Home » Fachbeiträge » Cybersecurity » Der Weg zur kollektiven Cyberresilienz

Zusammenarbeit und Vertrauen im Kampf gegen Cyberkriminalität: Der Weg zur kollektiven Cyberresilienz

Mit der Digitalisierung unserer Wirtschaft und Gesellschaft stehen Unternehmen weltweit vor der Herausforderung, ein komplexes Ökosystem aus Abhängigkeiten wie Internet of Things (IoT), Industrial Internet of Things (IIoT), Cloud Computing, künstliche Intelligenz (KI), Big Data, Blockchain-Technologien und Cybersecurity-Infrastrukturen zu verwalten.

11 Min. Lesezeit
Ritter in Rüstung
Foto: ©AdobeStock/ALL YOU NEED studio

Die Verbreitung von IT, OT und IIoT – in Kombination mit einer wachsenden Bedrohungslage, sich entwickelnden regulatorischen Anforderungen und der zunehmenden Abhängigkeit von Lieferantennetzwerken – unterstreicht die Notwendigkeit einer umfassenden Cyberresilienz im gesamten Ökosystem.

Cyberresilienz ist die Fähigkeit eines Unternehmens, Cyberangriffe abzuwehren, angemessen darauf zu reagieren und sich mithilfe von Wiederherstellungsplänen schnell davon zu erholen. Angesichts der wachsenden Bedrohung durch Ransomware, Phishing und andere Malware ist diese Cyberresilienz von entscheidender Bedeutung. Denn Cyberangriffe führen zu verheerenden Betriebsunterbrechungen, Datenverlusten, Reputationsschäden und erheblichen Vertragsstrafen.

Die große Mehrheit der Unternehmen ist stark auf ein perfekt orchestriertes und komplexes Lieferantennetzwerk angewiesen. Besonders der deutsche Mittelstand, der oft als Rückgrat der Wirtschaft bezeichnet wird, ist in hohem Maße von zuverlässigen Zulieferern und Partnern abhängig, um seine Produktionsprozesse aufrechtzuhalten. Bei sogenannten Supply-Chain-Attacken werden die schwächeren Glieder in der Lieferkette angegriffen, um die gesamte Produktionskette zu gefährden.

So hackten Cyberkriminelle der Qilin-Gruppe im November 2023 den weltweit agierenden Automobilzulieferer Yanfeng. Das Unternehmen fertigt Innenraumkomponenten für Stellantis (Chrysler, Dodge, Jeep und Ram), VW, BMW und Daimler an. Als Folge des Ransomware-Angriffs musste Stellantis gezwungenermaßen die Produktion in mehreren nordamerikanischen Montagewerken für mehr als eine Woche aussetzen.

Im Kontext der Cyberresilienz scheinen individuelle Ansätze daher unzureichend. Diese umfassen unter anderem regelmäßige Schulungen zur Sensibilisierung der Mitarbeitenden für Cyberbedrohungen sowie die Implementierung technischer Maßnahmen wie Firewalls und Verschlüsselung, um die Sicherheit der Systeme zu gewährleisten. Darüber hinaus ist jedoch ein kollektiver Ansatz unerlässlich, um das gesamte Netzwerk der kooperierenden Unternehmen effektiv gegen Cybergefahren zu schützen.

Was ist der Schlüssel zum Erfolg in einer derartigen dynamischen Umgebung? Es ist das digitale Vertrauen. Durch die Annahme eines „ökosystemischen“ Ansatzes, der auf den Prinzipien des digitalen Vertrauens basiert, werden widerstandsfähigere Netzwerke realisiert. Das bedeutet, dass alle Teile des Netzwerks zusammenarbeiten und sich gegenseitig unterstützen, um Angriffe und Ausfälle effektiver abzuwehren. Dadurch wird das gesamte Netzwerk robuster und sicherer.

Ein ökosystemischer Gedankengang kann einen Paradigmenwechsel in der Betrachtung wechselseitiger digitaler Abhängigkeiten bewirken und hat bedeutende Auswirkungen auf die Effektivität der Zusammenarbeit innerhalb des Netzwerkes. Unternehmen, die digitales Vertrauen und Kooperation in ihrem Ökosystem ermöglichen, werden besser in der Lage sein, die vielfältigen und zunehmend komplexen Herausforderungen einer sich ausweitenden Bedrohungslage zu überleben.

Für Resilienz ist ein ganzheitlicher Ansatz gefragt

Um in der heutigen Cyberlandschaft wirklich resilient zu sein, müssen Unternehmen ihre digitalen Ökosysteme als Ganzes betrachten. Denn moderne Unternehmen sind keine simplen, isolierten Einheiten mehr, sondern zunehmend Teil vernetzter Ökosysteme, die übergreifend neue Möglichkeiten für Innovation, Effizienz und Wachstum bieten können. In der heutigen hypervernetzten Umgebung spielt digitales Vertrauen eine zentrale Rolle, da zunehmende Verbindungen bedeutende neue Herausforderungen mit sich bringen und eine entsprechende Transformation der Resilienz erfordern.

Unternehmen sind innerhalb ihrer Lieferantennetzwerke in wachsendem Maße abhängig von Dritt-, Viert- und Fünftparteien. Dabei beziehen sich Drittparteien auf direkte Lieferanten oder Dienstleister, mit denen ein Unternehmen einen Vertrag hat. Viertparteien sind die von diesen Drittparteien beauftragten Subunternehmen, während Fünftparteien wiederum von den Viertparteien engagierte Dienstleister sind.

Diese Kategorisierung hilft Unternehmen, die Komplexität ihrer Lieferketten zu verstehen und potenzielle Risiken zu identifizieren, die von verschiedenen Ebenen der Dienstleister ausgehen könnten. Diese Form der Zusammenarbeit bietet nicht nur erhebliche Vorteile, sondern birgt auch neue Risiken, die verwaltet werden müssen. Laut dem Bericht „Foresight Cybersecurity Threats For 2030“ der Europäischen Agentur für Netz- und Informationssicherheit (ENISA) ist die „Kompromittierung der Lieferkette von Softwareabhängigkeiten“ die größte Bedrohung für Unternehmen.

Da Informationssicherheitsbeauftragte zunehmend die wachsenden Risiken in Lieferketten verstehen, nimmt das Misstrauen und die Ausweitung von Managementkontrollen für Gefahren durch Drittparteien entsprechend zu. Gleichzeitig erkennen Regierungsinstitutionen weltweit ihre signifikante Rolle bei der Stärkung der digitalen Resilienz und der Förderung des digitalen Vertrauens. In einigen der neuesten nationalen Cybersicherheitsstrategien beschreiben nationale Sicherheitsbehörden oder ähnliche Institutionen die Notwendigkeit eines resilienten digitalen Ökosystems, zum Beispiel die US National Cybersecurity Strategy 2023, die UK Government Cyber Security Strategy 2022–2030 und die 2023–2026 Australian Cyber Security Strategy.

Gleichzeitig erhöht der zunehmende Einfluss staatlicher Stellen auf die Resilienz durch Vorschriften wie die neue Network and Information Security Directive (NIS-2) der EU, die Critical Entities Directive (CED), den Digital Operational Resilience Act (DORA) sowie den Cyber Resilience Act (CRA) – den Druck und die Komplexität für Unternehmen.

Mit der sich entwickelnden Bedrohungs- und IT-Landschaft müssen sich auch die Resilienzstrategien entsprechend weiterentwickeln, um die Überlebensfähigkeit der Unternehmen zu gewährleisten. Letztlich haben Konsumierende digitaler Technologien steigende Erwartungen an die Zuverlässigkeit und Vertrauenswürdigkeit ihrer genutzten digitalen Produkte und Dienstleistungen. Einen transparenten Ansatz für digitales Vertrauen zu verfolgen, um den sich wandelnden Erwartungen der Kunden gerecht zu werden, wird für Unternehmen immer wichtiger. Dadurch können sie sich deutlich von der Konkurrenz abheben und ihre Vertrauenswürdigkeit sowie ihre Zuverlässigkeit stärken.

Eine kollektive und langfristige Strategie ist unterlässlich

Da der Informationsaustausch immer wichtiger wird, können vertrauensbildende Technologien, wie zum Beispiel sichere Verschlüsselungsverfahren, eine bessere Zusammenarbeit zwischen Partnern in einem Ökosystem ermöglichen und fördern. Diese Technologien schützen die Privatsphäre und gewährleisten, dass Daten sicher und zuverlässig geteilt werden können, wodurch die Partner effektiver zusammenarbeiten und Vertrauen aufbauen können. Anstelle von rein Compliance-basierten Vereinbarungen wie Service Level Agreements (SLAs) und Data Processing Agreements (DPAs) zwischen Unternehmen würden die beteiligten Partner von der Kooperation profitieren.

Eine ökosystemische Perspektive macht bereits für viele Unternehmen einen großen Unterschied. Nicht nur Weltkonzerne wie Microsoft, Apple oder Google erkennen, dass ihre Prozesse, ihre Effizienz und ihre Wettbewerbsfähigkeit von einer Vielzahl von Lieferanten aus unterschiedlichen Branchen abhängen. Auch im deutschen Mittelstand ist hier vieles in Bewegung.

Teilweise bieten Unternehmen Plattformen an, auf denen die jeweiligen Partner Ressourcen gemeinsam nutzen können, was dem gesamten Ökosystem einschließlich dem Plattformanbieter zugutekommt. In anderen Fällen geht es darum, das komplette Ökosystem widerstandsfähiger zu machen.

Nicht nur ein globaler Chiphersteller oder ein führendes Technologieunternehmen sollte sich darüber im Klaren sein, dass ein (Hightech-)Produktionsprozess vollständig von einer Vielzahl unterschiedlicher Zulieferer abhängt und ein kostspieliger Cyberangriff auf einen dieser Zulieferer das gesamte Geschäft beeinträchtigen kann. Um die Widerstandsfähigkeit des Systems zu erhöhen, wird in vielen Unternehmen des deutschen Mittelstandes begonnen, Ressourcen, die ursprünglich für die eigene Cybersecurity vorgesehen waren, mit seinen Partnern zu teilen und entsprechend umgekehrt von deren Sicherheitsressourcen zu profitieren.

Viele Unternehmen investieren jedoch nach wie vor in ihre eigene Cybersicherheit, bevor sie sich mit der Sicherheit ihrer Zulieferer befassen. Gründe dafür sind begrenzte finanzielle Mittel, Kompetenzen oder Technologien. Doch Vorsicht: Im Gegensatz zu einem langfristig angelegten Ansatz bringt das nur kurzfristige Vorteile, da sich die Bedrohungen ausweiten und komplexer werden können. Aus diesem Grund sollte der Cybersicherheitsansatz von kurzfristigen Optimierungen zu langfristigen Strategien übergehen – von individueller Sicherheit zu kollektiver Resilienz.

Der Aufbau eines wirklich cyberresilienten Ökosystems erfordert eine langfristige Vision und einen strategischen Schritt-für-Schritt-Ansatz:

1. Unternehmen sollten damit beginnen, ihr gesamtes digitales Ökosystem zu modellieren, um die jeweiligen Abhängigkeiten zu visualisieren, auch solche, die ihnen (noch) nicht bewusst sind.

2. Unternehmen sollten anschließend den inneren Kreis ihres Ökosystems zusammenbringen, gegenseitige Abhängigkeiten und Risiken diskutieren und eine klare Vision, Ziele und Strategien festlegen, zu denen sich jedes Unternehmen verpflichten kann.

3. Unternehmen sollten ihr Ökosystem weiterentwickeln und stärken, indem sie digitales Vertrauen aufbauen. Es sollten klare Grenzen und Richtlinien festgelegt werden, innerhalb derer Ressourcen zur Optimierung der Cybersicherheit geteilt werden können. Die Rolle jedes teilnehmenden Unternehmens muss klar definiert sein, und jeder Partner im Ökosystem sollte eine komplementäre Rolle übernehmen.

Diese Rollen können sich im Laufe der Zeit ändern. Der Datenaustausch innerhalb des Ökosystems sowie die Sicherstellung des Vertrauens sind von zentraler Bedeutung. Vertrauensbildende Technologien spielen dabei eine wichtige Rolle.

Das Definieren, Entwickeln und Zusammenbringen der jeweiligen Ökosystempartner bietet keine schnelle Lösung oder kurzfristige Gewinne. Es erfordert Führungspersönlichkeiten mit einer langfristigen Vision und der Fähigkeit, alle Kooperationspartner in einem klaren Plan zu vereinen:

1. Das Abbilden des Ökosystems und der Strategie: Unternehmen sollten alle Abhängigkeiten identifizieren, einschließlich derer von Viertanbietern. Zudem müssen sie eine Ökosystemstrategie mit klaren Zielen entwerfen, indem sie die Partner im Ökosystem zusammenbringen und einen mehrjährigen Plan zur Stärkung und Verwaltung der Cyberresilienz aufstellen

2. Die Auswahl digitaler Ökosystempartner: Jedes Unternehmen hat in einem effektiven Ökosystem eine ergänzende Rolle zu spielen. Unternehmen sollten entscheiden, welchen Partner sie in ihr Ökosystem einbinden und welchen nicht, um eine effektive Zusammenarbeit und positive Ergebnisse zu erzielen.

3. Die Entwicklungsunterstützung des digitalen Ökosystems: Sobald die Unternehmen sich mit ihren Partnern zusammenschließen, können Fachexperten ein sogenanntes Ecosystem-Maturity-Framework erstellen, das die wichtigsten Bausteine für den Erfolg bereitstellt.

4. Die Optimierung des digitalen Ökosystems: Um die Prozesse und Sicherheitsmaßnahmen in ihrem digitalen Ökosystem zu verbessern, sollten Unternehmen einen „Ökosystem-Health-Check“ durchführen, der Beziehungen zu Dritten und der Prozesse in ihrem digitalen Ökosystem bewertet.

Digitales Vertrauen ist die Grundlage für ein widerstandsfähiges Ökosystem

Neben einer soliden Strategie, einer Governance-Struktur und klar definierten finanziellen und rechtlichen Grenzen ist digitales Vertrauen eine der wichtigsten Komponenten eines wirklich cyberresilienten Ökosystems. Expertinnen und Experten haben gemeinsam mit dem Weltwirtschaftsforum (WEF) und anderen Partnern ein globales Rahmenwerk für digitales Vertrauen entwickelt. Das Framework dient als Entscheidungshilfe für Unternehmen und ermöglicht die Entwicklung und den Einsatz vertrauenswürdiger Technologien und damit eine vertrauensvolle Zusammenarbeit im gesamten Ökosystem. Das WEF definiert digitales Vertrauen als die öffentliche Erwartung, dass „digitale Technologien und Dienstleistungen – und die Unternehmen, die sie anbieten – die Interessen aller Beteiligten schützen und gesellschaftliche Erwartungen und Werte aufrechterhalten“.

Grafik Digitales Vertrauen
Bild: KPMG, auf Basis von World Economic Forum

Digitales Vertrauen

 

Das Framework bietet einen Fahrplan für die dynamische digitale Landschaft sowie klare Pläne, um die Anpassungsfähigkeit und Cyberresilienz digitaler Ökosysteme zu optimieren. Der Rückgriff auf ein einheitliches Framework, das gemeinsame Standards und Praktiken bietet, fördert die Zusammenarbeit, die Konsistenz und das Vertrauen in sich ständig weiterentwickelnde Technologien und stärkt gleichzeitig die Abwehrkräfte des Ökosystems gegen potenzielle Bedrohungen. Der digitale Vertrauensrahmen umfasst drei Ziele:

  • Sicherheit und Zuverlässigkeit
  • Rechenschaftspflicht und Aufsicht
  • inklusive, ethische und verantwortungsvolle Nutzung

Diese Ziele sind in acht Dimensionen unterteilt: Cybersicherheit, Sicherheit, Transparenz, Interoperabilität, Überprüfbarkeit, Wiedergutmachbarkeit, Fairness und Datenschutz. Es ist von größter Bedeutung, alle jene Dimensionen zu berücksichtigen, um die drei Ziele des Vertrauensrahmens zu erreichen.

Vertrauen und Zusammenarbeit zwischen den Partnern im digitalen Ökosystem sind unerlässlich, um ein wirklich cyberresistentes Unternehmen zu werden. Der Ökosystem-Ansatz in Verbindung mit dem Digital Trust Framework ist ein guter Ausgangspunkt. Resilienz ist keine Option mehr, sondern in der heutigen, zunehmend komplexen Umgebung von entscheidender Bedeutung. Wenn Unternehmen die Zusammenarbeit in ihrem digitalen Ökosystem auf der Grundlage eines gemeinsamen Verständnisses von Vertrauen aufbauen und fördern, können sie die Ressourcenzuweisung optimieren und Risiken in der Lieferkette in Chancen umwandeln.

Unternehmen, die in ihrem Ökosystem für digitales Vertrauen sorgen, können nicht nur die Herausforderungen einer immer größer werdenden Bedrohungslandschaft meistern, sondern auch langfristig erfolgreicher werden. Wo also beginnen? Dazu folgende Fragen:

  1. Inwiefern nutzt ein Unternehmen digitales Vertrauen, um seine Widerstandsfähigkeit zu stärken und neue Risiken in den Beziehungen zu Dritten und in der gesamten Lieferkette zu mindern?
  2. Welche Erwartungen haben Kunden und Stakeholder in Bezug auf digitales Vertrauen und wie können sie diese heute und in Zukunft erfüllen?
  3. Wie kann digitales Vertrauen als wichtiges Unterscheidungsmerkmal dienen und den Ruf ihrer Marke in Regionen oder Sektoren verbessern, in denen vertrauenswürdige Lösungen die Norm sind?

Wenn Unternehmen sich diese Fragen stellen und ihre Bemühungen gegenüber Stakeholdern und Kunden offenlegen, können sie ihre Anstrengungen zur Optimierung der digitalen Resilienz
innerhalb des Ökosystems demonstrieren.

Fazit

Mit der Zunahme digitaler Abhängigkeiten, die sowohl die Risiken als auch das Misstrauen exponentiell verstärken, steigen die Ausgaben für die Cybersicherheit. Dies erfordert einen Paradigmenwechsel hin zu einer modernen Perspektive, die über die konventionellen Ansätze zum Schutz unserer zunehmend vernetzten Umgebungen hinausgeht.

Unternehmen sollten sich stärker darauf konzentrieren, durch einen kollektiven Ansatz widerstandsfähiger zu werden, der über die Sicherheit einzelner Unternehmen hinausgeht. Visionäre Führungspersönlichkeiten im Bereich der Cybersicherheit sollten die langfristige Strategie mit ihren Partnern im Ökosystem festlegen und auf persönlicher Ebene Vertrauen aufbauen, indem sie das Potenzial von Vertrauenstechnologien nutzen. Nur dann werden wir in der Lage sein, effizient widerstandsfähige digitale Gesellschaften zu erschaffen.

Porträt Florian Thiessenhusen

Florian Thiessenhusen, Senior Manager Cyber Security KPMG AG, ist seit über 20 Jahren im Bereich der Cyber Security tätig und hat umfangreiche Erfahrungen in allen Facetten dieses kritischen Feldes gesammelt. Derzeit liegt sein Fokus bei seinem aktuellen Arbeitgeber auf der Wiederherstellung nach Cyber-Angriffen sowie der Prävention solcher Vorfälle.

Porträt Jim Boevink

Jim Boevink, Senior Consultant Cyber Security KPMG Niederlande, kommt aus dem öffentlichen Sektor. Er hat sich auf das Konzept digitaler Ökosysteme spezialisiert und übersetzt dieses Wissen in den Cyber-Bereich. Er verfügt außerdem über Fachkenntnisse in den Bereichen Business Continuity Management, Risikomanagement und Strategieentwicklung.

Mit freundlicher Unterstützung von Augustinus Mohn, Senior Manager Cyber Security KPMG Niederlande, und Annemarie Zielstra, Partnerin Cyber Security KPMG Niederlande

Andere interessante Fachbeiträge

Mann nutzt ChatGPT auf Laptop

Mit ChatGPT zum ISMS

Die NIS-2-Richtlinie hat in Deutschland Handlungsdruck geschaffen. KI-gestützte Lösungen wie ChatGPT werden zur unverzichtbaren Ressource, wenn Berater fehlen. Von der Erstellung b...

AI-Projekte

KI-Projekte sicher und erfolgreich umsetzen

Unternehmen, die erfolgreich künstliche Intelligenz (KI) implementieren, können unter anderem Effizienzsteigerungen, Kostenreduktionen und Wettbewerbsvorteile erzielen. Allerdings ...

DevSecOps-Konzept

Kein DevOps ohne Sec

Kürzere Time-to-Market, mehr Qualität und Innovation – DevOps hat sich in der Softwareentwicklung bewährt. Doch die agile Methode stellt aufgrund ihrer Geschwindigkeit und oft mang...