Cybersicherheit vs. Cyber-Resilienz

Während der Begriff "Cybersicherheit" in der Sicherheitsbranche schon lange bekannt ist, hat der Begriff "cyber resilience" an Bedeutung gewonnen. Das ist eine gute Sache. Das Management der Cybersicherheit ist komplex und unterliegt ständigen Veränderungen, und es reicht nicht aus, sich nur auf die Sicherheit zu konzentrieren - Unternehmen brauchen eine umfassendere Strategie. Sie werden sich vielleicht fragen: "Ist Cyber-Resilienz nicht das Gleiche?" Ganz und gar nicht. Ein kurzer Besuch auf thesaurus.com für Synonyme für diese Kernbegriffe ist ein guter Ausgangspunkt für einige Hinweise auf ihre Unterschiede:

• Sicherheit -> Verteidigung, Wache, Vorsorge, Schutz, Zuflucht, Schutzschild
• Elastisch -> Schwimmfähig, geschmeidig, elastisch, hart, plastisch, biegsam, schnell erholsam, gummiartig, federnd

Was mir auffällt, ist, dass "Sicherheit" ein Begriff ist, der darauf abzielt, schlimme Dinge zu verhindern. Bei "Resilienz" hingegen geht es darum, angesichts der unvermeidlichen Auswirkungen schlechter Dinge schnell wieder zum "Guten" zurückzukehren.

Diese Konzepte lassen sich perfekt auf die Welt der IT-Sicherheit im Allgemeinen und E-Mail-Sicherheit im Besonderen übertragen. Unternehmen sollten sich darauf konzentrieren, ihre IT-Systeme, wie z. B. ihre E-Mail, widerstandsfähig gegen Angriffe zu machen, und sich nicht nur auf das Ziel einer 100-prozentigen präventiven Sicherheit konzentrieren.

Ist eine 100-prozentige Prävention überhaupt möglich? Definitiv nicht. Ähnlich wie beim menschlichen Körper, der ständig von Bakterien und Viren durchsetzt ist, besteht das Ziel darin, sich wohl zu fühlen und gesund zu sein, nicht darin, das Eindringen dieser Mikroorganismen zu verhindern. Wir könnten alle in einem Halbleiter-Reinraum leben, ständig antibakterielle Bäder und Pillen nehmen und nur bestrahlte Lebensmittel essen, aber das klingt nicht sehr angenehm. Der Körper eines im Allgemeinen gesunden Menschen gedeiht durch Widerstandsfähigkeit, nicht durch Prävention.

Der beste Ansatz für die IT-Sicherheit ist ein ausgewogener, widerstandsfähiger Ansatz, der Bedrohungsprävention und Anpassungsfähigkeit an neue Arten von Bedrohungen kombiniert mit eingebauter Langlebigkeit und schneller Wiederherstellung umfasst. Auf diesen Ansatz sollten sich Unternehmen bei allen geschäftskritischen IT-Systemen konzentrieren, insbesondere bei ihren geschäftskritischsten Anwendungen: E-Mail.

Laut einer Studie von Vanson Bourne haben nur 30 Prozent der befragten Unternehmen eine Cyber-Resilience-Strategie eingeführt, und nur ein Drittel davon befindet sich in einem frühen Stadium der Entwicklung oder Planung. Zu viele Unternehmen setzen sich dem Unbekannten aus - aber das muss nicht sein. Durch die Entwicklung eines ganzheitlicheren Ansatzes können sich Unternehmen vor Cyberangriffen per E-Mail, Geschäftsunterbrechungen, Datenverlusten und menschlichem Versagen schützen.