Ransomware und Malware-Attacken überleben durch Cyber Resilience

Advertorial

Schlüsselkompetenz für Risk Management und die Business Continuity in Zeiten von NIS2 und DORA 

Cyber Resilience galt lange Jahre nicht als so entscheidend, wie Cyber Security. Das Heilsversprechen, die Trutzburg hochzuziehen, zu verteidigen und so Cyberangriffe abzuwehren, hat jedoch in den letzten Jahren nachweislich an Kraft verloren. Denn europaweit und global werden weiter zunehmende Angriffe verzeichnet – und das, obwohl Cyber Security-Maßnahmen und ganze Spezialteams das Thema betreuen. So auch in Deutschland. Viele Studien, darunter die Bitkom-Studie 2024 und erste Erhebungen aus 2025, unterstreichen die weiter anwachsende Bedrohung. 2024 erfolgten analoge und digitale Cyber Incidents mit einem Schaden von 266,6 Milliarden Euro allein in 2024 aus Diebstahl, Industriespionage oder Sabotage. (Bitkom 2024:4)

Cyber Resilience ist Sache des Risk Managements und der Business Continuity

Datenbestände an sich können nur durch die sie verwaltenden Prozesse resilient gegen Angriffe abgesichert werden. Cyberresilient zu sein, versteht das BSI als die Fähigkeit, vorzubeugen, abzuwehren, und einen Angriff erfolgreich zu überstehen. Erstere beiden Maßnahmenbereiche sind in der IT-Security lange bekannt und praktiziert, oft weiterhin stärker gewichtet als der dritte Bereich, den NIS2 und DORA jedoch gezielt fokussieren. Denn die ersten beiden Hürden kann ein Angreifer überwinden – und dann ist die Fähigkeit zur Wiederherstellbarkeit gefragt.

Risk Management und Business Continuity Management haben daher die Aufgabe, wie einen Notfallplan, „saubere“ Backups und regelmäßige Desaster Recovery (DR-) Tests nicht aus dem Blick zu verlieren. Das National Institute of Standards and Technology (NIST) veröffentlichte 2014 die erste Version des NIST-Cyberframeworks (CSF), auf das sich die Empalis seither auch im Aufbau ihrer Backup-Architekturen bei Kunden bezogen hat. Die vor einem Jahr veröffentlichte Folgeversion 2.0  setzt den Fokus nun stärker auf das organisationale Profil eines Cybersecurity Frameworks in Unternehmen, um insbesondere ihre Risk Communication und ihr Risk Management aus der Sicht von Resilienzfaktoren zu verbessern.

Die NIST Funktionsbereiche Govern, Identity, Protect, Detect, Respond, Recover  beschreiben, wie das Risk Management administrative, technische und physische Schutzmaßnahmen methodisch umsetzen kann, um sensible Daten angemessen und geschützt zu verwalten.

NIS2 und DORA: Gesetzeslage und der Überblick, was zu tun ist

Mit Blick auf die Umsetzungskataloge, die aus dem NIS2-Umsetzungsgesetz abgeleitet werden, bietet das NIST-Framework praktische Orientierung für NIS2 und DORA. OpenKritis hat die notwendigen To Do’s für KRITIS-Betreiber im deutschen Sprachraum im Jahr 2025 hier zusammengefasst.

Wenn auch NIS2 für Deutschland aufgrund des Koalitionsbruchs vorerst nicht wie geplant verabschiedet wurde, wäre es ein grob fahrlässiger Fehler, jetzt untätig zu bleiben. Denn die Gesetzgebung wird kommen. So lange gilt die für alle EU-Staaten rechtsbindende EU-Richtlinie. Sie gibt den Mindestrahmen vor. Vertragsverletzungsverfahren sind bereits in den Ländern eingeleitet, die sich bislang nicht an die Richtlinie gehalten haben.

Fazit: Setzen Sie klare Ziele und gehen Sie strategisch vor

Ein strukturiertes Vorgehen hilft dabei, zu prüfen, ob die Prozesse im Unternehmen den Vorgaben entsprechen oder wo noch Lücken geschlossen werden sollten. Das NIST-Framework hilft dabei, alle Bereiche der Cyber Resilience zu beantworten. Um Cyber Security in diesem erweiterten Rahmen zu schaffen, bietet NIST jedoch keine reine Checkliste über Maßnahmen, sondern alle Maßnahmen variieren je Organisation und Anwendungsfall, sowie auch die für die jeweiligen Maßnahmen Verantwortlichen.

Es braucht daher eine klare Zielsetzung und Strategie für das Risk Management, die etabliert, kommuniziert und kontinuierlich überwacht werden muss. Die Anforderungen im eigenen Unternehmen umzusetzen, ist ein individueller Vorgang, der nicht per „Schablone“ vorwegzunehmen ist. Entsprechend stehen Unternehmen vor jeweils spezifischen Aufgaben, die sie lösen müssen.

Aus dem Kreis unserer Kunden kam ein Finanzdienstleister mit dem Anliegen auf uns zu, das komplette Cyber Resilience Assessment in fünf Tagen vollumfänglich durchzuarbeiten. Dieser Kunde ist mit dem Vorgehensmodell, während der Durchführung die Aufgaben zu identifizieren und auszuarbeiten und auch zu terminieren, sehr zufrieden. Besonders die Kompaktheit hat ihn überzeugt. Ein Bildungskonzern hatte zwar bereits Schritte mit einem anderen Dienstleister umgesetzt, lässt das erstellte Notfallhandbuch aber derzeit von unseren Beratern prüfen, um mögliche relevante Lücken zu finden und mögliche Strafen zu vermeiden.

Ein weiterer Kunde aus dem Banking Sektor hat bei uns angefragt, was zur Umsetzung von DORA im Bereich cyberresiliente Backups noch zu tun sei, da er die Expertise dazu nicht im Haus hat und zudem eine technische Evaluierung im Raum stehe.

Wir von der Empalis haben in Zeiten von NIS2 und DORA unseren Empalis Health Check hin zu einem Assessment für das Management weiterentwickelt, da eine rein technische Betrachtung von Cyber Resilience unter heutigen Bedingungen nicht mehr ausreichend ist.

Heutzutage verschmelzen Cyber Resilience-Lösungen mit Cyber Security, etwa durch Integration in das vorhandene SoC (Security Operations Center) oder proaktiver Abwehr durch Threat Hunting und Malware Detection in den Sicherungsbeständen. Was uns in der Sicht bestätigt, die wir schon viele Jahre einbringen: Dass Cyber Resilience in Cyber Security-Ansätzen nicht mehr fehlen darf.

Cyber Resilience Assessment

Ihr Kontakt:

Sie haben Fragen zu Cyber Resilience und dem Cyber Resilience Assessment? Nehmen Sie gern Kontakt auf mit

Ihre Experten:

Quellen zum Nachlesen

• Bundesamt für Sicherheit in der Informationstechnik (BSI): DIE LAGE DER IT-SICHERHEIT IN DEUTSCHLAND 2024
• Gartner Top Trends in Cybersecurity for 2025,12 December 2024- ID G00822766- 49 min read By Richard Addiscott, Anson Chen, and 10 more, https://www.gartner.com/doc/reprints?id=1-2K2V5AZU&ct=250128&st=sb, https://www.gartner.com/en/research/magic-quadrant
• Bitkom e.V.: Wirtschaftsschutz 2024
• Standards NIS2-Implementierung
• NIST Cyber Framework
• National Institute of Standards and Technology (NIST): The NIST Cybersecurity Framework (CSF) 2.0 (26.02.2024)
• MITRE ATT&CK ® ist eine weltweit zugängliche Wissensdatenbank zu Taktiken und Techniken von Angreifern, die auf Beobachtungen aus der Praxis basiert. Die ATT&CK-Wissensdatenbank dient als Grundlage für die Entwicklung spezifischer Bedrohungsmodelle und -methoden im privaten Sektor, in der Regierung sowie in der Community für Cybersicherheitsprodukte und -dienstleistungen. Mit der Gründung von ATT&CK erfüllt MITRE seine Mission, Probleme für eine sicherere Welt zu lösen – indem es Gemeinschaften zusammenbringt, um effektivere Cybersicherheit zu entwickeln. ATT&CK steht jeder Person und Organisation kostenlos zur Verfügung.