Fokus auf die „Minimum Viable Organisation“

Resilienzkonzept von Beginn gedacht

15. November 2022, 7:00 Uhr | Dominik Bredel/am

Cyberangriffe sorgen inzwischen nahezu jede Woche für neue Schlagzeilen. Betroffen sind Unternehmen und Organisationen aller Größen und aus allen Branchen. Führungskräfte müssen sich daher ernsthaft mit möglichen Folgen einer Cyberattacke auseinandersetzen und die Resilienz ihres Unternehmens erhöhen. Dabei spielt auch das Konzept der „Minimum Viable Organisation" eine Rolle.

Zuletzt traf es Continental: Cyberkriminelle verschafften sich Zugang zu den internen Systemen des Autozulieferers und Reifenherstellers. Doch die Geschäftstätigkeit des Unternehmens war laut eigener Aussage durch die Attacke nicht eingeschränkt. Continental besaß weiterhin die Kontrolle über seine Systeme und es kam zu keinerlei Datenverschlüsselung.

Dieses Beispiel und viele weitere verdeutlichen, dass heute jedes Unternehmen damit rechnen muss, Opfer eines Cyberangriffs zu werden, was zu Schäden bei Umsatz und Reputation führen kann. Und eine veröffentlichte Studie von Bitkom zeigt: Neun von zehn Unternehmen werden Opfer von Datendiebstahl, Spionage oder Sabotage. Und die befragten Unternehmen erwarten einen weiteren Anstieg von Cyberattacken – vor allem auf kritische Infrastruktur.

Umso wichtiger ist es daher, die richtigen Vorbereitungen für den Ernstfall zu treffen, um den Schaden so gering wie möglich zu halten. Disaster Recovery (DR) und Resilienz sind hier die Stichworte. Doch frühere Ansätze und Praktiken reichen heute nicht mehr aus. Es braucht ein Umdenken, um die Resilienz in heutigen IT-Architekturen zu erhöhen.

Silos verhindern ein hohes Maß an Sicherheit

IT-Verantwortliche wenden in der Regel viel Zeit und Geld für ihre Security-Strategie auf. Ihre Entscheidungen wirken sich auf den gesamten Geschäftsbetrieb einschließlich Mitarbeitende und Kunden aus. Doch die Art und Weise, wie die einzelnen Abteilungen IT-Ressourcen nutzen, kann die Resilienz eines Unternehmens erheblich beeinträchtigen.

Eine Systemarchitektur mit vielen Mauern, Silos und Übergaben macht es beinahe unmöglich, Resilienz von vornherein einzuplanen. Zudem kostet es in einem solchen System viel Zeit, einen Ausfall bis zu seiner Ursache zu verfolgen und ähnelte dabei einem Staffellauf zwischen den Abteilungen. Genau diese Silos sind die Achillesferse jeder IT-Resilienzstrategie.

Das Problem der Ausfallsicherheit und Resilienz – ob bei Cloud-Systemen oder nicht – ist kein neues und lässt sich darauf zurückführen, wie sich die IT-Branche entwickelt hat. Statt auf End-to-End-Geschäftsfunktionen zu setzen, hat sie sich in den letzten 30 Jahren in verschiedene Disziplinen aufgeteilt, zum Beispiel Server, Network, Cloud, Applikationen oder Sicherheit. Entsprechend sollte man beispielsweise nicht erwarten, dass automatisch das gesamte System sicher ist, selbst wenn man innerhalb eines in sich gesicherten Cloud-Frameworks arbeitet.