Home » Fachbeiträge » Security Management » Herkunft allein schafft keine Resilienz

Souveränität heißt, handlungsfähig zu bleiben, auch im Krisenfall: Herkunft allein schafft keine Resilienz

Digitale Souveränität lässt sich weder über Herkunftslabels noch über die Postleitzahl eines Rechenzentrums herstellen. Auch europäische Cloud-Anbieter garantieren sie nicht automatisch. Entscheidend ist, ob Organisationen ihre Abhängigkeiten kennen, Risiken realistisch bewerten und im Ernstfall handlungsfähig bleiben.

·

Redaktion IT-SICHERHEIT (cs)

5 Min. Lesezeit
Leuchtturm in tosendem Meer
Foto: ©AdobeStock/Eduardo/KI

Dazu gehören getestete Alternativen, geübte Exits und belastbare Sicherheitsprozesse – auch dann, wenn zentrale Workloads weiterhin bei internationalen Hyperscalern laufen. Der Beitrag zeigt, was Cyberresilienz praktisch bedeutet und welche Rolle NIS-2 und der Cyber Resilience Act dabei spielen.

Im Kontext digitaler Souveränität bedeutet Resilienz die Fähigkeit, auf unerwartete Herausforderungen zu reagieren und dabei handlungs- und funktionsfähig zu bleiben. Im Kern umfasst sie drei Aspekte: erstens die Anpassungsfähigkeit, um auf rechtliche Veränderungen – etwa den US Cloud Act – schnell reagieren zu können, ohne die eigenen Schutzstandards zu kompromittieren. Dazu gehört, Prozesse und Systeme so auszulegen, dass sich Policy- und Konfigurationsänderungen zügig und sicher umsetzen lassen.

Zweitens sind es robuste Sicherheitsstrategien und eine gehärtete Infrastruktur, die man im Ernstfall schnell wiederherstellen kann. Drittens die Sicherstellung von Verfügbarkeit und Integrität der IT-Dienste, auch bei Störungen. Technologische Unabhängigkeit ist damit weniger eine Frage des „Wo“, sondern des „Wie“.

Rückenwind durch Regulierung

Die Europäische Union hat mit NIS-2 auf neue Angriffsmethoden, geopolitische Spannungen und wachsende Abhängigkeiten reagiert und einen verbindlichen Rahmen geschaffen, um ein einheitlich hohes Cybersicherheitsniveau in Europa zu etablieren. Die Richtlinie legt klare Mindeststandards fest, verpflichtet Unternehmen zu Meldungen und Wiederherstellungsmaßnahmen und fordert ein konsequent risikobasiertes Vorgehen.

Der Cyber Resilience Act (CRA) erweitert diesen Ansatz, indem er für vernetzte Produkte und Software Sicherheitsanforderungen über den gesamten Lebenszyklus vorschreibt. Zusammen erhöhen beide Regelwerke die Resilienz von Organisationen und Lieferketten mit dem Ziel, Sicherheitsvorfälle zu verhindern oder ihre Auswirkungen deutlich zu begrenzen.

Die steigenden Anforderungen an Cyberresilienz sowie die Umsetzung von NIS-2 und dem CRA machen Cybersecurity zur strategischen Führungsaufgabe. Für CISOs entsteht dabei ein konkreter Handlungsdruck:

  • Abhängigkeiten und Risiken in Multi-Cloud-Umgebungen, in Softwarelandschaften und entlang der Lieferkette müssen nicht nur sichtbar werden, sondern aktiv sinken.
  • Rollen, Prozesse und Meldewege sind neu zu definieren oder konsequent zu ordnen.
  • Präventive Kontrollen müssen priorisiert werden und wirksam nachweisbar sein.

Wie sollen die Verantwortlichen in Unternehmen und Organisationen vor dem Hintergrund dieser Anforderungen nun vorgehen?

Von der Risikoanalyse zur praktischen Umsetzung

Zu Beginn sollte eine vollständige Bestandsaufnahme physischer und digitaler Gefahrenquellen stehen. Von Brand und Diebstahl über den Ausfall kritischer Systeme bis hin zu Zero-Day-Exploits und Phishing gilt es, alle Risiken systematisch zu erfassen. Eine solide Analyse muss den Stand der Technik berücksichtigen und laufend aktualisiert werden, da sich Technologien und Bedrohungen stetig verändern.

Erst auf Basis dieser Risikoeinschätzung lassen sich wirksame und verhältnismäßige Maßnahmen ableiten. Diese sollten sich an der Risikoexposition, der Unternehmensgröße, der Eintrittswahrscheinlichkeit sowie den potenziellen Auswirkungen auf Wirtschaft und Gesellschaft orientieren. Wo möglich, sollten die Verantwortlichen etablierte Normen wie ISO 27001/27002 berücksichtigen.

Bei der Umsetzung der Sicherheitsmaßnahmen bieten cloudbasierte Security‑Plattformen einen pragmatischen Weg zu mehrschichtiger Cybersicherheit mit schneller Verfügbarkeit und geringen Anfangsinvestitionen. Bei der Auswahl solcher Lösungen sollten die eigenen Resilienz-Anforderungen ebenso zentral sein wie Zertifizierungen und die Auditierbarkeit der Anbieter.

Vier Dimensionen als Entscheidungskompass

Echte Cyberresilienz bedeutet jedoch mehr, als einzelne Angriffe abzuwehren. Informationen, Daten und Prozesse müssen umfassend geschützt werden. Das erfordert eine ganzheitliche Sicherheitsarchitektur mit entsprechenden Lösungen.

Für die strukturierte Entscheidungsfindung helfen die folgenden vier Dimensionen:

  • Souveräne Sicherheit: technische und organisatorische Resilienz gegenüber externen und internen Bedrohungen.
  • Managebarkeit: Steuerbarkeit, Skalierbarkeit und Auditierbarkeit der Sicherheitsarchitektur – inklusive klarer Exit‑Strategien.
  • Usability: Nutzungsfreundlichkeit und Akzeptanz im Arbeitsalltag – denn Sicherheit, die umgangen wird, schützt nicht.
  • Kosten und Wertbeitrag: Total Cost of Ownership sowie der erwartete Nutzen durch Risikominderung.

Dieser Kompass ermöglicht eine systematische Bewertung von Sicherheitsarchitekturen bei der Abwägung zwischen verschiedenen Lösungsansätzen oder Sourcing-Modellen.

Fünf Schritte für CISOs

  • Resilienz zur Führungskennzahl machen: Verfügbarkeit kritischer Funktionen und Time‑to‑Decision als Vorstandsziel verankern.
  • Digitale Abhängigkeiten kartieren: Cloud‑, Software‑ und Dienstleisterabhängigkeiten samt priorisierten Exit‑Pfaden dokumentieren.
  • Prävention priorisieren: Allowlisting, Härtung und Zero Trust vor reiner Detection perfektionieren.
  • Schnelle Entscheidungen ermöglichen: Rollen, Eskalationen und Eingriffsrechte vorab verbindlich klären.
  • In europäische Resilienz‑Netzwerke investieren: Standards, Communities und geübte Zusammenarbeit ausbauen.

Härtung auf vier Ebenen

Jetzt wird es konkret: Härtung passiert dort, woSicherheitsprinzipien konsequent in Konfigurationen, Prozesse und Verhalten übersetzt werden. Sie folgt dem Zero-Trust-Prinzip, setzt an Menschen,
Endgeräten, Anwendungen und Daten an und reduziert Angriffsflächen damit konsequent. Der Faktor „Mensch“ muss in der Sicherheitsstrategie Asset, nicht Risiko, sein. Das event- und verhaltensbasierte Ausspielen von Sicherheitskampagnen kann für messbare Lernerfolge und eine hohe Sensibilisierung für Cyberrisiken sorgen.

Auf Geräteebene stehen Gerätekontrolle und Verschlüsselungsvorgaben für Wechseldatenträger im Fokus. Schutzmechanismen sollten unmittelbar am Endpoint durchgesetzt werden – unabhängig vom Netzwerkstandort. Bei Applikationen reduziert Allowlisting, also die Beschränkung auf freigegebene Software, die Angriffsfläche erheblich.

Für hochsensible Daten benötigen Unternehmen zudem eine sichere europäische Cloud-Infrastruktur, die geschützten Austausch mit Dritten ermöglicht und volle Zugriffskontrolle gewährleistet.
Idealerweise sollten Daten verschlüsselt verarbeitet werden können – auch für KI-Anwendungen –, ohne dass Betreiber oder ausländische Anbieter Zugriff erhalten.

Fazit

Digitale Souveränität ist kein Ort, sondern die Fähigkeit zur Resilienz. Sie beweist ihren Wert erst im Ernstfall. NIS-2 und CRA setzen dafür einen verbindlichen Mindeststandard. Wirkliche Handlungsfähigkeit entsteht jedoch durch eine präzise Risikoeinschätzung, gezielte Prävention und Härtung, eingeübte Exit-Strategien sowie eine Architektur, die Portabilität und überprüfbare Prozesse konsequent zur Norm macht.

Strategisch klug ist es, Sicherheit nicht als singuläres Tool‑Thema, sondern als Betriebsmodell über Menschen, Geräte, Anwendungen und Daten zu verankern. Dazu gehört auch die Option, Workloads je nach Bedarf und Risiko wahlweise in souveränen Cloud‑Umgebungen oder beim globalen Hyperscaler zu betreiben. So bleiben Organisationen auch unter Druck steuer‑ und lieferfähig, reduzieren Lock‑in‑Risiken und gewinnen den Handlungsspielraum, jederzeit entscheiden zu können, wo und wie kritische digitale Funktionen laufen – ohne Kompromisse bei Sicherheit, Compliance und Geschwindigkeit.

Porträt Andreas Fuchs

Andreas Fuchs ist Director Product Management bei DriveLock SE.

Newsletter Abonnieren

Abonnieren Sie jetzt IT-SICHERHEIT News und erhalten Sie alle 14 Tage aktuelle News, Fachbeiträge, exklusive Einladungen zu kostenlosen Webinaren und hilfreiche Downloads.

Andere interessante Fachbeiträge

Digitaler Kompass

Navigation im Nebel des Cyberspace

Die AURISCON GmbH blickt auf 15 Jahre Navigation ihrer Kunden hin zu effektivem Informationssicherheitsmanagement zurück. Wir begleiten Sie beim operativen Management der IT-Sicher...

Security Management
KI-identifizierte Cybersicherheitsbedrohung

Lernen gegen die Lücke

KI-Agenten ziehen in den Arbeitsalltag ein – und erweitern die Angriffsfläche an der Schnittstelle von Mensch und Maschine. Wer Sicherheit strategisch denkt, trainiert deshalb beid...

Security Management
Mann nutzt Smartphone - rotes Ausrufezeichen darüber

Threat-aware IAM: Wenn Zugriffsrechte zur Verteidigungslinie werden

Identitäten sind mittlerweile zur dominanten Angriffsfläche digitaler Infrastrukturen geworden. Wer Zugriff auf Systeme, Anwendungen und Daten erhält, kontrolliert nicht nur Inform...

Security Management