Blind Spots und Wunschdenken: Warum echte Datenresilienz den Realitätscheck braucht

Jahrelang haben viele Unternehmen das Thema Datenresilienz auf die lange Bank geschoben. Im Laufe der Zeit hat die Zunahme an Bedrohungen, Vorschriften und Best Practices jedoch die Spielregeln verändert. Datenresilienz steht mittlerweile fest auf der To-Do-Liste vieler Unternehmen – und das ist auch dringend notwendig.

Zeit für ein Umdenken

Problem-Bewusstsein allein ist zwar ein guter Start, aktive Vorbereitung aber eine ganz andere Angelegenheit. Jetzt, da sich branchenweite Standards verbessert und Unternehmen eine genauere Vorstellung davon haben, worauf sie achten müssen, werden viele von ihnen mit einer unangenehmen Tatsache konfrontiert: Sie sind nicht so gut vorbereitet, wie sie es sein sollten. Der von Veeam in Zusammenarbeit mit McKinsey erstellte Bericht über die Datenresilienz in größeren Unternehmen ergab, dass selbst altbekannte Grundlagen wie „Menschen und Prozesse“ regelmäßig als deutlich unzureichend eingestuft wurden.

Wie konnte es dazu kommen? Und wie können Unternehmen diese Defizite beheben? Für Entscheidungsträger in den Führungsetagen ist Resilienz vielleicht nicht das spannendste oder geschäftskritischste Thema. Obendrein wurde Datenresilienz bisher oft mit der allgemeinen Cybersicherheit gleichgesetzt. Waren Maßnahmen für die IT-Sicherheit implementiert, nahm man einfach an, dass die Daten auch widerstandsfähig gegenüber äußeren (oder inneren) Einflüssen sind. Wie bei den meisten Eventualitäten lässt sich der wahre Wert von Datenresilienz leider erst erkennen, wenn etwas schiefgeht. Abgesehen vom CISO behandeln Geschäftsführer Backup- und Wiederherstellungsprozesse oft wie einen Airbag. Man vergisst, dass er vorhanden ist, bis man in einen Zwischenfall verwickelt wird – und ist dann umso dankbarer, dass er da ist.

Nachdem die Strafverfolgungsbehörden gegen einige der bekanntesten Gruppen, darunter BlackCat und LockBit, vorgegangen sind, könnte man annehmen, dass Cyberangriffe insgesamt rückläufig seien. Doch die Realität könnte nicht weiter von dieser Annahme entfernt sein: Im letzten Jahr waren 69 Prozent der befragten Unternehmen mit einem Angriff konfrontiert, wobei 74 Prozent immer noch nicht die Best Practices für die Datenresilienz einhielten. Die Bedrohungslage entwickelt sich ständig weiter: Kleinere Gruppen und neue Akteure füllen schnell Lücken, die Ermittler in den Reihen der Hacker aufmachen. Mit einer neuen Untergruppe von Angreifern kommen auch neue Methoden. Dabei sind schnellere Angriffsmethoden zur Datenexfiltration auf dem Vormarsch.

Es braucht den kritischen Blick auf die eigene Datenresilienz

Der gleiche Bericht von Veeam in Zusammenarbeit mit McKinsey ergab, dass 74 Prozent der teilnehmenden Unternehmen nicht in der Lage wären, sich schnell und sicher von einer Störung zu erholen. Während Lücken in der Cyber-Resilienz oft erst bemerkt werden, wenn es bereits zu spät ist, wurden in diesem Fall viele dieser Mängel von den Unternehmen selbst gemeldet. Das wirft die Frage auf: Wenn Unternehmen sich der Probleme bewusst sind, warum schließen sie ihre Lücken dann nicht?

In einigen Fällen könnte es schlicht an der Tatsache liegen, dass sie gerade erst zu dieser Erkenntnis gelangt sind. Die jüngste Welle von EU-Vorschriften – darunter vor allem NIS2 und DORA – hat das Problem ins Rampenlicht gerückt. Denn sie verlangen von den Unternehmen, ihre Widerstandsfähigkeit in allen Bereichen zu verbessern. Im letzten Jahr mussten diese ihre gesamte Datenresilienz kritisch bewerten, viele zum ersten Mal. Dabei haben sie eine Reihe von unbekannten Schwachstellen aufgedeckt.

Unabhängig davon, wie die Unternehmen ihre Lücken erkannt haben, sind sie nicht über Nacht in Rückstand geraten. In vielen Fällen geschah dies schrittweise, da ihre Standards für die Datenresilienz mit der Einführung neuer Technologien und Anwendungen nicht Schritt hielten. Da die meisten Unternehmen KI nach Belieben implementieren, um der Konkurrenz voraus zu sein und ihre Geschäftsprozesse zu optimieren, sind die Auswirkungen auf ihre Datenprofile weitgehend unbemerkt geblieben. Die schiere Menge an Daten, die von diesen Anwendungen benötigt und generiert wird, hat zu ausufernden Datenprofilen geführt. Diese gehen weit über die bestehenden Maßnahmen zur Datenresilienz hinaus.

In Kombination mit einem unzureichenden Verständnis der modernen Datenresilienz ist dies ein Rezept für ein Desaster. Infolgedessen haben sich viele Unternehmen an den falschen Maßstäben gemessen. Standard-Tabletop-Übungen sind ein guter Start, aber Datenresilienz lässt sich nicht auf dem Papier messen. Theoretisch mögen Prozesse funktionieren, im Ernstfall kann es jedoch ganz anders aussehen.

Cyberkriminelle warten nicht

Was kommt als Nächstes? Anstatt auf einen Vorfall zu warten, der ihr Sicherheitskonzept auf die Probe stellt, sollten sich daran gewöhnen, in dauerhafter Bereitschaft auf einen Vorfall zu sein. Das bedeutet, dass Lücken proaktiv aufgedeckt und behoben werden müssen – egal, wie umständlich das sein mag.

Der erste Schritt für jedes Unternehmen mit einer unterdurchschnittlichen Datenresilienz sollte darin bestehen, sich ein klares Bild vom eigenem Datenprofil zu machen. Sie sollten sich darüber klar werden, über welche Daten sie verfügen, wo sie gespeichert sind und warum sie diese benötigen oder nicht benötigen. Auf diese Weise können sie zumindest einen Teil Ihrer Datenflut reduzieren: indem sie veraltete, redundante oder triviale Daten herausfiltern und sich auf die Sicherung der tatsächlich benötigten Daten konzentrieren.

Doch damit ist die Arbeit noch nicht getan. Sobald neue Maßnahmen zur Datenresilienz eingeführt sind, ist es an der Zeit, sie einem Stresstest zu unterziehen - und das nicht nur einmal. Diese Maßnahmen müssen konsequent und umfassend getestet werden, um sie bis an ihre Grenzen zu bringen – ganz so wie im echten Leben: Cyberangreifer hören nicht einfach auf, wenn die Systeme ein wenig zu knarren beginnen und sie werden auch nicht auf den perfekten Zeitpunkt für eine Attacke warten.

Deswegen sollte man verschiedene Szenarien durchgehen, in denen wichtige Beteiligte im Urlaub oder die Sicherheitsteams mit anderen Aufgaben beschäftigt sind. So deckt man alle potenziellen Lücken in den bestehenden Maßnahmen auf. Das mag übertrieben erscheinen, doch identifiziert man diese Schwachstellen nicht vorher, erfahren Sicherheitsverantwortliche erst während oder nach einem echten Angriff davon.

Es handelt sich zwar um einen erheblichen Arbeitsaufwand, doch Datenresilienz zu erzielen ist jeden Cent wert. Laut dem Veeam-Bericht verzeichnen Unternehmen mit fortschrittlichen Datenresilienz-Funktionen ein um 10 Prozent höheres jährliches Umsatzwachstum als Unternehmen, die in diesem Bereich hinterherhinken.

Das bedeutet nicht, dass eine verbesserte Datenresilienz diese Zahlen auf wundersame Weise in die Höhe treibt, aber die Optimierung wird sich zwangsläufig auf die Prozesse im gesamten Unternehmen auswirken. Eins sollten sich CISOs bewusst machen: Cyber-Bedrohungen werden immer komplexer werden und der Daten-Fußabdruck in absehbarer Zeit nicht kleiner. Dies ist ein Problem, mit dem sich jedes Unternehmen auseinandersetzen muss. Deshalb sollte man lieber jetzt ins kalte Wasser springen, bevor man durch einen Cyberangriff gänzlich von Bord gestoßen wird.