternehmen bei der Stärkung ihrer Cyberresilienz oder profitieren davon nur die Angreifer?

Sascha Puljic: Die künstliche Intelligenz ist ein zweischneidiges Schwert. Sie kommt bei den Angreifern zum Einsatz, um immer schneller, immer ausgefeiltere Angriffe zu starten und Sicherheitslücken in Unternehmen ausfindig zu machen. Andererseits kann die KI gerade im Bereich der Cyber-Resilienz wichtige Dienste leisten. KI-gestützte Sicherheitslösungen tragen zur Vorhersage von möglichen Vorfällen bei und bieten Unternehmen rechtzeitigen Handlungsspielraum.

Zscaler setzt für seine Risk Management-Lösungen auf Data Fabric for Security und trägt durch das frühzeitige Erkennen von Risiken zur Reduktion von Angriffsszenarien und zum Mitigieren tatsächlicher Angriffe bei. Dazu wird auf die Leistungsfähigkeit der KI-Cloud gesetzt, die Daten konsolidiert, korreliert und sie anreichert, über eigene und externe Quellen und eine einheitliche Plattform für das Risikomanagement bereitstellt.

Gibt es Anwendungsbeispiele, an denen sich der Einfluss von KI sichtbar gemacht werden kann?

Sascha Puljic: Da sich Cyber-Bedrohungen rasant weiterentwickeln, kann KI ebenfalls zum Einsatz kommen, um beispielsweise die Zugriffsrechte von Usern dynamisch an das sich ändernde Risiko anzupassen. Risk-Scoring ermöglicht es Unternehmen, den Zugriff einzelner User auf sensible Anwendungen automatisiert zu beschränken, wenn ein risikoreiches Verhalten festgestellt wird, um damit eine Kompromittierung oder Datenverlust zu unterbinden. Ein solcher proaktiver Ansatz mit Adaptive Access Policies sorgt für den Schutz von Anwendungen und Daten.

Durch solche Maßnahmen können IT-Teams ihre defensive Verteidigungsstrategie verlassen und vorausblickend agieren. Dazu ist allerdings entscheidend, dass die Führungsebene die Konsequenzen einer schwachen oder veralteten Cyber-Resilienz-Strategie erkennt und Maßnahmen für einen Resilient by Design-Ansatz ergreift.

Sascha Puljic

ist Regional Vice President Central Europe bei Zscaler.