Der Staub um das beschädigte Update durch CrowdStrike hat sich langsam gelegt. Unternehmen sollten jetzt eine gründliche Analyse darüber durchführen, wie sich der Vorfall auf ihren Geschäftsbetrieb ausgewirkt hat und was sie in Zukunft anders machen könnten.
Die meisten kritischen Infrastrukturen und großen Unternehmen haben zweifelsohne ihre bewährten Cyber-Resilienzpläne durchgeführt. Auf diesen Vorfall, von einigen der „größte IT-Ausfall in der Geschichte“ genannt, hätte sich wahrscheinlich kein Unternehmen vorbereiten können – egal wie groß es ist und wie gut es entsprechende Cyberrichtlinien einhält. Es fühlte sich wie ein „Armageddon-Moment“ an.
Unternehmen können sich darauf vorbereiten, dass ihre eigenen Systeme oder die Systeme einiger wichtiger Partner nicht verfügbar sind. Wenn eine Störung jedoch so weitreichend ist, dass sie die Flugsicherung, staatliche Verkehrsabteilungen, Transportunternehmen und sogar die Restaurants am Flughafen bis hin zu Fernsehanstalten betrifft, beschränkt sich die Vorbereitung wahrscheinlich auf die eigenen Systeme. Glücklicherweise sind Vorfälle dieses Ausmaßes selten.
Der Ausfall am Freitag zeigt jedoch, dass nur ein kleiner Prozentsatz der Geräte vom Netz genommen werden muss, um globales Chaos zu verursachen. Microsoft bestätigte, dass 8,5 Millionen Geräte betroffen waren – eine vorsichtige Schätzung würde dies auf 0,5 bis 0,75 % der gesamten PCs beziffern.
Bei diesem kleinen Prozentsatz handelt es sich jedoch um Geräte, die sicher und stets betriebsbereit sein müssen, da sie kritische Dienste erbringen. Unternehmen, die sie betreiben, müssen Sicherheitsupdates und Patches bereitstellen, sobald diese verfügbar sind. Versäumen sie dies, können die Folgen schwerwiegend sein, auch für die Reputation des Unternehmens: IT-Experten werden beispielsweise die Kompetenzen des Unternehmens beim Umgang mit Cybersicherheitsrisiken in Frage stellen.
Die Bedeutung der Cyber-Resilienz
Ein detaillierter und umfassender Plan zur Cyber-Resilienz trägt dazu bei, das Unternehmen schnell wieder zum Laufen zu bekommen. Ausnahmesituationen wie kürzlich können jedoch dazu führen, dass Ihr Unternehmen nicht betriebsbereit ist. Beispielsweise weil andere, auf die Ihr Unternehmen angewiesen ist, nicht so gut vorbereitet sind oder die notwendigen Ressourcen nicht schnell bereitstellen können. Kein Unternehmen kann alle Szenarien vorhersehen und das Risiko einer Unterbrechung des Geschäftsbetriebs vollständig ausschließen.
Deshalb müssen ALLE Unternehmen einen Plan zur Cyber-Resilienz einführen und ihn gelegentlich auf die Probe stellen. Der Plan kann sogar zusammen mit direkten Geschäftspartnern getestet werden. Tests in der Größenordnung des CrowdStrike-Vorfalls sind wahrscheinlich unpraktisch. In früheren Blogs habe ich die Kernelemente der Cyber-Resilienz ausführlich beschrieben, um einige Ratschläge zu geben: Hier sind zwei Links, die Ihnen vielleicht weiterhelfen - #ShieldsUp und diese Leitlinien, die kleinen Unternehmen helfen sollen, ihre Bereitschaft zu verbessern.
Die wichtigste Botschaft nach dem Vorfall vom vergangenen Freitag ist, dass man die Nachuntersuchung nicht übergehen oder den Vorfall auf außergewöhnliche Umstände zurückführen sollte. Die Aufarbeitung eines Vorfalls und die Rückschlüsse daraus werden bei zukünftigen Vorfällen hilfreich sein. Bei dieser Überprüfung sollte auch das Problem der Abhängigkeit von einigen wenigen Anbietern, die Fallstricke einer technologischen Monokultur und die Vorteile der Einführung einer Technologievielfalt zur Risikominderung berücksichtigt werden.
Alles auf eine Karte setzen
Es gibt mehrere Gründe, warum sich Unternehmen für einen einzigen Anbieter entscheiden. Einer davon ist die Kosteneffizienz, die anderen liegen wahrscheinlich in einem „Single-Pane-of-Glass“-Ansatz sowie dem Bestreben, mehrere Verwaltungsplattformen und die Inkompatibilität ähnlicher, nebeneinander existierender Lösungen zu vermeiden. Vielleicht sollten Unternehmen prüfen, inwieweit eine diversifizierte Produktauswahl das Risiko minimieren Dies könnte sogar die Form einer Branchenanforderung oder eines Standards annehmen.
Die Nachuntersuchung sollte auch von denjenigen durchgeführt werden, die nicht vom „CrowdStrike Friday“ betroffen waren. Sie haben gesehen, welche verheerenden Folgen ein außergewöhnlicher Cybervorfall haben kann. Und auch wenn Sie dieses Mal nicht betroffen waren, haben Sie beim nächsten Mal vielleicht nicht so viel Glück. Nutzen Sie also die Lehren, die andere aus diesem Vorfall gezogen haben, um Ihre eigene Cyber-Resilienz zu verbessern.
In dieser Broschüre haben wir zusammengefasst, was alles zu einer effektiven Cyber-Resilience-Strategie gehört und wie Unternehmen bei einem Ausfall richtig reagieren.