Digitale Resilienz: IT als Zielscheibe und Verteidigungslinie zugleich

Cyberangriffe, geopolitische Spannungen und regulatorische Verschärfungen machen digitale Resilienz zu einer unternehmerischen Notwendigkeit. Die Bedrohungslage ist komplex: Während organisierte Cyberkriminalität längst zur Tagesordnung gehört, werden IT-Infrastrukturen zunehmend als Mittel der hybriden Kriegsführung instrumentalisiert. Insbesondere kritische Branchen wie Finanzwesen, Energie und Infrastruktur geraten ins Visier.

von Stefan Wendt, Partner bei microfin

Gleichzeitig sind Unternehmen immer stärker von IT-Dienstleistern und deren Produkten abhängig – mit der Folge, dass sich Angriffsflächen vergrößern. Zugleich verschärft die EU mit Verordnungen wie dem Cyber Resilience Act (CRA), dem Digital Operational Resilience Act (DORA) und NIS2 die Anforderungen an Unternehmen, um die digitale Widerstandsfähigkeit europaweit zu stärken.

IT-Governance muss handeln, nicht nur reagieren können

Eine resiliente IT-Governance ist die Grundlage für nachhaltige Unternehmensstabilität in einer digital vernetzten Welt. Ohne klare Strukturen zur Steuerung von Risiken und Abhängigkeiten wird IT-Sicherheit schnell zur Achillesferse eines Unternehmens.

IT muss nicht nur reagieren, wenn Bedrohungen auftreten, sondern vorausschauend Maßnahmen etablieren, die Resilienz als strategisches Unternehmensziel verankern.”

Cyberangriffe zielen längst nicht mehr nur auf einzelne Unternehmen ab, sondern darauf, die Säulen unserer europäischen bzw. deutschen Volkswirtschaft – Finanzmarkt, Energieversorgung und Infrastruktur – zu destabilisieren. Unternehmen müssen proaktive IT-Governance-Strukturen schaffen, die Bedrohungen nicht nur abwehren, sondern langfristige Widerstandsfähigkeit aufbauen.

Hinzu kommt, dass geopolitische Unsicherheiten bestehende Regelungen gefährden, wie etwa das US-EU Data Privacy Framework. Besonders kritisch wird es, wenn eine neue US-Regierung bestehende Regelungen zurücknimmt (Executive Order 14086, auf deren Grundlage u. a. eine unabhängige Aufsichts- und Beschwerdeinstanz eingerichtet wurde). Um die Bedrohungen, die daraus entstehen, frühzeitig erkennen und abwehren zu können, müssen Sicherheits-, Compliance- und Betriebsprozesse eng verzahnt sein.

Digitale Resilienz ist mehr als nur ein Buzzword – sie entscheidet darüber, ob ein Unternehmen auch im Krisenfall handlungsfähig bleibt.”

Dimensionen einer IT-Governance, die zum Schlüssel für digitale Resilienz werden können, sind:

• Business-Continuity-Management (BCM): gewährleistet die Kontinuität der digitalen Geschäftstätigkeit des Unternehmens und minimiert die Auswirkungen von IKT-Störungen.
• Cloud- und ICT-Exit-Management: reduziert die Abhängigkeit von einzelnen Anbietern und schützt vor Lock-in-Effekten.
• Disaster-Recovery-Management: Schlüsselelement der digitalen Resilienz; trägt dazu bei, dass IT-Systeme nach einem Ausfall oder Angriff schnell wiederhergestellt werden können.
• ICT-Provider-Management: gewährleistet, dass externe IT-Dienstleister stabil, sicher und regelkonform arbeiten.
• Third-Party-Risk-Management: identifiziert und überwacht Risiken in der gesamten IT-Lieferkette, einschließlich Subdienstleistern.

Kann digitale Resilienz ein Wettbewerbsvorteil sein?

Digitale Resilienz ist also mehr als ein Compliance-Thema – sie kann zum echten Wettbewerbsvorteil werden. Dafür braucht IT-Governance neue Strukturen und ein proaktives Grundkonzept.

Wesentlich sind die Agilisierung der Abläufe, die stärkere Verzahnung der Dimensionen sowie eine ausgeprägtere Nutzerfokussierung.”

Funktionsträger der ersten und zweiten Verteidigungslinien (1st und 2nd line of defence) müssen dabei gemeinsam das übergeordnete Ziel der digitalen Resilienz verfolgen. Zudem sollte proaktives Handeln durch regelmäßige Angriffssimulationen und Stresstests auf IT-Infrastruktur und Anwendungen gefördert werden.

Eine konsequente Nutzerfokussierung bedeutet, dass die Anforderungen der internen Standardsetzer aus der zweiten Verteidigungslinie – etwa Datenschutz, Informationssicherheit und Recht – verständlich für Anwender auf der ersten Verteidigungslinie aufbereitet werden. Dazu gehört vor allem, die in der jeweiligen Fachsprache in der Schriftlich Fixierten Ordnung (SFO) adressierten Anforderungen in anwenderorientierte Sprache zu übersetzen.

Digitale Resilienz als übergeordnetes Ziel führt zu aufbau- und ablauforganisatorischen Veränderungen in der (IT-)Governance des Unternehmens.”

Das zeigen erste Beispiele am Markt deutlich. In Linien- bzw. Tribe-Organisationen werden die genannten Dimensionen in Abteilungen bzw. Clustern gebündelt, um Synergien zu nutzen und eine einheitliche Steuerung sicherzustellen. Digitale Resilienz wird so integraler Bestandteil der Unternehmenssteuerung.

Pragmatische Maßnahmen: IT-Methoden und Tools für digitale Resilienz

Die regelmäßige Durchführung von Threat-Led Penetration Testing (TLPT) und Angriffssimulationen hilft Unternehmen, potenzielle Schwachstellen frühzeitig zu erkennen und geeignete Gegenmaßnahmen zu ergreifen. Tools unterstützen bei der Identifikation und Bewertung von Sicherheitslücken. Ergänzend kann der Einsatz von KI-gestützter Threat-Intelligence-Plattformen dabei helfen, Risiken in Echtzeit zu analysieren und präventive Sicherheitsstrategien zu entwickeln.

Cloud-Exit-Strategien und -Pläne sind essenziell, um Abhängigkeiten zu minimieren und Handlungsoptionen in Krisensituationen zu bewahren.”

Unternehmen sollten Migrationspläne mit Infrastructure-as-Code(IaC)-Lösungen automatisieren und kontinuierlich testen. Multi-Cloud-Management-Plattformen helfen dabei, Cloud-Risiken zu minimieren und alternative Infrastrukturen effizient bereitzuhalten. Unternehmen sollten Migrationspläne auf ihre Aktualität, Belastbarkeit und ihren möglichen Optimierungsbedarf überprüfen – bis hin zur Tabletop-Simulation des konkreten Exit-Szenarios.

Ebenso sind ein wirksames Schwachstellenmanagement und eine sichere Softwareentwicklung zentrale Faktoren der digitalen Resilienz.”

Security-by-Design sollte mit DevSecOps-Methoden implementiert werden, und zwar bereits in der Entwicklungsphase. Zudem müssen regelmäßige Sicherheitsupdates über den gesamten Lebenszyklus digitaler Produkte gewährleistet werden.

IT-Sicherheit sollte nicht als isolierte IT-Aufgabe betrachtet werden, sondern als unternehmensweites Ziel. Auch die Sensibilisierung der Mitarbeiter spielt eine wichtige Rolle bei der digitalen Widerstandsfähigkeit eines Unternehmens. Security-Awareness-Trainings können mit speziellen Plattformen durchgeführt werden, um Mitarbeitende zum Beispiel auf Phishing- und Social-Engineering-Angriffe aufmerksam zu machen.

Zusätzlich sollten Unternehmen eine umfassende Daten-Governance-Strategie etablieren, um sicherzustellen, dass sensible Informationen jederzeit geschützt und regelkonform verarbeitet werden.”

Hierbei unterstützen Datenschutz-Management-Plattformen beim Monitoring und bei der Durchsetzung von Compliance-Richtlinien.

Nie vollständig erreichbar

Digitale Resilienz ist kein Zustand, sondern ein kontinuierlicher Prozess. Unternehmen, die ihre IT-Governance konsequent ausrichten, nicht nur auf tagesaktuelle Bedrohungen reagieren, sondern vorausschauend agieren, haben einen klaren Wettbewerbsvorteil. Die IT muss dabei als strategischer Treiber agieren, indem sie nicht nur Schutzmaßnahmen implementiert, sondern aktiv Widerstandsfähigkeit aufbaut.

Letztlich gilt:

Wer digitale Resilienz als Kernkompetenz verankert, schützt nicht nur sich selbst, sondern auch seine Kunden – und macht IT zu einem echten Werttreiber für das Unternehmen.”

Stefan Wendt, microfin