Unternehmen sehen sich einem unerbittlichen Ansturm von Cyberbedrohungen ausgesetzt. Sie erleben Angriffe auf breiter Front – von Servern über Cloud-Dienste bis hin zu APIs und Endgeräten. Das Arsenal der Cyberkriminellen ist mit hochentwickeltem Phishing und KI-gestützten Exploits bestens ausgestattet. Für Unternehmen stellt sich deshalb bekannterweise nicht die Frage, ob sie angegriffen werden, sondern wann es passiert. Angesichts dieser Erkenntnis entwickelt sich Cyber-Resilienz zu einer unverzichtbaren Grundanforderung an jede Sicherheitsarchitektur. Der Fokus liegt nicht mehr nur auf Prävention und Erkennung, sondern vor allem darauf, die Auswirkungen eines erfolgreichen Angriffs rasch in den Griff zu bekommen und den Geschäftsbetrieb unverzüglich und sicher wieder aufzunehmen.
Ein effektiver Sicherheitszyklus gegen Angriffe umfasst vier Phasen: Schutz, Erkennen, Reaktion und Wiederherstellung. Die meisten Investitionen fliessen bisher in die ersten drei, etwa in Form von Verschlüsselung, Secure Service Edge (SSE), Endpoint-Protection-Plattformen (EPP), Data-Loss-Prevention (DLP) oder Extended Detection and Response (XDR). Diese Massnahmen sind und bleiben richtig und wichtig. Der Absolute Security Resilience Risk Index (Absolute Security’s Cyber Resilience Risk Index 2024) zeigt allerdings, dass diese Endpunkt-Abwehrlösungen der ersten Linie häufig nicht wie gewünscht funktionieren – und auf den PCs, die sie schützen sollen, teils sogar völlig fehlen. Und auch wenn sie reibungslos funktionieren, verhindern sie Angriffe nicht zu 100 Prozent.
Zwei Ziele: Angriffe vermeiden – und nach Angriffen schnell wieder fit sein
Cyber-Resilienz wird deshalb zunehmend wichtiger: Sie spielt zum einen eine bedeutende Rolle in den Schutz-, Erkennungs- und Reaktionsphasen, indem sie sicherstellt, dass die zur Unterstützung dieser Phasen eingesetzten Lösungen kontinuierlich bereitgestellt, aktualisiert und betriebsbereit bleiben. Zum anderen befähigt sie Unternehmen, sich von Angriffen möglichst schnell erholen zu können, wenn der Schutz davor nicht gelungen ist. Eine auf Cyber-Resilienz ausgerichtete Security-Strategie erkennt die harte Realität an: Selbst die am besten abgesicherten Netzwerke, Server und Endgeräte sind verwundbar. Vermeidung von Sicherheitsverletzungen bleibt zwar ein wichtiges Ziel; die Minderung der Auswirkungen erfolgreicher Angriffe und die Wiederherstellung der vollen Geschäftskapazität nach einem Angriff sind jedoch mindestens ebenso wichtig.
Wie Cyberkriminelle anfällige Endpunkte ausnutzen
Es gibt eine Reihe möglicher Angriffsflächen, die Unternehmen im Blick haben müssen. Besonders hohe Aufmerksamkeit verdienen jedoch die Endgeräte. Das Sprichwort trifft zu: «Eine Kette ist nur so stark wie ihr schwächstes Glied» – und im Bereich der Cybersicherheit ist dieses schwächste Glied oft das Endgerät der Mitarbeitenden. Endgeräte – ob PCs, Smartphones oder IoT-Geräte – sind Gateways zu den Daten und Netzwerken eines Unternehmens. Sie ermöglichen zwar nahtlose Remote-Arbeit und hervorragende Konnektivität, bergen aber auch erhebliche Schwachstellen: Im Jahr 2024 war der durchschnittliche Endpunkt 74 Tage mit den neuesten Betriebssystem-Sicherheitspatches im Rückstand*, und mehr als 30 Prozent der Ransomware-Angriffe waren auf bereits bekannte, patchbare Schwachstellen zurückzuführen. Ein kompromittiertes Endgerät ermöglicht es Angreifern, sich im Netzwerk auszubreiten, Zugriffsrechte zu erhöhen, weitere Systeme zu infiltrieren und sensible Daten zu stehlen oder Abläufe zu stören.
Vier Schritte für eine proaktive Strategieier Schritte für eine proaktive Strategie
In der heutigen dezentralen Arbeitswelt ist es eine komplexe Herausforderung, Endgeräte verlässlich und skalierbar zu verwalten und zu schützen. Um die Sicherheit und Widerstandsfähigkeit all ihrer Endgeräte zu stärken, brauchen Unternehmen proaktive Strategien, die vier zentrale Bereiche abdecken:
- Automatisierte Patches und Schwachstellenbehebung: Die Verbindung zwischen veralteten Systemen und erfolgreichen Angriffen ist offensichtlich. Verzögerungen beim Patchen und beim Beheben bereits bekannter Schwachstellen öffnen Angreifern ein erfolgversprechendes Zeitfenster. Entscheidend sind automatisierte, kontinuierliche Pflege und ein konsequentes Sollzustands-Management, das Konfigurationsabweichungen («Drift») verhindert.
- Widerstandsfähigkeit von Sicherheits- und Management-Tools: EPP, XDR & Co. sind nur wirksam, wenn sie durchgängig laufen. Wird Sicherheitssoftware deinstalliert, stürzt ab oder ist veraltet, sind selbst grosse Investitionen wirkungslos. Unternehmen müssen sicherstellen, dass diese Tools konform eingesetzt werden und ihre Resilienz dauerhaft erhalten bleibt.
- Optimierung von SSE-Leistung und Nutzererlebnis: Security-Service-Edge-Lösungen bringen klare Sicherheitsvorteile. Ist die Erfahrung für insbesondere mobile Remote-Nutzende jedoch suboptimal, werden Sicherheitsrichtlinien umgangen – was Inkonsistenzen in der Zero-Trust-Strategie schafft und neue Angriffsflächen öffnet. Die Endnutzer-Erfahrung muss deshalb aktiv optimiert werden.
- Zuverlässige Recovery – selbst bei Systemausfällen: Auch Betriebssysteme und Sicherheitstools können kompromittiert werden oder ausfallen. Es braucht daher Lösungen, die selbst dann noch funktionieren, wenn Software nicht mehr vertrauenswürdig ist oder gar nicht mehr läuft. Hardware- oder firmwaregestützte Resilienzlösungen ermöglichen schnelle, remote durchführbare Wiederherstellung.
Nicht zu vergessen: die Menschen
Widerstandsfähigkeit gegenüber Cyberangriffen erfordert nicht nur Investitionen in Tools und Technologie, sondern auch das Engagement aller Mitarbeitenden. Von der Führungsebene über SOC und IT-Teams bis hin zu Endnutzenden spielen alle eine wichtige Rolle bei der Förderung einer Resilienz-Kultur. Unverzichtbar sind Schulungen, damit Mitarbeitende potenzielle und tatsächliche Angriffe erkennen und wirksam darauf reagieren können. Benötigt werden klare Protokolle und verbindliche Prozesse für die Meldung möglicher Gefahren, die Reaktion des Unternehmens und die Rolle der Endnutzenden. Damit wird das Risiko im Vorfeld minimiert und die Wirksamkeit der Reaktions- und Wiederherstellungsmassnahmen im Falle eines erfolgreichen Angriffs maximiert.
