Was nach einem Angriff passiert: Von Cyber-Sicherheit bis Cyber-Resilienz

Cyber-Sicherheit spielt eine entscheidende Rolle, wenn es darum geht, Angriffe durch übliche Schutzmaßnahmen wie Firewalls sowie Endpoint Protection- und Email Security-Lösungen zu verhindern. Doch trotz solcher Investitionen kommt es weiterhin zu Sicherheitsverletzungen. Laut einer vom Weltwirtschaftsforum durchgeführten Umfrage nannten 87 % der befragten Personen Schwachstellen, die mit KI zusammenhängen, als das am schnellsten wachsende Cyber-Risiko des vergangenen Jahres.

Wenn dies geschieht, verschiebt sich die Frage von „Wie kann man das stoppen?“, zu „Wie schnell kann man sich von einem Angriff erholen und zum Normalzustand zurückkehren?“. Hier kommt die Cyber-Resilienz ins Spiel. Dabei geht es darum, Störungen standzuhalten und den Geschäftsbetrieb möglichst schnell und sauber wiederherstellen zu können.

Infografik

Mehr als Cyber-Sicherheit: Wie Sie mit Cyber-Resilienz Ihre Geschäftskontinuität gewährleisten

Cyber-Sicherheit ist Prävention. Mit ihr können bösartige Aktivitäten erkannt und blockiert werden, um Systeme und Daten zu schützen. Cyber-Resilienz geht davon aus, dass Cyber-Vorfälle früher oder später unvermeidbar sind. Sie umfasst die Fähigkeit, solche Störungen vorauszusehen, standzuhalten, sich davon zu erholen und sich langfristig anzupassen – damit das Unternehmen auch während und nach einem Vorfall weitgehend weiterarbeiten kann. Behandeln Sie diese beiden Aspekte als zwei Hälften einer Strategie und nicht als konkurrierende Zielsetzungen.

Herkömmliche Strategien zur Aufrechterhaltung des Geschäftsbetriebs wurden eher zur Bewältigung von versehentlichen Ausfällen entwickelt, nicht aber zur Abwehr von Angriffen durch Dritte. Mit redundanten Hardware-Konfigurationen oder gespiegelten Standorten lassen sich Stromausfälle und Komponentenausfälle abfangen. Diese allein reichen jedoch nicht aus, um die Verbreitung von Ransomware zu unterbinden. Durch Replikation kann eine Infektion von einer primären Umgebung zu einer Ersatzumgebung übertragen werden. Eine reine Präventionsstrategie oder ein reines Redundanzmodell reichen in der heutigen Bedrohungslandschaft nicht mehr aus.

Wenn ein Angriff erfolgreich ist, kann es zu Systemausfällen kommen. Es kann sein, dass Daten verschlüsselt werden. Geschäftskritische Dienste können ausfallen. In einer solchen Ausfallzeit werden die Grenzen eines rein präventiven Ansatzes schnell deutlich: Das Unternehmen benötigt einen erprobten Weg, um die Geschäftskontinuität zu gewährleisten.

Die jeweiligen IT-Teams müssen den Geschäftsbetrieb schnell wiederherstellen und dabei gewährleisten können, dass die wiederhergestellte Umgebung frei von Malware ist, bevor der Betrieb wieder aufgenommen wird. Durch Resilienz wird dieser Prozess wiederholbar und vorhersagbar, statt improvisiert zu sein.

Eine Datenduplizierung ist keine Garantie für Datenwiederherstellung. Durch einen Replikationsprozess, der sich einer böswilligen Änderung nicht bewusst ist, kann der Schadensbereich sogar ausgeweitet werden. Fragmentierte Lösungen für Backup, Disaster Recovery und Cyber-Sicherheit führen zu einem Wirrwarr an Tools sowie zu Lücken, die die Reaktionszeit verlangsamen und Kosten erhöhen.

Aber mit einer konsolidierten Schutz- und Wiederherstellungslösung können IT-Teams schnell von der Erkennung zur sauberen Wiederherstellung innerhalb eines Arbeitsablaufs übergehen.

Geschwindigkeit ist nur dann von Bedeutung, wenn Wiederherstellungen überprüfbar sauber von Malware sind und den Geschäftsanforderungen entsprechen. Um Cyber-Resilienz messbar und reproduzierbar zu machen, sollten Unternehmen eine Reihe klarer Wiederherstellungsziele definieren, die als Grundlage für Planung, Budgetierung und Überprüfung dienen.

Diese Metriken übersetzen Geschäftsrisiken in operative Ziele und liefern eine klare Grundlage für Audits und Verbesserungen:

• Wiederherstellungszeitvorgabe (RTO): Die maximal akzeptierte Zeit, um den Betrieb wiederherzustellen.
• Wiederherstellungspunktvorgabe (RPO): Der maximal akzeptable Datenverlust.
• Maximal tolerierbare Ausfallzeit (MTD): Der Zeitpunkt, an dem eine Störung zu einem Geschäftsausfall führt.
• Durchschnittliche Zeit bis zur sauberen Wiederherstellung (MTCR): Die Zeit, die benötigt wird, um einen verifizierten, malwarefreien Zustand wiederherzustellen. Der MTCR-Wert ist entscheidend, wenn es um die Reaktion auf Ransomware geht.

Nutzen Sie eine Business-Impact-Analyse und eine Klassifizierung Ihrer Assets, um diese Ziele festzulegen. Reservieren Sie den stärksten Schutz für diejenigen Workloads, die für Ihren Umsatz und Ihren Ruf entscheidend sind.

Acronis vereint Endpoint Security- , Backup- , Disaster Recovery- und Endpoint Management-Funktionalitäten in einer einzigen Plattform, die mit einer einzigen Konsole und einem einzigen Agenten arbeitet. Dieser vereinheitlichte Ansatz bewirkt, dass IT-Teams sich mit weniger Komplexität herumschlagen müssen und dass die Zeit von der Vorfallserkennung bis zur bestätigten Wiederherstellung verkürzt werden kann.

Mit unveränderlichen Image- und Datei-Backups, die im Governance-Modus gespeichert werden, kann effektiv verhindert werden, dass Angreifer Backups löschen oder verändern können. Die KI-basierte Verhaltenserkennung kann Zero-Day-Bedrohungen abwehren, indem sie die laufenden Prozesse analysiert und schädliche Verschlüsselungen in Echtzeit stoppt.

Wenn die Gegenmaßnahmen doch mal umgangen werden sollten, können mithilfe der Acronis Disaster Recovery-Funktionalität Failover-Prozesse in die Acronis Cloud durchgeführt werden, die von Acronis bereitgestellt, verwaltet und gewartet wird. Unsere Kund:innen können die Failover- und Failback-Prozesse über die zentrale Konsole steuern, dank des integrierten Hot Storage risikofreie Tests durchführen und bestimmte Recovery-Punkte validieren lassen, um sicherzustellen, dass die wiederhergestellten Systeme Malware-frei sind, bevor sie wieder in den Geschäftsbetrieb eingebunden werden. Die nutzungsbasierte Abrechnung von Rechenleistungen erfolgt nur auf Basis des Failover-Prozesses, sodass die Standby-Kosten niedrig bleiben.

Unternehmen und VAR-Kund:innen, die für geschäftskritische Server und virtuelle Maschinen verantwortlich sind, sollten sich auf die folgenden vier Schritte konzentrieren:

1. Klassifizieren Sie die vorliegenden Assets nach ihrer geschäftlichen Bedeutung. Kennzeichnen Sie die zu schützenden Systeme als vertraulich, sensibel, privat oder öffentlich. Ordnen Sie den automatisierten Schutzplänen bestimmte Kennzeichnungen zu. Wenden Sie auf Workloads, die besonders wichtig sind, die DR-Funktionalität sowie aggressive RTO- und RPO-Ziele an.
2. QuantifizierenSie die Risiken und passen Sie Ihre Investitionen entsprechend an. Verwenden Sie eine Business-Impact-Analyse und eine jährliche Verlustprognose, um die jeweils angemessenen Schutzstufen zu ermitteln. Nutzen Sie die besten Resilienz-Fähigkeiten für diejenigen Systeme, bei denen Ausfallzeiten den größten betrieblichen und finanziellen Schaden verursachen.
3. Sichern Sie Backups ab und validieren Sie deren Wiederherstellung. Speichern Sie wichtige Backups auf einem unveränderlichen Storage, testen Sie Ihre Failover-Prozesse regelmäßig und lassen Sie Ihre Wiederherstellungspunkte scannen, um erneute Infektionen zu vermeiden. Behandeln Sie den MTCR-Wert als wichtigste Metrik und entwickeln Sie Prozeduren, um das damit vorgegebene Ziel zu erreichen.
4. Konsolidieren Sie Ihr Lösungsportfolio. Sorgen Sie für weniger Tool-Wirrwarr. Eine vereinheitlichte Plattform sorgt für mehr Übersichtlichkeit und Einblicke, kann bei Angriffen die Gegenmaßnahmen optimieren und die Gesamtkosten senken.

Präventionsmaßnahmen bleiben weiterhin grundlegend. Aber es sind die Resilienzfähigkeiten, die darüber entschieden, ob ein Cyber-Vorfall nur eine kurze Unannehmlichkeit bleibt oder zu einer langwierigen Krise wird. Durch die Integration von KI-gestützten Abwehrmaßnahmen mit orchestrierten, sauberen Wiederherstellungsprozessen können Unternehmen mithilfe von Acronis ihre geschäftskritischen Server und VMs effektiv vor Angriffen schützen und diese nach einem Angriff schnell wieder in den Geschäftsbetrieb aufnehmen. Für IT-Führungskräfte in Unternehmen und VARs bleibt die wichtige Erkenntnis, dass mit einer solchen vereinheitlichten Plattform herkömmliche, zumeist fragmentierte Abwehrstrategien kostengünstig und effektiv durch eine zuverlässige Lösung für Geschäftskontinuität und Sicherheitskontrollen ersetzt werden können.

Infografik

Mehr als Cyber-Sicherheit: Wie Sie mit Cyber-Resilienz Ihre Geschäftskontinuität gewährleisten