Was ist Resilienz?

Der Begriff wird gerade in den letzten Jahren durch die immer größere Dynamik im Weltgeschehen populärer. Unter Resilienz versteht man im Allgemeinen den Prozess, in dem Personen auf Probleme und Veränderungen mit Anpassung ihres Verhaltens reagieren. Resilienz kann dabei einen wichtigen Beitrag zur Fähigkeit eines Einzelnen leisten, sich zu erholen oder auf Herausforderungen und Veränderungen zu reagieren.¹ Resilienz umfasst dabei Begriffe wie Anpassungsfähigkeit, Widerstandsfähigkeit sowie Selbsterhaltung. Dies gilt natürlich auch – oder gerade – für Unternehmen.

Was ist digitale Resilienz?

Digitale Resilienz war ein wichtiges Thema auf der IDC Directions 2021 im März letzten Jahres. Laut IDC erkennen immer mehr Unternehmen, dass die digitale Transformation von digitaler Resilienz abhängt, um sich schnell an Marktveränderungen, die durch die Dynamik und Komplexität der heutigen Zeit entstehen, anzupassen. Dies geschieht indem sie digitale Tools und Ansätze nutzen, um nicht nur den Geschäftsbetrieb aufrecht zu erhalten bzw. wiederherzustellen, sondern auch von den veränderten Bedingungen zu profitieren.

Digitale Resilienz betrifft dabei weit mehr als “nur” das Thema IT-Sicherheit, das in diesem Zusammenhang sehr häufig bzw. überwiegend genannt wird. Sie umfasst insbesondere auch so Dinge wie Agilität und Schnelligkeit. Zu den spezifischen Zielen und Initiativen können gehören:

• Steigerung der Schnelligkeit und Agilität, um besser auf sich verändernde Marktbedingungen reagieren und sich schneller anpassen zu können.

• Nutzung von Daten und digitaler Governance im gesamten Unternehmen, um schnell auf Störungen reagieren zu können.

• Schaffung größtmöglicher (IT-)Sicherheit durch automatisierte Datenschutzkonformität und Zero-Trust-Zugang (z. B. Multi-Faktor-Authentifizierung.)

• Kontinuierliche Verbesserung der Time-to-Market sowie der Sicherheit bei der Einführung innovativer Anwendungen.

Um diese Ziele zu erreichen, müssen Unternehmen insbesondere folgende Kernkomponenten ihres Business prüfen und bei Bedarf erneuern bzw. neu aufstellen:

• vorhandene Softwaresysteme und Infrastrukturen
• Status von IT-Security jeder Anwendung und jedes Prozesses
• vorhandene Datensilos
• Incident-Management mit schneller Wiederherstellung im Worst-Case

Resilienz in der digitalen Welt

Wir leben in einer global vernetzten Welt. Vorkommnisse wie die Corona-Pandemie sind durch die Globalisierung wahrscheinlicher denn je und etwaige Auswirkungen unter Umständen auch deutlich massiver. Die Pandemie hat gezeigt, dass Resilienz im Allgemeinen heute ein wirtschaftliches Gebot ist. Digitale Technologien und entsprechende Prozesse haben sich gerade zuletzt sehr häufig als entscheidend für die Widerstandsfähigkeit moderner Unternehmen erwiesen.

Herkömmliche Ansätze für die Robustheit von Unternehmen reichen jedoch nicht aus; diese konzentrieren sich in der Regel auf die Absicherung einzelner singulär betrachteter Unternehmensfunktionen oder Geschäftsbereiche. Auch die traditionellen Ansätze für IT-Risiken und Disaster Recovery sollten in der heutigen Zeit – und mit unserem aktuellen Wissen – nochmals kritisch hinterfragt werden, da sich einiges davon inzwischen als unzureichend erwiesen hat. Unternehmen müssen nicht nur schnell auf Bedrohungen reagieren, sondern auch lernen, diese opportunistisch zu überwinden. Unsere neue digitale Welt verlangt nach einem neuen, technologiegestützten Ansatz zur Bewältigung künftiger Krisen. Hier spricht man dann von digitaler Resilienz.
 

Das Digital Resiliency Framework

Unter Digitaler Resilienz versteht IDC die Fähigkeit eines Unternehmens, sich schnell an Geschäftsunterbrechungen anzupassen, indem es digitale Fähigkeiten nutzt, um nicht nur den Geschäftsbetrieb wiederherzustellen, sondern auch von den veränderten Bedingungen zu profitieren. IDC hat hierzu das IDC Digital Resiliency Framework² entwickelt. Diese Framework besteht aus den folgenden drei Phasen:

1. reagieren & wiederherstellen
2. erweitern & optimieren
3. beschleunigen & innovieren

sowie den nachfolgenden sechs organisatorischen Dimensionen:

1. Arbeitsabläufe
2. Führung & Organisation
3. Marke & Ruf
4. Finanzen
5. Kunden & Ökosysteme
6. Belegschaft

Für jede Dimension werden von IDC kritische Geschäftsergebnisse skizziert und diese mit spezifischen Anwendungsfällen für digitale Resilienz verknüpft, die für jede Phase relevant sind und durch spezifische Technologieinvestitionen ermöglicht werden.³

• Arbeitsabläufe⁴: 37 % der europäischen Unternehmen passen ihre Betriebsabläufe an und konzentrieren sich dabei auf externe Partner/Kunden/Lieferanten, um sich zu koordinieren und (besser) auf Marktveränderungen zu reagieren.

• Führung & Organisation⁵: 34 % der europäischen Unternehmen beschreiben ihren Führungsstil als „etwas eigenverantwortlich“. Während die wichtigsten Entscheidungen von oben nach unten getroffen werden, sind die Mitarbeiter*innen in gewissem Maße befugt, Entscheidungen zu treffen und bei Bedarf selbstgesteuerte Teams zu bilden.

• Marke und Ruf⁶: 37 % der europäischen Unternehmen sind noch dabei, eine Datenschutzpolitik und -strategie zu entwickeln.

• Finanzen⁷: 30 % der europäischen Unternehmen haben eine begrenzte Koordination zwischen den internen Finanzfunktionen und einem breiteren Ökosystem, da sie sich hauptsächlich mit einer begrenzten Gruppe traditioneller Stakeholder (z. B. Investoren, Banken und Gläubiger) abstimmen.

• Kunden und Ökosysteme⁸: 31 % der europäischen Unternehmen befinden sich noch in der Anfangsphase, was das Management von Customer Journeys anbelangt.

• Belegschaft⁹: Nur 13 % der europäischen Unternehmen sind der Meinung, dass ihre Mitarbeiter in großem Umfang Zugang zu den Ressourcen haben, die sie für die Arbeit aus der Ferne benötigen.

Gemäß einer Befragung von IDC im Juli 2021¹⁰ fallen rund 87 % der europäischen Organisationen in die Kategorien mittleres und hohes Risiko, was bedeutet dass hier signifikante Verbesserungen im Bereich digitaler Tools und Möglichkeiten notwendig sind, um für zukünftige, disruptive Ereignisse gewappnet zu sein.
 

Cloud-Umgebungen um die digitale Widerstandsfähigkeit zu verbessern

Häufige Komplexität und hohe Supportkosten sowie die mangelnde Skalierbarkeit und das Sicherheitsrisiko veralteter und vielfach gewachsener IT-Systeme beeinträchtigen oftmals die Flexibilität und die Fähigkeit, auf negative Einflüsse und Marktveränderungen möglichst schnell zu reagieren.

Um bestmögliche digitale Resilienz zu erreichen, müssen Unternehmen sich insbesondere um die folgenden Bereiche kümmern:

• Migration veralteter Entwicklungs- und Testarchitekturen in Cloud-Umgebungen, um die neueste und agilste Entwicklungs-/Testtechnologie, wie z. B. Container, zu nutzen.

• Replatforming komplexer, generationenübergreifender Systeme auf moderne Softwarearchitekturen wie private und öffentliche Clouds.

• Konsolidierung, Rationalisierung und Migration von Legacy-Anwendungen in die Cloud bei gleichzeitigem Einbau von Zero-Trust-Sicherheit, z. B. Multi-Factor-Login.

In Cloud-Umgebungen wird der IT-Support automatisiert und als Service mit den neuesten verfügbaren digitalen Technologien für IT-Management, Sicherheit, Anwendungsentwicklung und Betrieb bereitgestellt. Die Cloud-Anbieter werden in Bezug auf den Schutz vor Cyberangriffen auch immer leistungsfähiger. Die Investition in die Migration von Altsystemen, Architekturen und Anwendungen in moderne Cloud-Umgebungen erhöht die Innovationsmöglichkeiten sowie die Skalierbarkeit, Flexibilität, Widerstandsfähigkeit und Sicherheit. Insofern kann man an der Stelle durchaus festhalten, dass moderne Cloud-Infrastrukturen mit deren Sicherheitsmechanismen und Serviceleistungen immer häufiger alternativlos werden, da die Aufwände für Absicherung, Skalierung u. v. m. von Unternehmen selbst immer seltener wirtschaftlich sinnvoll abbildbar sind.

Priorisierung von IT-Security-Projekten zur Stärkung der digitalen Resilienz

Jedes Projekt zur Stärkung der digitalen Resilienz muss die Verhinderung von Sicherheitsverletzungen und die Wiederherstellung durch die Anwendung digitaler Governance im gesamten Unternehmen berücksichtigen, um eine schnelle Reaktion auf Störungen zu ermöglichen. Um sicherheitsrelevante Störungen zu verhindern, müssen Zero-Trust-Richtlinien eingeführt werden und man darf sich nicht mehr nur auf den Schutz durch Firewalls verlassen.

Gerade durch die Pandemie hat sich die Art und Weise, wie wir arbeiten, aber insbesondere auch von wo aus wir arbeiten, zum Teil dramatisch geändert. Bei uns im Unternehmen haben wir beispielsweise während der Pandemie begonnen, unsere IT-Infrastruktur und unsere internen Systeme so aufzustellen, dass nicht nur vom Homeoffice aus gearbeitet werden kann, sondern der Ansatz “Work from Everywhere” zunehmende Berücksichtigung findet. Gerade auch deswegen, weil immer mehr Mitarbeiter*innen mit dem Gedanken spielen, Urlaub und Arbeiten aus dem Ausland zu verbinden. Dies hat natürlich durchaus Vorteile und einen gewissen Charme, auch was die Attraktivität als Arbeitgeber anbelangt. Damit einher gehen aber auch wieder entsprechende Sicherheitsmechanismen, die ein solches Arbeiten sicher ermöglichen.

Ohne sogenannte Zero Trust Verfahren, bei denen jeder Zugriff auf ein Unternehmensnetzwerk geprüft wird und – wie der Name bereits vermuten lässt – keinem Zugriff per se vertraut wird, können potentielle Angreifer deutlich einfacher auf Anwendungen, Datenbanken, Server und im Prinzip auf jedes Gerät in einem Netzwerk zugreifen.
 

Insofern sollte man als Unternehmen in der heutigen Zeit einen Zero-Trust-Ansatz verfolgen, bei dem jeder Benutzer und jede Benutzerin sowie jede Transaktion überprüft werden, bevor der Zugriff auf eine Unternehmensressource gewährt wird – selbst wenn sich die Benutzer*innen oder das Gerät bereits innerhalb des Netzwerks befinden. Bei TechDivision nutzen wir hierzu unter anderem das Tool OneLogin als eine der weltweit führenden Lösungen für Identitäts- und Zugriffsmanagement.

Automatisierter Schutz persönlich identifizierbarer Daten und Informationen (PII)

Digitale Resilienz ist ohne umfassenden Datenschutz nicht denkbar und vor allem nicht vollständig. Durch die Automatisierung der Einhaltung von Datenschutzbestimmungen wie die DSGVO, CCPA, PCI DSS, LGPD und HIPAA wird sichergestellt, dass sensible und persönliche Daten in allen Umgebungen – einschließlich Entwicklungs-, Test-, Analyse- und KI/ML-Umgebungen – geschützt werden.

Glücklicherweise verfügen die meisten Unternehmen inzwischen über Verfahren und Technologien, um personenbezogene Daten in Produktionsumgebungen zu schützen. Doch die Nicht- Produktionsumgebungen stellen das größte Sicherheitsrisiko dar. Bis zu 80 % der Daten eines Unternehmens können sich in Nicht-Produktionsumgebungen befinden, wodurch Unternehmen anfällig für unbeabsichtigte Offenlegung von Daten und böswillige Angriffe sind.

Durch die automatische Erkennung und Maskierung von persönlich identifizierbaren Informationen (PII) und sensiblen Daten in allen Umgebungen werden die Daten anonymisiert, so dass sie, wenn sie offengelegt werden, nicht zu einer Person zurückverfolgt oder für zerstörerische Zwecke verwendet werden können.

Schnelle Wiederherstellung nach einem Zwischenfall

Als Teil jeder digitalen Resilienzstrategie benötigen Unternehmen auch zwingend Ansätze zur Überwachbarkeit und Unveränderbarkeit von Daten, um Datenverletzungen automatisch zu erkennen und im Worst-Case schnell wiederherstellen zu können.

Unternehmenskritische Anwendungen sind häufig Ziele für Ransomware und Cyberangriffe. Der Aufbau einer Testumgebung für die Cyber-Resilienz ermöglicht die frühzeitige Erkennung von Verletzungen der Datenintegrität. Kontinuierliche Überwachung und Warnmeldungen bei allen Problemen der Datensicherheit – von Cyber- und Ransomware-Angriffen bis hin zum versehentlichen Löschen von Datenbanken – helfen, kostspielige Datenverluste und Anwendungsausfälle zu vermeiden.

Ein permanentes und unveränderliches Logging ermöglicht eine kontinuierliche Aufzeichnung von Datenänderungen im Zeitverlauf und reduziert Ausfallzeiten durch die Möglichkeit, den Datenstand zu einem beliebigen Zeitpunkt bei Bedarf wiederherzustellen.

Kapital aus veränderten Bedingungen schlagen

Unternehmen können Veränderungen als Bedrohung oder als Chance betrachten. Diejenigen Unternehmen, die kontinuierlich in die Digitalisierung und Datenverarbeitung investiert haben, waren insbesondere während der heißen Phase der Pandemie im Vorteil.

Ein Beispiel hierfür stellt die Hotelkette Choice Hotels mit über 7.000 Hotels dar. Das Unternehmen erreichte während der Pandemie eine fast doppelt so hohe Belegungsrate wie der Branchendurchschnitt. Das Unternehmen nutzte seine moderne IT- und Dateninfrastruktur und entwickelte eine Reihe neuer Funktionen in seiner Mobile App, um die Reinigungsverfahren und das Abstandsmanagement für die Kundschaft zu verbessern und gleichzeitig die Sicherheit des Hotelpersonals zu gewährleisten.